Усунення наслідків атаки вірусів

Найчастіше відбувається таке, що антивіруси, вилікувавши ПК, не можуть відновити порушені вірусами програмні та системні налаштування. Радикальний метод - форматування вінчестера і переустановка операційної системи - не завжди прийнятний в силу різних причин.
У таких випадках залишається один вихід - відновлювати все вручну.

Якщо при спробі запустити Диспетчер завдань Windows (будь-яким способом - або за допомогою Ctrl + Alt + Del, або за допомогою Пуск -> Виконати ... -> taskmgr -> OK) з'являється діалогове вікно «Диспетчер завдань» з повідомленням «Диспетчер завдань відключений адміністратором» , то це, як правило, говорить про можливе зараження системи вірусами.

Справа в тому, що віруси відключають Диспетчер завдань. щоб їх не можна було примусово вивантажити з оперативної пам'яті. При цьому в Реєстрі Windows в розділі [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] створюється параметр REG_DWORD DisableTaskMgr зі значенням 1.

Як зробити доступним запуск Диспетчера завдань.
Навіть після видалення вірусу, що заборонив запуск Диспетчера завдань. запуск його неможливий. Щоб знову зробити можливим запуск Диспетчера завдань натисніть Пуск -> Виконати ... -> в полі Відкрити: введіть gpedit.msc -> OK -> відкриється діалогове вікно Групова політика -> Групова політика -> Політика «Локальний комп'ютер» -> Конфігурація користувача -> адміністративні шаблони -> Система -> Можливості Ctrl + Alt + Del -> справа у вікні Можливості Ctrl + Alt + Del подвійним клацанням лівої кнопки миші по рядку Видалити диспетчер задач (Стан за замовчуванням - Чи не задана) викличте вікно Властивості: Видалити Диспетчер завдань - > встановлений перемикач Включений -> поставте Відключений (або Не настроєно) -> Застосувати -> OK.

Закрийте вікно Групова політика. Для вступу в силу змін без перезавантаження ПК скрутіть всі відкриті вікна (натиснувши кнопку Згорнути всі вікна на панелі Швидкий запуск. Або натиснувши сполучення клавіш - клавіші з логотипом Windows + D), натисніть клавішу F5 (або клацніть правою кнопкою миші по вільній від значків поверхні робочого столу. в контекстному меню клацніть Оновити).

Що робити, якщо недоступний пункт меню «Властивості папки»?
Як правило, недоступність пункту меню Властивості папки говорить про можливе зараження системи вірусами. Справа в тому, що автори вірусів встановлюють для своїх вірусів атрибути Прихований (а іноді ще й Системний). А для того, щоб утруднити користувачеві можливість візуального визначення вірусів (на антивірус в цьому випадку надії вже немає: якщо віруси проникли в систему, то антивірус або відсутній, або не може їх ідентифікувати, або «убитий»), і видаляється пункт меню Властивості папки . При цьому в Реєстрі Windows в розділі [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] створюється параметр REG_DWORD NoFolderOptions зі значенням 1.

Як відновити пункт меню Властивості папки.
Навіть після видалення вірусу, що заборонив пункт меню Властивості папки. він залишається недоступним (жоден антивірус пункт меню Властивості папки не відновлює). Щоб відновити його, натисніть Пуск -> Виконати ... -> в полі Відкрити. введіть gpedit.msc -> OK -> Групова політика -> Політика «Локальний комп'ютер» -> Конфігурація користувача -> Адміністративні шаблони -> Компоненти Windows -> Провідник -> справа у вікні Провідник подвійним клацанням лівої кнопки миші по рядку Видалити команду «Властивості папки »з меню« Сервис »викличте вікно Властивості: Видалити команду« Властивості папки »з меню« Сервис »-> виберіть варіант Відключений (або Не настроєно) -> Застосувати -> OK.

Щоб інформацію з reg-файлів можна було додавати в Реєстр. в розділі [HKEY_CLASSES_ROOTregfileshellopencommand] значення строкового параметра за замовчуванням має бути - regedit.exe "% 1"

Що робити, якщо після лікування від вірусів не відкривається флешка?
Іноді при спробі відкрити флешку (або локальний диск) клацанням лівої кнопки миші з'являється повідомлення про помилку, що неможливо відкрити флешку, тому що відсутній будь-який файл, як правило, autorun.inf. У такому випадку потрібно відкривати флешку (або локальний диск), викликаючи правою кнопкою миші контекстне меню (вибрати пункт Провідник або Відкрити).

Така поведінка флешки обумовлено тим, що вона була заражена вірусом, прописав їй автозапуск для подальшого розповсюдження зарази. Після чого вона була пролікована антивірусом (або файл autorun.inf був видалений вручну), але запис про автозапуску флешки залишилася в Реєстрі Windows.

Слід зазначити, що останнім часом дуже широко поширені всілякі USB-шні (флешечние) віруси, спеціально створені для знімних носіїв інформації і поширювані за допомогою цих носіїв.

Як відбувається зараження
На зараженому ПК ці віруси є резидентними - вони постійно знаходяться в оперативній пам'яті і відстежують порти USB на предмет підключення знімних носіїв. При підключенні носія він перевіряється вірусом, чи заражений він вже таким вірусом. Якщо немає, то вірус копіює на носій виконуваний файл, а для автоматичного запуску вірусу при кожному відкритті в кореневій директорії носія створюється файл autorun.inf.

Наприклад, одна з різновидів вірусу RavMon створює в кореневій директорії носія файл autorun.inf з наступним змістом:
[AutoRun]
open = RavMon.exe
shell \ open = ґтїЄ (O)
shell \ open \ Command = RavMon.exe
shell \ explore = ЧКФґ№ЬАнЖч (X)
shell \ explore \ Command = "RavMon.exe -e"

При відкритті флешки (або кореневої директорії локального диска, коли вірус заражає вінчестер ПК) цей файл створює в Реєстрі Windows ключі, подібні наступним:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Explorer \ MountPoints2 \\ Shell \ AutoRun \ command]
строковий параметр за замовчуванням - RavMon.exe

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Explorer \ MountPoints2 \\ Shell \ explore]
строковий параметр за замовчуванням - ЧКФґ№ЬАнЖч (X)

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Explorer \ MountPoints2 \\ Shell \ explore \ Command]
строковий параметр за замовчуванням - RavMon.exe -e

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Explorer \ MountPoints2 \\ Shell \ open]
строковий параметр за замовчуванням - ґтїЄ (O)

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Explorer \ MountPoints2 \\ Shell \ open \ Command]
строковий параметр за замовчуванням - RavMon.exe

При цьому в контекстному меню дисків замість пунктів Відкрити. Провідник - з'являються пункти ґтїЄ (O), ЧКФґ№ЬАнЖч (X).

У чому полягає проблема і як її вирішити
Проблема полягає в тому, що після лікування флешки (або локального диска) файл autorun.inf і ключі Реєстру. створені вірусом, залишаються, і при спробі відкриття носія лівою кнопкою миші з'являється повідомлення про помилку.

В такому випадку відкривайте носій клацанням правої кнопки миші (з контекстного меню виберіть Провідник або Відкрити). Як правило, при цьому диск розкривається.
Якщо ж з'явиться вікно Вибір програми з повідомленням Виберіть програму для відкриття цього файлу. Файл (буква_диска). в поле Програми за замовчуванням буде виділено Internet Explorer. за допомогою якого можна відкрити диск, клацнувши кнопку OK. Якщо в поле Програми немає Internet Explorer (або з його допомогою розкрити диск не вдається), а потім натисніть кнопку Огляд ... і виберіть Провідник Windows (\ WINDOWS \ explorer.exe) -> OK -> OK.
Розкривши диск, знайдіть файл autorun.inf і видаліть його.

Увага!
1. Цей файл, як правило, має атрибути Прихований. Системний. Тільки для читання. Тому в меню Сервіс -> Властивості папки ... -> Вид -> потрібно поставити перемикач Показувати приховані файли і папки. встановити прапорець Відображати вміст системних папок і зняти прапорець Приховувати захищені системні файли -> OK.
Якщо пункт меню Властивості теки недоступний, див. Що робити, якщо недоступний пункт меню «Властивості папки»?
2. Якщо видалити з Реєстру ключі, створені вірусом, але залишити файл autorun.inf. то при кожній спробі розкрити носій цей файл буде знову створювати ключі вірусу в Реєстрі.
3. Якщо вірус пропише файл autorun.inf в корені локального диска (C: \, D: \, E: \ ...), то симптоми будуть такі ж (тобто лівою кнопкою миші розкрити його не вдасться).

12. Якщо ви не можете запустити txt-файли, знайдіть в Реєстрі розділ [HKEY_CLASSES_ROOT \ txtfile \ shell \ open \ command] і виправте значення розширюваного строкового параметра за замовчуванням на% SystemRoot% \ system32 \ NOTEPAD.EXE% 1

13. Якщо ви не можете запустити reg-файли, знайдіть в Реєстрі розділ [HKEY_CLASSES_ROOT \ regfile \ shell \ open \ command] і виправте значення строкового параметра за замовчуванням на regedit.exe "% 1"

14. Якщо у вас почалися проблеми з установкою програм, знайдіть в Реєстрі розділ [HKEY_CLASSES_ROOT \ Msi.Package \ shell \ Open \ command] і виправте значення розширюваного строкового параметра за замовчуванням на "% SystemRoot% \ System32 \ msiexec.exe" / i "% 1"% *

15. Якщо у вас почалися проблеми з унінсталляціей (видаленням) програм, знайдіть в Реєстрі розділ [HKEY_CLASSES_ROOT \ Msi.Package \ shell \ Uninstall \ comm and] і виправте значення розширюваного строкового параметра за замовчуванням на "% SystemRoot% \ System32 \ msiexec. exe "/ x"% 1 "% *

Усунення наслідків атаки вірусів - технічний форум