Restaurarea sistemului computerului după un atac de virus
Procesul de restabilire a sistemului PC după software-ul virusului atac.
Vă mulțumim pentru ajutorul acordat în pregătirea maeștrilor materiale ale centrului de servicii de calculator Zapuskay.RF. Tipii ăștia, puteți comanda repararea laptop-uri și netbook-uri din Moscova.
Malware încorporat în sistemul de operare al unui calculator personal, provocând pagube considerabile pentru întregul volum de date. În acest moment, în programele de dăunători timp sunt create pentru scopuri diferite, astfel încât acțiunile lor au ca scop ajustarea diferitelor structuri ale sistemului de operare al unui calculator personal.
Prevalența și consecințele, evident pentru utilizator, este o problemă cu rețeaua de Internet, funcționarea defectuoasă a dispozitivelor conectate la PC.
Chiar dacă dăunătorul a fost găsit și distrus - nu exclude pierderea de date și alte probleme care apar în lucrările ulterioare. Enumera opțiunile pot fi fără sfârșit, de multe ori utilizatorul găsește un blocaj complet sau parțial al accesului la rețeaua mondială, eșecul dispozitivelor externe (mouse-ul, stick de memorie), un desktop gol și mai mult.
Aceste efecte apar din cauza schimbărilor care au făcut programul - dăunătorilor în fișierele de sistem ale unui calculator personal. Astfel de modificări nu sunt eliminate cu eliminarea virusului, care au nevoie să se adapteze propriile lor, sau înrola ajutorul profesioniștilor. De fapt, acest tip de muncă nu necesită o pregătire specială, și poate efectua orice utilizator avansat respectați instrucțiunile relevante.
În practica organizării de recuperare a sistemului de operare există mai multe abordări, în funcție de motivele care au dus la accident. Să luăm în considerare fiecare dintre opțiunile în detaliu. metode simple sunt disponibile pentru fiecare utilizator - o rola spate a sistemului de operare la un punct de restaurare, atunci când activitatea unui calculator personal în conformitate cu cerințele utilizatorului. Dar, de foarte multe ori decizia nu este NYM satisfăcătoare, sau nu poate fi pus în aplicare din motive obiective.
Utilizați instrumentele standard de Windows pentru a restabili sistemul de operare nu este posibil, de exemplu, în cazul în care intrarea nu este posibilă, sau există alte motive care împiedică punerea în aplicare a operațiunii în modul standard. Situația este rezolvabile folosind instrumente ERD Commander (ERDC).
Cum funcționează programul, analizăm situația secvențial. Primul pas - descărcare. Al doilea pas - este de a rula Syst instrument em Restore Wizard, se face cu ajutorul rollback sistemului de operare pentru a restabili poziția specificată.
De regulă, fiecare instrument are în stoc câteva puncte de control, optzeci la suta din PC construibil, e va fi complet reînviat.
Aplicarea instrumentelor de utilitate vz
Vizualizat instrument suplimentar în activitatea nu necesită abilități speciale și aptitudini de utilizare. Produsul software dezvoltat Olegom Zaytsevym, și este proiectat pentru a găsi și distruge toate tipurile de viruși și malware. Dar, în plus față de funcția de bază, utilitatea restabilește cele mai multe dintre setările de sistem care au fost atacate sau modificări ale virusului dăunătorilor la ea.
Ce probleme pot fi rezolvate reprezintă programul? Principalul lucru - restaurarea fișierelor de sistem și setările expuse la viruși. Utilitate se descurcă cu programe șofer defecte care refuză să înceapă după recuperare. Atunci când există probleme de performanță în browsere sau, în cazul blocării accesului la Internet și multe alte probleme.
După cum puteți vedea, un set de tranzacții este de 21 de puncte, iar numele fiecăruia dintre ele explică scopul său. Trebuie remarcat faptul că caracteristicile programului sunt destul de variate și poate fi considerat un instrument universal în camera de urgență nu este numai sistemul în sine, ci și pentru a elimina consecințele activității virusurilor din datele de sistem.
Primul parametru este utilizat atunci când consecințele atacurilor virușilor și a procedurilor de recuperare a sistemului de operare refuză să lucreze nevoie de programul de utilizator. De obicei, acest lucru se întâmplă în cazul în care dăunătorul a pătruns în fișierele și programele de driver și a făcut orice modificări ale informațiilor înregistrate acolo.
Este nevoie de-al doilea parametru, atunci când virusurile efectuate domenii de substituție la intrarea lor într-un sistem de browser de căutare. O astfel de substituție - primul nivel de sistem de reglare a interacțiunii dintre fișierele de sistem de operare și Internet. Această funcție a programului, de regulă, fără urmă elimina modificările și încearcă să le găsească, ci pur și simplu pune un format complet din volumul prefixe și jurnal de date, înlocuindu-le cu setările implicite.
Setarea treilea parametru se reia începând cu o pagină de browser de Internet. La fel ca în cazul precedent, în mod implicit, programul ajustează problema Internet Explorer.
Al patrulea parametru reglează funcționarea motorului de căutare și stabilește modul de operare standard. Din nou, procedura vine în browser-ul pentru Windows instalat în mod implicit.
Dacă problema este legată de funcționarea desktop (aspectul de ea bannere, grafica, intrările străine) pentru a activa al cincilea punct al programului. Astfel de efecte ale programelor rău intenționate au fost foarte populare în urmă cu câțiva ani și a adus o mulțime de probleme pentru utilizatori, dar acest lucru nu este posibil de penetrare a sistemului de operare PC-ul astfel bârfitori.
Este nevoie de al șaselea punct în cazul în care programul de-molid prejudiciu acțiunile utilizatorului limitate în cazul în care un număr de echipe. Aceste limitări pot fi de natură diferită, și pentru că setările de acces sunt stocate în registru, malware-ului folosesc adesea aceste informații pentru a ajusta experiența utilizatorului cu PC-ul.
Dacă în timpul procesului de boot apare mesajul fețe, înseamnă că molidul program rău ar putea infiltra parametrii de pornire Windows NT. Restaurarea sistemului de operare, distruge virusul, nu elimină acest mesaj. Pentru ca ar elimina necesitatea de a activa meniul a șaptea utilitate parametru avz.
A opta opțiune de meniu, în conformitate cu titlul, restaurează ghid de configurare.
Uneori, problema se manifestă sub formă de perturbare a componentelor sistemului, ca de exemplu, desktop-ul dispare în timpul lansării de sisteme de operare PC. Vz diagnostice de utilitate ale acestor structuri și a face ajustările necesare folosind cele nouă puncte din meniul Instrumente.
Probleme sistem de operare de boot în modul de siguranță elimină punctul zece. Pentru a descoperi nevoia de activare a utilităților element multiprogrammy luate în considerare aici este simplu. Ele se manifestă în orice încercare de a desfășura o activitate într-un mod de siguranță.
Dacă există un Task Manager de blocare, este necesar să se activeze unsprezece elementul de meniu. Virușii de administrator face modificări la activarea partiția sistemului de operare, precum și un mesaj apare în locul ferestrei de lucru care funcționează cu Task Manager este dezactivat.
HijackThis utilitate ca una dintre principalele sale funcții utilizează stocarea în lista de excludere de registru. Suficient pentru ca virusul sa patrunda in baza de date de utilitate și fișierele jurnal în lista de registru. După aceea, el poate, în mod independent reductibilă am număr nelimitat de ori. Curățarea utilităților de registru se datorează activării paragrafului avz meniul de setări al XII-lea.
În continuare, elementul treisprezecea vă permite să ștergeți fișierul Hosts, acest fișier este modificat virus poate provoca dificultăți atunci când se lucrează cu rețeaua, bloca unele resurse pentru a interfera cu programe anti-virus actualiza datele bazei de date. Funcționarea acestui fișier va fi analizat în detaliu mai jos. Din păcate, editați fișierul tind să aproape toate programele de virus, care se datorează, în primul rând, cu simplitatea unor astfel de modificări, iar efectele pot fi mai mult decât semnificativă, iar după informațiile de ștergere de virus înregistrate în fișierul poate fi poarta de acces direct pentru intrarea în OS noi dăunători și spyware.
Dacă blocați accesul la Internet, acesta indică de obicei prezența unor erori în configurația SPI. corectarea lor se va întâmpla, dacă activați elementul de meniu paisprezece. Este important ca acest alineat setări nu pot fi utilizate de la o sesiune de terminal.
Oportunități saisprezecea element de meniu care vizează restaurarea chei de registry de sistem, care sunt responsabile pentru lansarea unui browser de Internet.
Următoarele patru puncte se recomandă numai în cazul în care corupția sistemului de operare este atât de catastrofal încât de mare și nu există nici o diferență dacă acestea vor fi eliminate prin intermediul unor astfel de metode sau ca urmare a unor nevoi pereustanavlivat s întregul sistem.
Astfel, paragraful al optsprezecelea recreează configurația originală SPI. element al XlX curăță registrul de monturile / 2.
element al XX-lea șterge toate rutele statice. În cele din urmă, ultimul douăzeci și primul element, șterge toate conectivitate DNS.
După cum puteți vedea, este posibil să acopere utilitate aproape toate domeniile în care programul poate penetra-un rău molid și lasă traseul activ pentru a descoperi că nu este atât de simplu.
Ca urmare a tratamentului sistemului de operare al calculatorului personal nu funcționează pe dispozitivele atașate.
Una dintre cele mai populare moduri de a deghiza spyware - este stabilirea conducătorului auto sale virale, în plus față de software-ul real. În această situație, conducătorul auto real este de multe ori un mouse sau un fișier de tastatură. În consecință, după ce virusul a distrus, acesta ar trebui să rămână în registru, pentru acest motiv, dispozitivul la care ar putea adera la dăunătorul nu funcționează.
O situație similară se observă defecțiunea în procesul de eliminare a Kaspersky Anti-Virus. De asemenea, este legată de specificul programului de instalare atunci când instalarea acestuia pe un PC cu ajutorul unui klmouflt șofer auxiliar. În cazul Kaspersky, conducătorul auto trebuie să găsească și să elimine complet dintr-un sistem de calculator personal, în conformitate cu toate regulile.
Dacă tastatura și mouse-ul refuză să funcționeze în modul dorit, în primul rând aveți nevoie pentru a restabili cheile de registry.
tastatură:
HKEY_LOCAL_MACHI NE \ SYSTEM \ Curren tControlSet \ Cont ROL \ Class \
UpperFilters = class kbd
mouse-ul:
HKEY_LOCAL_MACHI NE \ SYSTEM \ Curren tControlSet \ Cont ROL \ Class \
UpperFilters = class mou
Problema de site-uri inaccesibile
Efectele atacurilor malware pot să nu fie disponibile unele resurse de pe Internet. Și aceste consecințe sunt rezultatul modificărilor care au avut de a face viruși în sistem. Problema este detectat imediat sau după un anumit timp, dar în cazul în care rezultatul programelor de acțiune dăunătorilor sa manifestat după ceva timp, scoateți nu va fi dificil.
Există două versiuni ale broaștei și cea mai comună - este ajustarea fișierului gazde. A doua opțiune a face rute statice false. Chiar dacă virusul este ucis, au făcut modificări în aceste instrumente nu sunt eliminate.
Dacă se utilizează un fișier al cursului specificat de acțiune nu poate fi găsit, aceasta poate însemna că:
- virus program a schimbat locația sa în registru;
- fișier documentul are un parametru este „ascuns“.
În ceea ce privește corectarea rutelor aici principiu de acțiune este același. Cu toate acestea, în procesul de interacțiune între sistemul de operare al unui calculator și Internet rămâne o prioritate întotdeauna cu gazdele de fișiere. astfel încât recuperarea lui este suficientă pentru munca efectuată în modul standard.
Dificultatea apare în cazul în care este necesar fișierul nu poate fi găsit, deoarece virusul își schimbă locația în folderele de sistem. Apoi, este necesar să se corecteze cheia de registry.
HKEY_LOCAL_MACHI NE \ SYSTEM \ Curren tControlSet \ serv icii \ Tcpip \ Param eters \ DataBasePa lea
Aici sunt două din același fișier, dar ca sistemul de operare nu permite să folosească nume identice, este clar că avem de-a face cu un document fals. Pentru a determina care dintre ele este corectă și care nu este ușor. Virusul creează un fișier mare și numeroase ajustări, astfel încât rezultatul din figura lui wrecking prezintă un fișier ascuns de 173 KB.
În cazul în care documentul deschis, informațiile conținute de acesta va conține următoarele linii:
127.0.0.1 avast.com - fișier scris-line virus pentru a interzice accesul la site-ul de software anti-virus
Am observat deja că unele resurse pot fi blocate și prin crearea unor trasee incorecte în tabela de rutare. Cum pot rezolva situația, ia în considerare posledovatelnos să fie o acțiune.
Tabelul de mai sus este pentru PC standard cu un singur adaptor de rețea, precum și setările de conexiune de rețea:
default gateway-ul 192.168.0.1
Reprezintă următoarea configurație:
masca de rețea - 255.255.255.0
Gateway - 192.168.0.3
Interfață - 192.168.0.3
Pentru a remedia situația nu este dificilă, în acest scop, utilizați comanda traseu și șterge-cheie. Am găsit o înregistrare falsă și deinstalruem de masă. O notă mică, toate operațiunile sunt fezabile numai în cazul în care utilizatorul are drepturi de administrator, dar, de asemenea, o schimbare în calea virusului se poate face numai în cazul în care a pătruns în rețea prin contul de administrator PC. Iată câteva exemple de astfel de sarcini.
traseu șterge 74.55.40.0 - înregistrarea, elimină primul exemplu de realizare linia traseului;
traseu șterge 74.55.74.0 - intrare, șterge a doua versiune a liniei traseului.
Numărul acestor linii ar trebui să fie numărul total de căi false.
Dacă vii la o procedură mai simplă, este necesar să se aplice operația de ieșire de redirecționare. Acest lucru se face prin introducerea sarcinilor traseului de imprimare> C: \ routes.txt. Activarea comenzii creează o situație în care fișierul documentul cu numele routes.txt este creat pe unitatea de sistem, acesta conține un tabel cu datele de traseu.
Tabel Lista conține coduri de caractere DOS. Aceste caractere nu sunt ușor de citit, și nu au nici o valoare pentru munca. Adăugarea la începutul fiecărei misiuni traseu traseu șterge, eliminați fiecare înregistrare falsă. Se pare ceva de genul:
traseu șterge 84.50.0.0
traseu șterge 84.52.233.0
traseu șterge 84.53.70.0
traseu șterge 84.53.201.0
traseu șterge 84.54.46.0
Atunci când trasee false în tabelul de date este scris o mulțime și ajustați-le manual se pare proces lung și obositor, se recomandă să se aplice ruta de activitate, împreună cu tasta F.
program antivirus avz poate fi, de asemenea, utilizat pentru a regla setările routerului. multiprogramma specifice implicate în acest proces - aceasta este XX setările elementelor TCP.
După desfășurarea tuturor lucrărilor ce trebuie să faceți pentru a reporni PC-ul.