Ako odstrániť trojan Win32 / Spy.Shiz.NCF (bezpečnosť)

Niečo sa mi deje s počítačom, stiahol som si film na internete, ktorý vyšiel práve vo filmových divadlách, hlboko dole som pochopil, že tu niečo nie je v poriadku, ale skutočne som chcel vidieť novosť. Ani som nevenoval pozornosť skutočnosti, že stiahnutý video súbor váži veľmi málo - 137 KB, keď sa snažím pozerať na film, môj počítač zamrzne. Antivírus nainštalovaný v systéme začal zobrazovať správu, ktorá uvádza, že v priečinku C: \ Windows \ AppPatch vírus bol nájdený a ponúka jeho odstránenie, súhlasím s tým, že po chvíli sa znova objaví rovnaká správa. Pokúsil som sa úplne odstrániť tento podivný priečinok C: \ Windows \ AppPatch, ale nič nefunguje a je zaujímavé, že ani v núdzovom režime sa neodstráni, všetko končí chybou. Zároveň sa systém začal načítavať veľmi dlho, nemôžem sa prihlásiť na niektoré stránky, napríklad spolužiaci - hovoria o nesprávnom používateľskom mene alebo hesle, spolieham sa na vašu pomoc.
List č. 2 Dobrý deň, povedzte mi, ako mám byť, dnes ráno na dosť zvláštnom webe som si stiahol knihu napriek tomu potrebnú pre moje štúdium, ktorá sa teraz predáva v kníhkupectvách za pomerne drahú cenu a pokúsila sa ju otvoriť. Náhle mi antivírus prisahal do priečinka C: \ Windows \ AppPatch a tam niečo odstránili, teraz sa pri načítaní operačného systému Windows 7 zobrazí správa: Windows nemohli nájsť C: \ Windows \ AppPatch \ hsgpxjt.exe. Operačný systém sa spomaľuje a mrzne, pošlem vám snímku obrazovky s touto chybou v e-maile. Na internete som zistil, že táto zložka obsahuje vírusy a musí byť odstránená, ale nedá sa odstrániť ani v bezpečnom režime, vyskytne sa chyba. A na vašich stránkach hovoria, že tento priečinok nemôžete odstrániť, pretože patrí do operačného systému. Vysvetlite preto všetko.

Ako odstrániť trojan Win32 / Spy.Shiz.NCF

Obsah článku:

Ako odstrániť C: \ Windows \ AppPatch zo systémového priečinka vírus alebo trójsky kôň, ktorý má svoj názov podľa klasifikácie antivírusovej spoločnosti ESET - Win32 / Spy.Shiz.NCF, ktorá ukradne heslá a informácie z vášho počítača, podľa náhodného vygenerovania názvu vírusového súboru v operačnom systéme a môže to byť takto: hsgpxjt.exe alebo Príkladom je matadd.exe atď. Samotný priečinok AppPatch je systémový priečinok a nemusíte ho mazať.
Ako sa vírus dostane do nášho počítača.

Len včera ma môj priateľ požiadal, aby som mu pomohol vyriešiť podobný problém. Windows 7 môjho priateľa sa prvýkrát spúšťa na dlhú dobu a po druhé to funguje so silným zamrznutím, nainštalovaný antivírusový program nebol aktualizovaný rok, pretože môj priateľ je príliš lenivý na obnovenie predplatného. Posledným dôvodom, prečo sa na mňa môj priateľ obrátil, bolo to, že jeho manželka sa nedokázala dostať ku spolužiakom.
Takže priatelia, v prvom rade, v prípade takýchto problémov môžete použiť Obnovenie systému alebo spustiť počítač z antivírusového disku a vyhľadať celý systém na prítomnosť vírusov, o tom, ako si takýto disk stiahnuť, vypáliť na prázdne miesto a odstrániť vírusy z Windows, máme niekoľko podrobných článkov : Ako bezplatne vyhľadávať vírusy v počítači pomocou antivírusových jednotiek od troch rôznych výrobcov.
Pokúsime sa vírus odstrániť manuálne, je to zaujímavejšie. Zapneme počítač môjho priateľa, operačný systém trvá dosť dlho, kým sa načíta, nezabudnite na prvé pravidlo vírusu, ktoré sa dostane do programu Startup, a potom vykonajte jeho deštruktívne akcie, myslím, že sa mu to podarilo.
Najprv skontrolujte priečinok Po spustení, ale nič v ňom nie je
C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

Ďalej skontrolujeme spustenie pomocou vstavaného pomocného programu Windows na správu spúšťacích programov s názvom MSConfig, poďme štart->beh, verbujeme msconfig

a tu ste neznámy prvok so zvláštnym menom Userinit umiestnené v štarte,

spustiteľný súbor sa nachádza na adrese

C: \ Windows \ AppPatch \ matadd.exe.

Tento názov vírusu matadd.exe je náhodne generovaný systémom, nemôžete sa naň zamerať, vo vašom prípade to bude iné, ale viete, že vírus sa v skutočnosti nazýva Win32 / Spy.Shiz.NCF a je trójsky kôň. Poďme do tohto priečinka a pokúsime sa ho odstrániť. Bohužiaľ, kým je vírus aktívny, nepodaríme sa, alebo vírusový súbor môžete odstrániť, ale o pár sekúnd sa znova vytvorí znova..
V okne pomôcky msconfig zrušte začiarknutie tejto položky Userinit,

to znamená, že ju vylúčime zo spustenia. Bohužiaľ, vo väčšine prípadov to neznamená, že vírus pri ďalšom štarte operačného systému znova nenačíta svoje súbory, pretože sme nemohli odstrániť vírusový súbor z priečinka C: \ Windows \ AppPatch..

Na úspešný boj proti vírusu potrebujeme asistenta, ktorý:

Najprv môžeme vírusový súbor ukázať pri spustení
Po druhé, ukáže nám zmeny vykonané vírusom v registri

Aby ste videli všetko, čo sa deje pri štarte, potrebujete špeciálny program AnVir Task Manager alebo iný Autoruns od Marka Russinoviča, obaja sú zadarmo, navrhujem použiť pomôcku AnVir Task Manager, pretože som o nej už dávno vedel viac o začiatočníkoch. Stiahnite si ho tu http://www.anvir.net/ a nainštalujte ho.

Úplný popis práce s obslužným programom nájdete v tomto článku v našom článku Spúšťanie programov v systéme Windows 7
Jedinou výzvou, na úplnom začiatku inštalácie, NESVOLITE úplnú inštaláciu podľa odporúčaní, ale vyberte Nastavenie parametrov a zrušte začiarknutie všetkého, čo nepotrebujete, nechajte iba na Spustite AnVir Task Manager (odporúča sa) a pridajte ikonu na plochu.

Po nainštalovaní programu ho spustíme a uvidíme taký obrázok, v registri vírusu sa vykoná až päť zmien. Zrušte začiarknutie a tým odstráňte zmeny vírusu v registri.

Pozrime sa, koľko vírusu prenikol do nášho systému. Umiestnite kurzor myši na názov vírusového kľúča zaťaženie, kliknite pravým tlačidlom myši az ponuky vyberte príkaz Prejsť-> Zobraziť súbor v Prieskumníkovi

a okamžite sa dostanete do nášho priečinka s vírusovým súborom C: \ Windows \ AppPatch \ matadd.exe.

Pozeráme sa tiež na umiestnenie vírusových položiek v registri. Vidíme, že vírusový program vykonal svoje zmeny v dvoch častiach registra, pozrieme sa podrobne a okamžite ho odstránime.
Kliknite pravým tlačidlom myši na kľúč vytvorený vírusom. zaťaženie a vyberte v ponuke Go-> Otvorte umiestnenie záznamu v registri.

časť
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Pridali sa dva kľúče, odstráňte ich
Načítať REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Spustite REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe

Kliknite pravým tlačidlom myši na kľúč vytvorený vírusom. Userinit a vyberte v ponuke Go-> Otvorte umiestnenie záznamu v registri

časť
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Kľúč je pridaný, stačí ho odstrániť
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Po odstránení kľúčov databázy Registry vytvorených vírusovým programom sa vírus okamžite pokúsi ich znova vytvoriť, čo náš správca úloh AnVir okamžite upozorní pomocou tohto okna. deletea chrániť register.

Keby sme nemali AnVir alebo podobné, nemohli by sme zabrániť vytváraniu nových vírusových kľúčov v registri..
Po vymazaní týchto položiek v registri venujte pozornosť tomu, ako vyzerá náš Startup, v ňom nie je nič okrem nášho programu AnVir Task Manager..

Ale to nie sú všetci priatelia, teraz musíme skontrolovať názov nášho vírusu v celom registri matadd.exe, klikneme na kľúč databázy Registry, na ktorý sme sa ešte nepozerali pomocou HKEY_LOCAL_MACHINE pravým tlačidlom myši a vyberte príkaz Find, do vyhľadávacieho poľa zadajte názov nášho vírusu matadd.exe a kliknite na tlačidlo Find next

a také kľúče sú v kľúči registra zodpovednom za možnosti zavedenia operačného systému - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Poznámka: Vírus zmenil kľúče zodpovedné za načítanie systému, ale kľúče sú úplne systém a Userinit nie je možné odstrániť z registra, ako v predchádzajúcich prípadoch, z ktorých musíte odstrániť nesprávne parametre:

Systém REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe

Musí to tak byť
Systém REG_SZ
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,
odstráňte zvyšok a naše dve nastavenia registra by mali vyzerať takto.

Po vyčistení registra určite reštartujte počítač a jednoducho vymažte vírusový súbor matadd.exe z priečinka C: \ WINDOWS \ apppatch..

Pozeráme sa tiež na priečinky dočasných súborov, z ktorých vírusy často spúšťajú spustiteľné súbory..

C: \ USERS \ username \ AppData \ Local \ Temp, Mimochodom, vymažte všetko z priečinka Temp.

Koreň systémovej jednotky, zvyčajne (C :). A samozrejme musíte skontrolovať celý systém pomocou antivírusu. Alebo si stiahnite antivírusový program Dr.Web CureIt alebo antivírusové programy spoločnosti Microsoft.

Teraz môžeme povedať, že sme zachránili náš operačný systém pred vírusom bez toho, aby sme sa uchýlili do bezpečného režimu. Ak nemôžete odstrániť vírusový súbor z priečinka C: \ Windows \ AppPatch, potom ste nevyčistili celý register, niečo ste zmeškali.
Môžete tiež všetko zjednodušiť., odstráňte vírus zo zložky C: \ Windows \ AppPatch zavedením z ľubovoľného Live CD, a potom vyčistite register.
To všetko je dobré, ale veľa používateľov sa opýta: Ako sa vírus dostal do priečinka C: \ Windows \ AppPatch?
Priatelia takmer všetky vírusy k nám prichádzajú z internetu, takže keď sťahujete čokoľvek, buďte veľmi opatrní, aby ste si nevypínali hlavu. Vezmime si napríklad dva listy, ktorých obsah som citoval na začiatku článku. Naši čitatelia si boli takmer istí, že nestahujú to, čo je potrebné, ale stále ukončili záležitosť a chytili vírus. Syr syr dodávajte iba v pasca na myši.
Ak potrebujete nejakú knihu na štúdium, porozmýšľajte o jej autorovi, pretože aby ste ju napísali pre vás, autor si vzal čas od seba a svojej rodiny a stále si ju môže kúpiť.
Nakoniec pár prianí. Nikdy nevypínajte obnovu systému. Po druhé, v počítači vždy musíte mať normálny antivírusový program, samozrejme s najnovšími antivírusovými aktualizáciami databázy. Vytvárajte zálohy operačného systému pravidelne. Nepracujte pod účtom správcu počítača, vytvorte si účet s obmedzenými právami.