Я работаю на компьютере с Windows XP, у которого был неудачный опыт заражения вредоносным ПО, которое в значительной степени отключило все. Мне удалось очистить компьютер с помощью комбинации автономных инструментов (MS Defender Offline и т.д.) Хотя компьютер чистый, я больше не вижу никаких файлов, щелкните правой кнопкой мыши на рабочем столе, запустите диспетчер задач и т.д. Я знаю, как исправить все эти проблемы вручную, включая настройку атрибутов файла и редактирование реестра, но я надеюсь сэкономить часы поиска каждой проблемы. Не говоря уже о нежелательных проблемах, которые могут возникнуть, когда вы видите и несистемные файлы, которые не должны были быть видны. Есть ли где-нибудь инструмент, который будет сбрасывать все ограничения в реестре на значения по умолчанию и отображать только те файлы, которые не должны быть спрятаны в одном трещине?
4 ответа
На шаге 19 очищаем инфекцию "Исправление системы" (которая скрывает все) от Bleeping Computer:
19.Это семейство заражений также будет скрывать все файлы на вашем компьютере от просмотра. Чтобы снова сделать ваши файлы видимыми, загрузите следующую программу на рабочий стол:
Unhide.exe
После того, как программа была загружена, дважды щелкните значок Unhide.exe на рабочем столе и дайте программе запуститься. Эта программа удалит атрибут +H или скрытый атрибут из всех файлов на ваших жестких дисках. Если есть какие-либо файлы, которые были специально скрыты вами, вам нужно будет снова скрыть их после запуска этого инструмента.
Я использовал его, и он работал как ожидалось.
Вот прямая ссылка на загрузку Unhide.exe, убедитесь, что ВСЕ инфекции / руткиты были удалены первыми или их запуск может быть предотвращен. :)
Для скрытых файлов: запустите ATTRIB -h c:\*.* /s /d . Это не сбросит системные файлы. Затем я запустил Malwarebytes AntiMalware, чтобы диспетчер задач, рабочий стол и другие параметры безопасности снова работали правильно
Я бы начал здесь ремонт вредоносных программ
Я видел эту инфекцию и даже используя все инструменты, упомянутые в ряде статей, каждая инфекция приводила к формату и переустановке. В одном случае я восстановил данные, в другом данные были потеряны.
У меня было это из онлайн-источника. Я еще не смог попробовать и не могу найти источник снова
• Живет обычно в «каталоге всех пользователей». Иногда в корне «все пользователи», иногда в папке «application data\temp», а иногда и в обоих. Перейдите к параметрам папки, чтобы показать все файлы и скрытые файлы ОС, чтобы увидеть их снова. Это НЕ меняет их «скрытое» значение. Об этом позже позаботятся в статье ниже.
• Записи реестра обычно не существуют. Похоже, что он находится под контролем вредоносной копии 'c:\windows\system32\shell32.dll. Переименуйте его в .old, чтобы начать исправлять ошибки, иначе он будет появляться при каждой перезагрузке. Чем быстрее вы это сделаете, тем лучше будет. Когда вы начинаете просматривать структуру каталогов \system32, кажется, что это вызывает необычную активность: либо повторное скрытие файлов, либо распространение других троянов. Я получил переименование Джейсона в течение 5 или 7 секунд, и это было в порядке ..
• Имя запускаемой программы (т.е. npl3749fqld.exe) и расположение каталога обычно указываются только в папках 'docs \all users \start menu \ Programs \startup' и msconfig. Здесь вы увидите имя вашего файла запуска whatevername.ini. Отредактируйте файл, чтобы просмотреть местоположение и имя фактического файла троянца. Редактирование файла, похоже, ничего не вызывает. Я думаю, что это только ссылка для запуска для распространения вируса.
• Как только вы найдете информацию о местонахождении, действия становятся такими же, как и все остальные virii. Переименуй это. Ищите его в реестре. Удали это. Удалите все временные папки для «всех пользователей», «пользователей по умолчанию», собственно пользователя и любых других профилей на компьютере. Этот вирус будет устанавливать файл whatevername.ini для каждого пользователя на коробке. Вы должны очистить их все, включая временные файлы.
• Атрибут для отображения всех файлов:'attrib -s -h -rc:/. /s /d '. Это займет некоторое время , чтобы бежать, но он должен быть запущен под учетной записью администратора или она не будет выполнена. Может быть запущен в безопасном режиме или обычном запуске
• Вы можете запустить mssec в безопасном режиме для поиска, но это нужно сделать вручную, так как элементы вашего стартового меню будут скрыты до перезапуска, чего вы не хотите делать, если не уверены. Этот трудный.
Примечание... Если в папке c:\docs\users\all users\ вы видите папку с именем «Microsoft Anti-Malware» или другой вариант, удалите ее. Это НЕ MS Anti-вредоносный продукт. Я не знаю, было ли это связано с этим вирусом или нет, но это было на одной системной коробке. Подходящее место для защиты от вредоносных программ находится в каталоге c; | program files\ microsoft security client\, где вы также найдете файл msseces.exe для проверки на вирусы перед перезапуском.
Этот бесплатный инструмент решил для меня проблему. Его нужно скопировать в папку скрытых файлов. https://sourceforge.net/projects/fixhiddenfilesmalware/