1
Opriți computerul infectat. Deschideți carcasa și scoateți hard diskul principal (care conține partiția împreună cu sistemul de operare).
2
Dacă aveți o carcasă externă USB / IEEE1394, puteți conecta discul infectat la computerul curat prin intermediul acestuia, în loc să utilizați următorii doi pași.
3
Opriți calculatorul curat. Deschideți carcasa și atașați discul infectat.
4
Porniți calculatorul curat. Fiți absolut siguri că va porni din sistemul de operare curat, nu de pe discul infectat! Cele mai multe computere au un meniu de boot care poate fi accesat de către tasta F11 sau Esc la scurt timp după ce este pornit.
5
Asigurați-vă că puteți vedea toate fișierele. Odată ce sistemul de operare calculat curat a început, trebuie să curățați fișierele temporare de pe discul infectat pentru a căuta ușor. Dar, mai întâi, trebuie să vizualizați toate fișierele, chiar și fișierele ascunse și de sistem. Accesați "Control Panel" -> "Folder Options" și faceți clic pe fila "View" din partea de sus a ferestrei "Options Folder". Ar trebui să modificați următoarele opțiuni:
- Verificați afișarea conținutului dosarelor de sistem
- Verificați Afișați fișierele și folderele și folderele ascunse
- Debifați Ascundeți extensiile pentru tipurile de fișiere cunoscute
- Debifați Ascundere fișierelor sistemului de operare protejat (recomandat)
6
Notați scrisoarea discului infectat. Acesta va fi, probabil, E: sau F:, în funcție de numărul de hard disk-uri, partiții, și CD / DVD drive aveți în calculatorul curat. Să considerăm că avem de-a face cu discul F: pentru acest ghid.
7
Curățați dosarele fișierelor temporare. Odată ce fișierele temporare de fișiere sunt curățate, vor fi mai puține fișiere de scanat. Acest lucru ar trebui să facă din următorii pași mai puțin obositori. Este posibil să nu existe unele dintre următoarele foldere, unele pot fi în locații diferite. Este important să găsiți și să ștergeți memoria cache a tuturor browserelor (IE / retscape / Firefox / Opera) pentru fiecare utilizator! Verificați următoarele foldere și ștergeți conținutul acestora, dar nu dosarele.
- F: TEMP
- F: Windows TEMP sau F: WINNT Temp (numai NT4 și Windows 2000 utilizează "WinNT")
- F: WINNT Profiluri Nume utilizator Setări locale Temp
- F: WINNT Profiles Nume utilizator Setări locale Fișiere Internet Temporare
- F: WINNT Profiles Nume utilizator Setări locale Date de aplicație Mozilla Firefox Profiles SomeRandomName.default Cache
- F: Documente și setări Nume utilizator Setări locale Temp
- F: Documents and Settings Nume utilizator Setări locale Fișiere Internet Temporare
- F: Documents and Settings USERNAME Local Settings Application Data Mozilla Firefox Profiles SomeRandomName.default Cache
8
Vezi dacă recipientul este gol.
9
Încercați să creați copii de rezervă ale discului infectat într-un folder de pe computerul dvs. curat dacă aveți spațiu. Dacă puteți crea o copie de rezervă a întregului disc, faceți-o. În caz contrar, ar trebui să fie suficientă pentru o copie de rezervă numai „Documents and Settings“ și, probabil, unele dintre folderele jocuri (unele magazin de jocuri jocuri, hărți, scoruri, etc în dosarul de program salvat).
10
Faceți scanări complete cu programe antivirus și antispyware pe computer. Cu noroc acest lucru va găsi probleme pe discul infectat F: și le eliminați.
- Descărcați și instalați Spybot Search and Destroy și Lavasoft Adaware. Este important să utilizați ambele programe deoarece întâlnesc de obicei mai multe programe malware atunci când sunt utilizate împreună.
- Actualizați fișierele de setări când vi se solicită.
- Scanați computerul (poate dura o perioadă de timp).
- Eliminați orice spyware găsit.
- Asigurați-vă că aveți un program antivirus instalat și actualizat. Scanați cu atenție sistemul și eliminați orice virusuri, troieni și viermi găsiți.
11
Când toate scanările sunt complete, mergeți la "C: Program Files „(discul calculatorului curat) și copiați dosarele complete de Spybot, Ad-Aware și programul antivirus într-un nou dosar de pe discul infectat,“ F :. curățare „De asemenea, copiați fișierele de instalare pentru a acest dosar, este posibil să aveți nevoie de ele mai târziu.
12
Apăsați WindowsKey + F pentru a deschide fereastra de căutare a fișierelor. Dacă apare o imagine mică a unui câine, este mai bine să îl închideți deoarece face ca procesul de căutare să fie mai iritant. Opțiunile de căutare pe care trebuie să le utilizați pentru căutările care vor efectua sunt „Căutare în toate folderele și fișierele“ cu următoarele „Opțiuni avansate“ activat:
- Căutați fișiere de sistem
- Căutați fișiere și foldere ascunse
- Căutați subfoldere
13
Căutați numai pe disc F: pentru nume de fișiere care conțin "* .exe" și care au fost modificate în ultima săptămână. Introduceți "* .exe" și specificați "în ultima săptămână". De asemenea, puteți încerca să căutați în "ultima lună", în funcție de durata de viată a computerului dvs.
- Rulați căutarea și așteptați să se termine.
- Examinați fișierele găsite. Este posibil să recunoașteți unele dintre ele, mai ales dacă ați instalat recent unele programe. De exemplu, dacă ați instalat sau actualizat Lavasoft Ad-Aware, puteți vedea recent "F: Program Files Lavasoft -Aware Ad SE Personal Ad-Aware.exe" din această listă. Ignorați acest tip de fișier. Tipul de fișier pe care îl căutați este, de obicei, F: Windows System32, cu o dimensiune mai mică de 100 KB și un nume ciudat ca „lkaljya.exe“
- Orice fișiere pe care le găsiți trebuie mutate într-un dosar temporar, până când puteți verifica dacă acestea sunt legitime. De exemplu, puteți să creați un folder "F: carantine" și să îl mutați într-un subfolder "F: carantine Windows system32".
- Unele fișiere rău intenționate pot fi ascunse în directorul F: Windows system32 drivers, vor avea și nume ciudate precum "lkaljya.sys".
- Orice fișiere găsite trebuie mutate într-un dosar temporar, până când puteți verifica dacă acestea sunt legitime. De exemplu, puteți crea un director „F: carantină“ și mutați-le într-un subfolder „F: Carantina Windows system32 drivers“ acolo.
- Dacă aveți un program antivirus care rulează, acesta poate indica faptul că ați întâmpinat o amenințare în momentul selectării fișierului suspect. Dacă se întâmplă acest lucru, nu pierdeți timpul deplasând fișierul în dosarul de carantină, lăsați antivirusul să îl șterge.
- Acordați o atenție deosebită fișierelor * .exe cu nume aleatoare sau pretențioase. Numele de pretenții încearcă să pară importante, fiind similare cu numele programelor reale. De exemplu, un program legitim este "svchost.exe", în timp ce un program suspect ar fi "scvhost.exe".
- O altă modalitate bună de a diferenția programele legitime de programele dăunătoare este prin clic-dreapta pe fișierul executabil și selectând "Proprietăți" și apoi fila "Versiune" (dacă există). Dacă fișierul este semnat digital de o companie, acesta va avea proprietatea "Company Name" în această filă, precum "Microsoft Corporation" sau "Apple Computer Inc" sau "Logitech" etc. Aceste fișiere sunt probabil legitime. Dacă fișierul nu este semnat, trebuie să continuați investigația.
- Când sunteți îndoieli, accesați Google și introduceți numele complet al fișierului executabil suspect: "scvhost.exe", de exemplu. Examinați rezultatele căutării. Adesea veți vedea linkuri precum "scvhost.exe, bine sau rău?" sau "Ce face acest fișier?" și puteți vedea dacă este sau nu un fișier necesar.
- Acordați o atenție specială tuturor fișierelor * .exe pe care le găsiți în F: windows system32 și (mai ales) oriunde în F: Documents and Settings. Nu trebuie să existe multe (sau orice) executabile în dosarul "Documente și setări".
14
Repetați pasul anterior, însă acum căutați nume de fișiere cu "* .dll" implicit.
15
Repetați pasul anterior, însă acum căutați nume de fișiere cu "* .sys" implicit.
16
Acest ultim pas este mai complicat, dar poate, de obicei, curata chiar si cele mai dure amenintari. Fiți atenți și nu vă înșelați.
- Mergeți la Start-> Run, tastați "regedit" și apăsați Enter.
- Încărcați secțiunea "SOFTWARE" a calculatorului infectat și eliminați toate înregistrările incorecte de tip "run on login".
- Selectați HKEY_LOCAL_MACHINE dând clic stânga.
- Accesați meniul Fișier și alegeți "Încărcați secțiunea".
- Navigați la F: Windows System32 Config și alegeți fișierul numit "SOFTWARE".
- Vi se va solicita un nume cheie. Introduceți "INFECTED_SOFTWARE" și apăsați Enter.
- Faceți clic pe semnul plus de lângă HKEY_LOCAL_MACHINE pentru a descoperi cheia „INFECTED_SOFTWARE“.
- Navigați la HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion Run.
- Faceți o copie de rezervă! Faceți clic pe butonul din dreapta „Run“, pentru a alege „Export de date“ și salvați fișierul ca „INFECTED_SOFTWARE, Run.reg“ în dosarul de carantină. Rețineți că, dacă aveți nevoie pentru a restabili această copie de rezervă mai târziu, ca și computerul infectat se execută, va trebui să deschideți fișierul reg într-un editor de text și de a face o mică schimbare în calea cheie. HKEY_LOCAL_MACHINE INFECTED_SOFTWARE trebuie să fie schimbat la HKEY_LOCAL_MACHINE SOFTWARE, de exemplu. Dacă doriți doar să restaurați imediat fișierul reg în timp ce lucrează pe calculator curat, nu trebuie să-l editați, doar asigurați-vă că secțiunea este încă încărcată și dublu-clic pe fișierul reg pentru a reintroduce valorile lor în locurile corespunzătoare.
- În fila dreaptă ar trebui să vedeți o listă de intrări. Acestea pot include Java Update, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, drivere nVidia / ATI, drivere de sunet, drivere de tastatură / mouse, Antivirus, software Firewall etc. Din nou, folosiți judecata și metodele descrise mai devreme pentru a diferenția între bine și rău. Dacă determinați că ceva este o amenințare, obțineți fișierul EXE indicat de cheie și plasați-l în dosarul de carantină, apoi ștergeți cheia. Puteți să-l restaurați mai târziu utilizând backup-ul de registru.
- Urmați aceiași pași din "RunOnce" și "RunOnceEx" de lângă tasta "Run". Ele pot conține intrări sau nu.
- Când ați terminat, este important să dați clic pe "INFECTED_SOFTWARE", să accesați meniul Fișier și să alegeți "Descărcați secțiunea".
- Încărcați secțiunea "DEFAULT" a computerului infectat (F: Windows System32 Config DEFAULT) și eliminați toate înregistrările rău "run on login". Utilizați aceiași pași în secțiunea "SOFTWARE". Rețineți că este posibil ca secțiunea "DEFAULT" să nu aibă o tastă "Run". În acest caz, săriți-l. Asigurați-vă că descărcați "INFECTED_DEFAULT" când ați terminat.
- Încărcați secțiunea fiecărui utilizator de pe discul infectat. Veți găsi secțiunea din F: Documents and Settings UserName NTUSER.DAT - încărcați-o ca "INFECTED_NOMEDEUSUARIO" și inspectați-vă tastele "Run / RunOnce / RunOnceEx". Știți deja procedura, nu? Nu uitați să descărcați fiecare secțiune când ați terminat.
17
Dacă utilizați un hard disk extern, utilizați "Sigur eliminați hardware" pentru al elimina de pe computer, a opri calculatorul și a elimina noul disc curățat (sau așa sperăm). În caz contrar, trebuie să închideți computerul și să scoateți discul din carcasă.
18
Reinstalați discul curățat în carcasa originală și porniți computerul.- Dacă computerul dvs. refuză să se încarce în acest moment, este posibil să nu aveți altă posibilitate decât să formatați discul și să reinstalați Windows. Asigurați-vă că ați făcut copii de siguranță ale fișierelor și CD-urilor de instalare cu licențele înainte de a face acest lucru.
19
Dacă computerul pornește corect, trebuie să rulați imediat programele antivirus în dosarul "Curățire". Dacă există o amenințare în continuare pe computerul dvs., este probabil să se afle într-o stare mai vulnerabilă și poate fi eliminată acum. De asemenea, rulați programul antivirus pe care l-ați instalat pe computer sau încercați să rulați programul antivirus în folderul "Curățare" - poate sau nu să funcționeze.
20
Dacă sunteți sigur că ați eliminat toate amenințările, puteți continua să utilizați instalarea Windows. Cu toate acestea, dacă performanța este afectată, este posibil să nu aveți altă posibilitate decât să reinstalați sistemul. Unele programe malware sunt atât de persistente încât este mai practic să începeți cu un nou sistem.