Як видалити вірус з комп'ютера

  • Лист перший. Привіт, я до вас з проблемою, а саме-як видалити вірус з комп'ютера. на одному сайті скачала курсову, стала відкривати файл і замість програми Microsoft Office Word, запустилася якась установка. Тут же антивірусна програма видала попередження про виявлену загрозу, що виходить із папки
    C: \ Users \ Моє ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
    Як я зрозуміла, папка Start Menu, це папка автозавантаження. Не дивлячись на те, що комп'ютер став жахливо гальмувати, я зайшла в цю папку і побачила дивний файл з назвою QJFGSXETY, у файлу атрибут прихований. Спроба видалити файл закінчилася невдачею. Завантажилася в безпечному режимі, але і там його видалити не вийшло і перейменувати (що б потім видалити після перезавантаження) теж. Намагалася використати точки відновлення. але вийшло повідомлення "Відновлення системи відключено груповою політикою". На цьому мої хакерські знання закінчилися, сиджу ось без комп'ютера і читаю ваші статті. Що робити-то, якщо можна покроково. Марина. м Суздаль
  • Лист другий. Ніяк не можу видалити вірус з комп'ютера, спочатку він прописався в автозавантаженні, самостійно видалити не зміг, навіть в безпечному режимі. комп'ютер моторошно довго завантажувався і при роботі гальмував, скористався порадою зі статті Як перевірити комп'ютер на віруси безкоштовно і скачав диск порятунку ESET NOD32 (його до речі, можна використовувати в якості простого Live CD, зручна річ, рекомендую). Перевірив їм весь комп'ютер, 5 шкідливих програм знайшов, годину сидів чекав, перезавантажився і вірусу наче й не було, але зрадів рано, пропав інтернет, в мережевих підключеннях жовтий трикутник і пише -мережна підключення обмежена або відсутня. Що робити, значить вірус до кінця я не видалив? Федір.

Як видалити вірус з комп'ютера


Такі ж проблеми, попалися мені кілька днів тому, попросив мене однокласник встановити йому пару безкоштовних програм і антивирусник ESET NOD32, який придбав на оф. сайті. Крім NOD32, ми встановили безкоштовну програму контролюючу автозагрузку-AnVir Task Manager. ще створили на всякий випадок образ системи і диск відновлення, подякував він мене, на тому й розійшлися.


Через день, мій знайомий дзвонить стурбований і каже. Слухай старий, доньці в інтернеті на пошту лист прийшов, ми його відкрили, там начебто листівка, з днем ​​народження вітають, хоча день народження вже пройшов давно, крім листівки ще був файл, ми і натиснули на нього, тут же AnVir Task Manager вивів вікно , в якому сказав, що якась програма з дивною назвою і значком системного файлу, хоче пройти в автозавантаження,

ми дозволили і почалося, антивирусник постійно лається і виводить грізне попередження - Очищення неможлива, при цьому комп'ютер сильно зависає і ми його аварійно вимкнули, ти напевно з таким зустрічався, допоможи ніж можеш.


Приїжджаю я до них, перша думка була - банер здирник схопили, вмикаю комп'ютер, а там ось що.
NOD32 виводить по черзі два вікна, в яких попереджає, що в оперативній пам'яті знаходиться шкідливий процес, очищення неможлива! що виходить із папки автозавантаження (Startup).

Заходжу в вікно Автозавантаження, програми AnVir Task Manager і бачу вже прописаний в автозавантаженні файл з назвою QYSGFXZJ.exe, вірус однако.

Іду в папку Автозавантаження: Пуск> Все програми-> Автомат

C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
І ось він наш вірусний файл, намагаюся його видалити, звичайно невдало, адже він зараз важливою справою зайнятий.

Перше, що потрібно зробити в таких випадках, це запустити відновлення системи і спробувати відкотитися за допомогою раніше створеної точки відновлення назад. Намагаюся запустити відновлення системи і протягом дуже довгого часу нічого не відбувається.
До речі, вірус іноді наробить делов в групових політиках і вам не вдасться запустити відновлення системи при такому повідомленні "Відновлення системи відключено груповою політикою".
Тоді потрібно зайти в Групові політики Пуск-Виконати-gpedit.msc. ОК

Відкривається Групова політика, тут нам потрібно вибрати Конфігурація комп'ютера-Адміністративні шаблони-Система-Відновлення системи-Якщо клацнути два рази лівою кнопкою на пункті Вимкнути відновлення системи,

має з'явитися таке вікно, для нормальної роботи відновлення системи, в ньому ви повинні поставити галочку навпроти пункту "Чи не заданий" або "Відключений". Все вступить в силу після перезавантаження. Так само вам потрібно знати, що в версіях Windows Home немає Груповий політики.

Запустити відновлення системи мені так і не вдалося і я вирішив перевантажити комп'ютер і зайти в безпечний режим. У безпечному режимі можна знову спробувати видалити даний файл з автозавантаження, в більшості випадків вам це вдасться.

Але у мене нічого не виходить, мабуть випадок особливий і шкідливий файл не видаляється. Тоді йдемо до реєстру, а саме дивимося гілку:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
У Windows 7 і Windows XP, для всіх користувачів, програми запускаються при вході в систему залишають свої ключі в цих гілках, але в основному в першій Run. Все незнайомі ключі потрібно видалити, але тільки незнайомі, в моєму випадку в автозавантаженні присутній ключ антивірусної програми NOD32 - egui.exe, його видаляти непотрібно:
"C: \ Program Files \ ESET \ ESET Smart Security \ egui.exe" / hide / waitservice

Ще треба пройти Пуск> Виконати-> msconfig-> Автомат і прибрати галочки з усіх невідомих програм. Тут теж нічого підозрілого немає.

Так само видалити всі незнайомі файли в корені диска (С :), якщо ви побачите там файли з такою ж назвою QYSGFXZJ або схожими, спробуйте видалити їх. У корені (С :) у нас до речі незрозуміла папка QYSGFXZJ. Намагаюся видалити-видаляється.

Отже, як видалити вірус з комп'ютера. якщо навіть в безпечному режимі, нам це не вдалося або наприклад ви не змогли з якихось причин увійти в безпечний режим? Буває в Безпечний режим ви ввійдете, але там вас чекає сюрприз - наприклад не працює миша.


Якщо в безпечний режим увійти вам не вдасться, то ви можете скористатися дуже простим і перевіреним радою з іншої нашої статті Як перевірити комп'ютер на віруси безкоштовно, за допомогою диска відновлення ESET NOD32 або Dr.Web. До речі дані диски можна використовувати в якості Live CD. Або у вас вже є Live CD, спробуйте завантажитися з нього і виконати те ж саме, що і в безпечному режимі - зайти в папку Автозавантаження і видалити шкідливий файл, Працюючи в Live CD, ви можете запустити з флешки антивірусний сканер, наприклад Dr. Web CureIt.
Особисто я, коли зустрічаю таку проблему в Windows ХР, (про Windows 7 інформація нижче), навіть іноді не заходжу в безпечний режим, а використовую по-старому досконала зброя -професійний інструмент системного адміністратора ERD Commander 5.0.

  • Примітка: всі можливості диска відновлення ERD Commander 5.0. описані в нашій статті ERD Commander. За допомогою нього можна відновлювати систему, правити реєстр, змінювати забутий пароль і інше. Для сучасних комп'ютерів і ноутбуків, ERD Commander 5.0 потрібен з інтегрованими SATA драйверами. Давайте завантажити з нього і подивимося як все відбудеться.

Перезавантажуємося і заходимо в BIOS, там виставляємо завантаження з дисковода. Завантажуємося з диска ERD Commander 5.0. Вибираємо перший варіант підключення до Windows ХР, тобто ми з вами зможемо працювати наприклад безпосередньо з реєстром нашої зараженої системи.


Чи не багато не звичний з початку робочий стіл, але це не страшно, ще раз скажу, що опис всіх інструментів ERD, є в нашій статті ERD Commander.

Йдемо відразу до Адміністративного інструмент Autoruns.

Дивимося в пункті System, а так само Адміністратор і ось будь ласка наш вірус, вже тут ми його точно видалимо.

Delete - видаляємо процес з автозапуску і все, наш вірус видалений.
Explorer - дає можливість перейти до файлу процесу.
Потім ще раз перевіряємо папку автозавантаження і там вже нічого немає.

C: \ Documents and Settings \ Адміністратор \ Головне меню \ Програми \ Автозавантаження
Заходимо на всякий випадок в кореневу папку диска (С :), там нічого підозрілого немає.

Чи не полінуємося зайти в реєстр і подивитися які програми залишили свої ключі в автозавантаженні:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Призначити букви дискам так само як на цільової системі-Так, так краще працювати.

Йдемо відразу в папку Автозавантаження:
C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup. Видаляємо наш вірус.

Перевіряємо реєстр HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Видаляємо все підозріле з кореня диска (С :), перезавантажується і перевіряємо весь комп'ютер на віруси.

Кнопка ReG-Backup V перед операцією, може зробити вам резервну копію ключів реєстру.

Схожі статті