Як видалити вручну шпигунську програму (Windows)

Ви перепробували всі методи видалення шпигунських програм, але так і не позбулися від них? У такому випадку прочитайте цю статтю. Метод, викладений у ній, не найпростіший, тому спочатку задумайтесь про створення резервної копії важливої інформації, форматуванні диска і перевстановлення Windows. Цей метод передбачає доступ до «чистого» (тобто без шкідливих програм) комп`ютера.

Кроки

  1. 1

    Вимкніть заражений комп`ютер. Відкрийте його корпус і витягніть жорсткий диск (той, на якому встановлена система).

  2. 2

    Якщо у вас є зовнішній корпус (USB / IEEE1394) для монтування в нього жорстких дисків, вставте заражений диск в такий корпус (і пропустіть два наступні кроки).

  3. 3

    Вимкніть чистий комп`ютер. Відкрийте його корпус і підключіть заражений диск.

  4. 4

    Увімкніть чистий комп`ютер. Переконайтеся, що він не завантажується з зараженого диска. Більшість комп`ютерів надають доступ до меню завантаження, яке можна відкрити, натиснувши F11 або ESC (безпосередньо після включення живлення).

  5. 5

    Переконайтеся, що у вас є доступ до всіх файлів. Після завантаження чистого комп`ютера необхідно видалити тимчасові файли з зараженого диска (для того, щоб спростити процес пошуку файлів). Для цього потрібно отримати доступ до всіх файлів, включаючи приховані та системні файли. Натисніть «Пуск» - «Панель управління» - «Властивості папки», перейдіть на вкладку «Вид» і змініть наступні параметри:
    • Увімкніть: Поставте галку у «Відображати вміст системних папок».

    • Увімкніть: Відзначте «Показувати приховані файли і папки».

    • Вимкніть: Приберіть галку у «Приховувати розширення для зареєстрованих типів файлів».

    • Вимкніть: Приберіть галку у «Приховувати захищені системні файли (рекомендовано)».

  6. 6

    Зверніть увагу на букву, що позначає заражений диск. Швидше за все, заражений диск буде позначений як E: або F: (в залежності від кількості розділів на жорстких дисках чистого комп`ютера). Припустимо, що заражений диск позначається як F :.

  7. 7

    Видаліть всі тимчасові файли. Після цього пошук файлів спроститися (так як число файлів зменшиться). Деякі з описаних папок можуть не існувати, а у деяких може бути інше розташування. Важливо знайти і очистити кеш всіх браузерів (IЕ / Netscape / Firefox / Opera) кожного окремого користувача. Відкрийте такі папки і видаліть їх вміст (папки не видаляйте).

    • F: TEMP

    • F: Windows TEMP або F: WINNT Temp (WinNT тільки для NT4 і Windows 2000)

    • F: WINNT Profiles Імя_пользователя Local Settings Temp
    • F: WINNT Profiles Імя_пользователя Local Settings Temporary Internet Files
    • F: WINNT Profiles Імя_пользователя Local Settings Application Data Mozilla Firefox Profiles любое_імя.default Cache
    • F: Documents and Settings ім`я користувача Local Settings Temp

    • F: Documents and Settings ім`я користувача Local Settings Temporary Internet Files

    • F: Documents and Settings ім`я користувача Local Settings Application Data Mozilla Firefox Profiles любое_імя.default Cache




  8. 8

    Очистіть корзину.

  9. 9

    Зробіть резервну копію всього зараженого диска і збережіть її на диску чистого комп`ютера. Якщо на диску чистого комп`ютера недостатньо місця, зробіть резервну копію тільки важливих файлів і документів (включаючи збережені ігри, карти і т.д.).

  10. 10

    Виконайте повне антивірусне і антішпіонское сканування зараженого диска. Можливо, на ньому будуть виявлені і вилучені шкідливі програми.
    • Скачайте і встановіть обидві програми: Spybot Search and Destroy і Lavasoft Adaware. Обов`язково скористайтеся обома програмами, так як при цьому зростає шанс виявлення шкідливих програм.

    • Перед запуском сканування поновіть бази цих програм.

    • Проскануйте заражений диск (це може зайняти деякий час).

    • Видаліть знайдені програми-шпигуни.

    • Встановіть антивірусну програму і обновіть її бази. Проведіть повну перевірку зараженого диска і видаліть знайдені віруси, трояни, черви.

  11. 11

    Після закінчення сканування перейдіть в C: Program Files (на диску чистого комп`ютера) і скопіюйте всі каталоги програм Spybot, Ad-Aware і вашого антивіруса в папку F: Cleaners (перед копіюванням створіть цю папку).

  12. 12

    Натисніть Windows + F, щоб відкрити вікно пошуку. Натисніть «Вимкнути анімований персонаж». Натисніть «Файли і папки» - «Додаткові параметри». Поставте галки у:
      • «Пошук в системних папках»
      • «Пошук в прихованих файлах і папках»
      • «Переглянути вкладені папки»

  13. 13

    В полі «Частина імені файлу» введіть *.ехе, натисніть «Коли були зроблені останні зміни» і відзначте «Минулого тижня» (або вкажіть інший часовий відрізок в залежності від термінів зараження вашого комп`ютера).
    • Запустіть пошук. Дочекайтеся його закінчення.

    • Перевірте знайдені файли. Призначення деяких з них ви, швидше за все, знаєте. Наприклад, якщо ви недавно оновили або встановили програму Lavasoft Ad-Aware, у списку знайдених файлів ви побачите запис «F: Program Files Lavasoft Ad- Aware SE Personal Ad- Aware.exe». Ігноруйте такі файли. Зверніть увагу на файли в F: Windows system32, розмір яких менше 100 байт і які мають дивні назви, наприклад, lkaljya.exe.

    • Перемістіть будь підозрілі файли в тимчасову папку (до перевірки їх призначення). Наприклад, створіть тимчасову папку F: Карантин і перенести файли в підпапку F: Карантин Windows System32.

    • Шкідливі файли, приховані в F: Windows system32 drivers, також мають дивні назви, наприклад, lkaljya.sys.


    • Перемістіть будь підозрілі файли в тимчасову папку (до перевірки їх призначення). Наприклад, створіть тимчасову папку F: Карантин і перенести файли в підпапку F: Карантин Windows System32 drivers.
    • При цьому ваш антивірус може видати попередження про знайдений трояни. У такому випадку просто видаліть його.

    • Зверніть особливу увагу на .exe файли з іменами у вигляді випадкового набору букв. Найчастіше такі імена імітують імена нешкідливих і потрібних файлів. Наприклад, потрібний файл називається svchost.exe, а підозрілий - scvhost.exe.

    • Ще один спосіб відрізнити нешкідливий файл від шкідливого: клацніть правою кнопкою миші по .exe файлу, виберіть «Властивості» і перейдіть на вкладку «Версія» (якщо вона є). Якщо файл має цифровий підпис компанії, на цій вкладці буде запис «Виробник», наприклад, Microsoft Corporation, або Apple Computer Inc., або Logitech і т.д. Швидше за все, це нешкідливі файли. Якщо файл не має цифрового підпису, необхідно розібратися з його призначенням.

    • Якщо ви сумніваєтеся в призначенні файлу, введіть його повне ім`я в пошуковому рядку браузера, наприклад, scvhost.exe. Перевірте результати пошуку (ви побачите посилання, схожі на «scvhost.exe - що це таке?») І з`ясуйте призначення цього файлу.

    • Зверніть особливу увагу на будь .ехе файли в F: Windows system32 і (особливо) в F: Documents and Settings. У папці Documents and Settings взагалі не повинно бути .ехе файлів.

  14. 14

    Повторіть попередні кроки, ввівши в поле «Частина імені файлу» *.dll.

  15. 15

    Повторіть попередні кроки, ввівши в поле «Частина імені файлу» *.sys.

  16. 16

    Наступний крок досить складний, але, як правило, найбільш успішний в плані позбавлення від самих «наполегливих» шпигунських програм. Не допустіть помилок при його виконанні.
    • Натисніть «Пуск» - «Виконати», введіть Regedit та натисніть Enter.

    • Завантажте кущ «Software» з зараженого диска і видаліть погані записи реєстру.

      • Клацніть по HKEY_LOCAL_MACHINE.
      • Натисніть «Файл» і виберіть «Завантажити кущ».
      • Перейдіть в F: Windows System32 Config і виділіть файл SOFTWARE.
      • У вікні «Ім`я розділу» введіть INFECTED_SOFTWARE і натисніть Enter.
      • Перейдіть в HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion Run.
      • Зробіть резервну копію цього розділу! Клацніть правою кнопкою миші по Run і виберіть «Експортувати» (збережіть резервну копію під ім`ям INFECTED_SOFTWARE, Run.reg в папці Карантин). Запам`ятайте: для відновлення цієї резервної копії на зараженому диску необхідно відкрити файл .reg в текстовому редакторі і змінити HKEY_LOCAL_MACHINE INFECTED_SOFTWARE на HKEY_LOCAL_MACHINE SOFTWARE. Для відновлення цієї резервної копії на чистому диску файл .reg редагувати НЕ треба-просто переконайтеся, що кущ завантажений, і двічі клацніть по файлу .reg (щоб повторно вставити ключі / значення у відповідні позиції).
      • У правій панелі відобразиться список записів. Він може включати записи Java, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, nVidia / ATI, драйверів різних пристроїв, антивіруса, брандмауера і т.п. Використовуйте описані вище методи для виявлення безпечних і шкідливих записів. Якщо ви знайшли шкідливу запис, знайдіть .ехе файл (на який вказує цей запис реєстру) і помістіть його в папку Карантин, а потім видаліть запис реєстру. Ви завжди зможете відновити вилучені записи реєстру, скориставшись створеної резервної копією.
      • Виконайте ті ж дії в розділах HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion RunOnce і HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion RunOnceEx. Вони можуть містити або не містити записів.
      • Коли ви закінчите, клацніть по INFECTED_SOFTWARE і натисніть «Файл» - «Вивантажити кущ».
      • Завантажте кущ «DEFAULT» з зараженого диска (F: Windows System32 Config DEFAULT) і видаліть погані записи реєстру. Скористайтеся вищеописаними методами для куща «Software». По закінченні процесу не забудьте вивантажити кущ «INFECTED_DEFAULT». Примітка: кущ «DEFAULT» може не містити розділу Run. У цьому випадку пропустіть цей крок.
      • Завантажити кущ кожного користувача з зараженого диска. Ви знайдете кущ кожного користувача в F: Documents and Settings ім`я користувача NTUSER.DAT. Завантажте кущі під ім`ям «INFECTED_ІМЯ_ПОЛЬЗОВАТЕЛЯ», а потім перевірте розділи Run, RunOnce, RunOnceEx (для цього скористайтеся вищеописаним процесом). По закінченні процесу не забудьте вивантажити кожен кущ.

  17. 17

    Якщо ви використовуєте заражений диск в зовнішньому корпусі, натисніть «Безпечне вилучення пристрою» (щоб відключити диск від комп`ютера) і витягніть очищений диск із зовнішнього корпусу. В іншому випадку вимкніть чистий комп`ютер і вийміть очищений диск з корпусу комп`ютера.

  18. 18

    Встановіть очищений диск в своєму комп`ютері і увімкніть його.
    • Якщо система не завантажується, відформатуйте диск і переустановите Windows. Перед цим знайдіть інсталяційний диск Windows, ліцензійний ключ системи та резервні копії даних.

  19. 19

    Якщо система завантажилася, запустіть антишпигунські програми з папки Cleaners. Якщо в системі залишилися шкідливі програми, то тепер вони, швидше за все, будуть виявлені і вилучені. Також запустіть антивірус, встановлений на комп`ютері (або з папки Cleaners- в цьому випадку він може запуститися чи ні).

  20. 20

    Якщо ви впевнені, що видалили всі шкідливі програми, продовжуйте працювати у встановленій системі Windows. Однак, якщо продуктивність системи знаходиться на неприйнятному рівні, перевстановіть Windows. Деякі шкідливі програми переустановлюються після їх видалення, тому ви заощадите час, просто перевстановити систему.

Поради

  • Якщо у вас немає доступу до чистого комп`ютера, скачайте програму Malwarebytes Chameleon. Вона зупинить роботу всіх вірусів (https://malwarebytes.org/downloads/#tools> Malwarebytes Chameleon).
  • При купівлі нового комп`ютера рекомендується встановити на нього дві операційні системи. Якщо Windows підчепить вірус, ви зможете завантажити іншу операційну систему і очистити Windows. Для цього ідеально підійде система Linux Ubuntu (https://ubuntu.com).
  • Набагато простіше завантажити заражений комп`ютер під управлінням Windows з інсталяційного диска (або флешки) системи Linux. Потім запустити антивірусну програму Windows. Старі комп`ютери чудово працюють під управлінням Linux, яка є безпечною системою.
  • Не варто витрачати час на очищення систем Windows 95/98 / ME. Просто зробіть резервну копію важливих даних, відформатуйте диск і переустановите ці системи.
  • Не відвідуйте хакерських і порно сайтів (якщо ви не працюєте в системах Unix, наприклад, Linux або Solaris). Найчастіше такі сайти містять шкідливий код. Якщо ви все-таки відвідуєте їх, використовуйте Firefox до встановлених доповненнями Adblock і NoScript.
  • У Windows NT і Windows 2000 використовується папка WINNT, а не папка Windows.

Попередження

  • Шкідливі програми можуть заразити головний завантажувальний запис (MBR). Вони запускаються до завантаження системи і їх складно виявити. Такі програми можна видалити, але перед цим уважно вивчіть методи їх видалення.
  • Не завантажуйте програми, рекламовані в спливаючих вікнах або банерах. Швидше за все, такі програми містять шкідливий код.
  • Будьте обережні при запуску файлів. Не запускайте підозрілі файли, якщо не хочете заразити комп`ютер. (Якщо у вашій системі файл запускається одним клацанням миші, вимкніть цю функцію).
  • Не видаляйте файли, якщо не знаєте їх призначення. Просто помістіть їх в папку Карантин і переконайтеся, що такі файли не заразитися систему (якщо вони виявляться шкідливими). Замість самостійного видалення підозрілих файлів дозвольте антивірусу або антишпигунською програмі поміщати такі файли в карантин.

Що вам знадобиться

  • Чистий комп`ютер. Описаний метод не працює без доступу до іншої системи, в якій можна знайти і знищити незапущених шкідливі програми на іншому диску.