Як видалити вручну шпигунську програму (Windows)
Ви перепробували всі методи видалення шпигунських програм, але так і не позбулися від них? У такому випадку прочитайте цю статтю. Метод, викладений у ній, не найпростіший, тому спочатку задумайтесь про створення резервної копії важливої інформації, форматуванні диска і перевстановлення Windows. Цей метод передбачає доступ до «чистого» (тобто без шкідливих програм) комп`ютера.
Кроки
1
Вимкніть заражений комп`ютер. Відкрийте його корпус і витягніть жорсткий диск (той, на якому встановлена система).2
Якщо у вас є зовнішній корпус (USB / IEEE1394) для монтування в нього жорстких дисків, вставте заражений диск в такий корпус (і пропустіть два наступні кроки).3
Вимкніть чистий комп`ютер. Відкрийте його корпус і підключіть заражений диск.4
Увімкніть чистий комп`ютер. Переконайтеся, що він не завантажується з зараженого диска. Більшість комп`ютерів надають доступ до меню завантаження, яке можна відкрити, натиснувши F11 або ESC (безпосередньо після включення живлення).5
Переконайтеся, що у вас є доступ до всіх файлів. Після завантаження чистого комп`ютера необхідно видалити тимчасові файли з зараженого диска (для того, щоб спростити процес пошуку файлів). Для цього потрібно отримати доступ до всіх файлів, включаючи приховані та системні файли. Натисніть «Пуск» - «Панель управління» - «Властивості папки», перейдіть на вкладку «Вид» і змініть наступні параметри:- Увімкніть: Поставте галку у «Відображати вміст системних папок».
- Увімкніть: Відзначте «Показувати приховані файли і папки».
- Вимкніть: Приберіть галку у «Приховувати розширення для зареєстрованих типів файлів».
- Вимкніть: Приберіть галку у «Приховувати захищені системні файли (рекомендовано)».
6
Зверніть увагу на букву, що позначає заражений диск. Швидше за все, заражений диск буде позначений як E: або F: (в залежності від кількості розділів на жорстких дисках чистого комп`ютера). Припустимо, що заражений диск позначається як F :.7
Видаліть всі тимчасові файли. Після цього пошук файлів спроститися (так як число файлів зменшиться). Деякі з описаних папок можуть не існувати, а у деяких може бути інше розташування. Важливо знайти і очистити кеш всіх браузерів (IЕ / Netscape / Firefox / Opera) кожного окремого користувача. Відкрийте такі папки і видаліть їх вміст (папки не видаляйте).- F: TEMP
- F: Windows TEMP або F: WINNT Temp (WinNT тільки для NT4 і Windows 2000)
- F: WINNT Profiles Імя_пользователя Local Settings Temp
- F: WINNT Profiles Імя_пользователя Local Settings Temporary Internet Files
- F: WINNT Profiles Імя_пользователя Local Settings Application Data Mozilla Firefox Profiles любое_імя.default Cache
- F: Documents and Settings ім`я користувача Local Settings Temp
- F: Documents and Settings ім`я користувача Local Settings Temporary Internet Files
- F: Documents and Settings ім`я користувача Local Settings Application Data Mozilla Firefox Profiles любое_імя.default Cache
8
Очистіть корзину.9
Зробіть резервну копію всього зараженого диска і збережіть її на диску чистого комп`ютера. Якщо на диску чистого комп`ютера недостатньо місця, зробіть резервну копію тільки важливих файлів і документів (включаючи збережені ігри, карти і т.д.).10
Виконайте повне антивірусне і антішпіонское сканування зараженого диска. Можливо, на ньому будуть виявлені і вилучені шкідливі програми.- Скачайте і встановіть обидві програми: Spybot Search and Destroy і Lavasoft Adaware. Обов`язково скористайтеся обома програмами, так як при цьому зростає шанс виявлення шкідливих програм.
- Перед запуском сканування поновіть бази цих програм.
- Проскануйте заражений диск (це може зайняти деякий час).
- Видаліть знайдені програми-шпигуни.
- Встановіть антивірусну програму і обновіть її бази. Проведіть повну перевірку зараженого диска і видаліть знайдені віруси, трояни, черви.
11
Після закінчення сканування перейдіть в C: Program Files (на диску чистого комп`ютера) і скопіюйте всі каталоги програм Spybot, Ad-Aware і вашого антивіруса в папку F: Cleaners (перед копіюванням створіть цю папку).12
Натисніть Windows + F, щоб відкрити вікно пошуку. Натисніть «Вимкнути анімований персонаж». Натисніть «Файли і папки» - «Додаткові параметри». Поставте галки у:- «Пошук в системних папках»
- «Пошук в прихованих файлах і папках»
- «Переглянути вкладені папки»
13
В полі «Частина імені файлу» введіть *.ехе, натисніть «Коли були зроблені останні зміни» і відзначте «Минулого тижня» (або вкажіть інший часовий відрізок в залежності від термінів зараження вашого комп`ютера).- Запустіть пошук. Дочекайтеся його закінчення.
- Перевірте знайдені файли. Призначення деяких з них ви, швидше за все, знаєте. Наприклад, якщо ви недавно оновили або встановили програму Lavasoft Ad-Aware, у списку знайдених файлів ви побачите запис «F: Program Files Lavasoft Ad- Aware SE Personal Ad- Aware.exe». Ігноруйте такі файли. Зверніть увагу на файли в F: Windows system32, розмір яких менше 100 байт і які мають дивні назви, наприклад, lkaljya.exe.
- Перемістіть будь підозрілі файли в тимчасову папку (до перевірки їх призначення). Наприклад, створіть тимчасову папку F: Карантин і перенести файли в підпапку F: Карантин Windows System32.
- Шкідливі файли, приховані в F: Windows system32 drivers, також мають дивні назви, наприклад, lkaljya.sys.
- Перемістіть будь підозрілі файли в тимчасову папку (до перевірки їх призначення). Наприклад, створіть тимчасову папку F: Карантин і перенести файли в підпапку F: Карантин Windows System32 drivers.
- При цьому ваш антивірус може видати попередження про знайдений трояни. У такому випадку просто видаліть його.
- Зверніть особливу увагу на .exe файли з іменами у вигляді випадкового набору букв. Найчастіше такі імена імітують імена нешкідливих і потрібних файлів. Наприклад, потрібний файл називається svchost.exe, а підозрілий - scvhost.exe.
- Ще один спосіб відрізнити нешкідливий файл від шкідливого: клацніть правою кнопкою миші по .exe файлу, виберіть «Властивості» і перейдіть на вкладку «Версія» (якщо вона є). Якщо файл має цифровий підпис компанії, на цій вкладці буде запис «Виробник», наприклад, Microsoft Corporation, або Apple Computer Inc., або Logitech і т.д. Швидше за все, це нешкідливі файли. Якщо файл не має цифрового підпису, необхідно розібратися з його призначенням.
- Якщо ви сумніваєтеся в призначенні файлу, введіть його повне ім`я в пошуковому рядку браузера, наприклад, scvhost.exe. Перевірте результати пошуку (ви побачите посилання, схожі на «scvhost.exe - що це таке?») І з`ясуйте призначення цього файлу.
- Зверніть особливу увагу на будь .ехе файли в F: Windows system32 і (особливо) в F: Documents and Settings. У папці Documents and Settings взагалі не повинно бути .ехе файлів.
14
Повторіть попередні кроки, ввівши в поле «Частина імені файлу» *.dll.15
Повторіть попередні кроки, ввівши в поле «Частина імені файлу» *.sys.16
Наступний крок досить складний, але, як правило, найбільш успішний в плані позбавлення від самих «наполегливих» шпигунських програм. Не допустіть помилок при його виконанні.- Натисніть «Пуск» - «Виконати», введіть Regedit та натисніть Enter.
- Завантажте кущ «Software» з зараженого диска і видаліть погані записи реєстру.
- Клацніть по HKEY_LOCAL_MACHINE.
- Натисніть «Файл» і виберіть «Завантажити кущ».
- Перейдіть в F: Windows System32 Config і виділіть файл SOFTWARE.
- У вікні «Ім`я розділу» введіть INFECTED_SOFTWARE і натисніть Enter.
- Перейдіть в HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion Run.
- Зробіть резервну копію цього розділу! Клацніть правою кнопкою миші по Run і виберіть «Експортувати» (збережіть резервну копію під ім`ям INFECTED_SOFTWARE, Run.reg в папці Карантин). Запам`ятайте: для відновлення цієї резервної копії на зараженому диску необхідно відкрити файл .reg в текстовому редакторі і змінити HKEY_LOCAL_MACHINE INFECTED_SOFTWARE на HKEY_LOCAL_MACHINE SOFTWARE. Для відновлення цієї резервної копії на чистому диску файл .reg редагувати НЕ треба-просто переконайтеся, що кущ завантажений, і двічі клацніть по файлу .reg (щоб повторно вставити ключі / значення у відповідні позиції).
- У правій панелі відобразиться список записів. Він може включати записи Java, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, nVidia / ATI, драйверів різних пристроїв, антивіруса, брандмауера і т.п. Використовуйте описані вище методи для виявлення безпечних і шкідливих записів. Якщо ви знайшли шкідливу запис, знайдіть .ехе файл (на який вказує цей запис реєстру) і помістіть його в папку Карантин, а потім видаліть запис реєстру. Ви завжди зможете відновити вилучені записи реєстру, скориставшись створеної резервної копією.
- Виконайте ті ж дії в розділах HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion RunOnce і HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion RunOnceEx. Вони можуть містити або не містити записів.
- Коли ви закінчите, клацніть по INFECTED_SOFTWARE і натисніть «Файл» - «Вивантажити кущ».
- Завантажте кущ «DEFAULT» з зараженого диска (F: Windows System32 Config DEFAULT) і видаліть погані записи реєстру. Скористайтеся вищеописаними методами для куща «Software». По закінченні процесу не забудьте вивантажити кущ «INFECTED_DEFAULT». Примітка: кущ «DEFAULT» може не містити розділу Run. У цьому випадку пропустіть цей крок.
- Завантажити кущ кожного користувача з зараженого диска. Ви знайдете кущ кожного користувача в F: Documents and Settings ім`я користувача NTUSER.DAT. Завантажте кущі під ім`ям «INFECTED_ІМЯ_ПОЛЬЗОВАТЕЛЯ», а потім перевірте розділи Run, RunOnce, RunOnceEx (для цього скористайтеся вищеописаним процесом). По закінченні процесу не забудьте вивантажити кожен кущ.
17
Якщо ви використовуєте заражений диск в зовнішньому корпусі, натисніть «Безпечне вилучення пристрою» (щоб відключити диск від комп`ютера) і витягніть очищений диск із зовнішнього корпусу. В іншому випадку вимкніть чистий комп`ютер і вийміть очищений диск з корпусу комп`ютера.18
Встановіть очищений диск в своєму комп`ютері і увімкніть його.- Якщо система не завантажується, відформатуйте диск і переустановите Windows. Перед цим знайдіть інсталяційний диск Windows, ліцензійний ключ системи та резервні копії даних.
19
Якщо система завантажилася, запустіть антишпигунські програми з папки Cleaners. Якщо в системі залишилися шкідливі програми, то тепер вони, швидше за все, будуть виявлені і вилучені. Також запустіть антивірус, встановлений на комп`ютері (або з папки Cleaners- в цьому випадку він може запуститися чи ні).20
Якщо ви впевнені, що видалили всі шкідливі програми, продовжуйте працювати у встановленій системі Windows. Однак, якщо продуктивність системи знаходиться на неприйнятному рівні, перевстановіть Windows. Деякі шкідливі програми переустановлюються після їх видалення, тому ви заощадите час, просто перевстановити систему.
Поради
- Якщо у вас немає доступу до чистого комп`ютера, скачайте програму Malwarebytes Chameleon. Вона зупинить роботу всіх вірусів (https://malwarebytes.org/downloads/#tools> Malwarebytes Chameleon).
- При купівлі нового комп`ютера рекомендується встановити на нього дві операційні системи. Якщо Windows підчепить вірус, ви зможете завантажити іншу операційну систему і очистити Windows. Для цього ідеально підійде система Linux Ubuntu (https://ubuntu.com).
- Набагато простіше завантажити заражений комп`ютер під управлінням Windows з інсталяційного диска (або флешки) системи Linux. Потім запустити антивірусну програму Windows. Старі комп`ютери чудово працюють під управлінням Linux, яка є безпечною системою.
- Не варто витрачати час на очищення систем Windows 95/98 / ME. Просто зробіть резервну копію важливих даних, відформатуйте диск і переустановите ці системи.
- Не відвідуйте хакерських і порно сайтів (якщо ви не працюєте в системах Unix, наприклад, Linux або Solaris). Найчастіше такі сайти містять шкідливий код. Якщо ви все-таки відвідуєте їх, використовуйте Firefox до встановлених доповненнями Adblock і NoScript.
- У Windows NT і Windows 2000 використовується папка WINNT, а не папка Windows.
Попередження
- Шкідливі програми можуть заразити головний завантажувальний запис (MBR). Вони запускаються до завантаження системи і їх складно виявити. Такі програми можна видалити, але перед цим уважно вивчіть методи їх видалення.
- Не завантажуйте програми, рекламовані в спливаючих вікнах або банерах. Швидше за все, такі програми містять шкідливий код.
- Будьте обережні при запуску файлів. Не запускайте підозрілі файли, якщо не хочете заразити комп`ютер. (Якщо у вашій системі файл запускається одним клацанням миші, вимкніть цю функцію).
- Не видаляйте файли, якщо не знаєте їх призначення. Просто помістіть їх в папку Карантин і переконайтеся, що такі файли не заразитися систему (якщо вони виявляться шкідливими). Замість самостійного видалення підозрілих файлів дозвольте антивірусу або антишпигунською програмі поміщати такі файли в карантин.
Що вам знадобиться
- Чистий комп`ютер. Описаний метод не працює без доступу до іншої системи, в якій можна знайти і знищити незапущених шкідливі програми на іншому диску.