Kako ukloniti Win32 / Spy.Shiz.NCF Trojan

  • Nešto mi se događa s računalom, preuzeo sam film na Internetu koji je upravo izašao u kinima, duboko u sebi shvatio sam da ovdje nešto nije u redu, ali stvarno sam želio vidjeti novost. Nisam ni obraćao pažnju na to da preuzeta video datoteka teži vrlo malo - 137 KB, kad pokušavam pogledati film, moje se računalo smrzne. Antivirus instaliran u sustavu počeo je prikazivati ​​poruku koja kaže da se nalazi u mapi C: \ Windows \ AppPatch je pronađen virus i nudi ga ukloniti, slažem se, nakon nekog vremena ista se poruka opet pojavljuje. Pokušao sam u potpunosti izbrisati ovu neobičnu mapu C: \ Windows \ AppPatch, ali ništa ne uspijeva i, što je zanimljivo, čak se i u sigurnom načinu rada ne briše, sve se završava pogreškom. U isto vrijeme, sustav se počeo učitavati jako dugo, također se ne mogu prijaviti na neke stranice, na primjer, kolege iz razreda - kažu pogrešno korisničko ime ili lozinka, računam na vašu pomoć.
  • Pismo br. 2 Pozdrav, molim vas, recite mi kako da budem, danas ujutro na poprilično čudnom mjestu preuzeo sam knjigu, potrebnu za moje studije, koja se sada prodaje u knjižarama po prilično skupoj cijeni i pokušala sam je otvoriti. Odjednom mi se antivirus zakleo u mapu C: \ Windows \ AppPatch i tamo je nešto izbrisano, sada se prilikom učitavanja operativnog sustava Windows 7 pojavljuje poruka: Windows nije mogao pronaći C: \ Windows \ AppPatch \ hsgpxjt.exe. Operativni sustav usporava i zamrzava, šaljem vam sliku ekrana ekrana s ovom pogreškom u mailu. Na Internetu sam pronašao podatke da ova mapa sadrži viruse i da ih je potrebno izbrisati, ali ne može se izbrisati ni u sigurnom načinu, pojavljuje se greška. A na vašoj web lokaciji kažu da ne možete izbrisati ovu mapu, jer ona pripada operativnom sustavu, objasnite sve.  

Kako ukloniti Win32 / Spy.Shiz.NCF Trojan


Sadržaj članka:
  • Kako ukloniti C: \ Windows \ AppPatch iz sistemske mape virus ili trojanski narod koji nosi svoje ime prema klasifikaciji antivirusne tvrtke ESET - Win32 / Spy.Shiz.NCF, koji krade lozinke i podatke s vašeg računala, usput, što se naziv virusne datoteke slučajno generira u operativnom sustavu i može biti ovako: hsgpxjt.exe ili Primjer je matadd.exe i tako dalje. Sama mapa AppPatch je sistemska mapa i nije je potrebno brisati. 
  • Kako virus dospije do našeg računala.

Baš jučer moj prijatelj me zamolio da mu pomognem u rješavanju sličnog problema. Windows 7 mog prijatelja prvo se prvo pokreće, a drugo radi s jakim zamrzavanjem, instalirani antivirus nije ažuriran godinu dana, jer je moj prijatelj previše lijen da obnovi pretplatu. Posljednji razlog zbog kojeg se moj prijatelj obratio meni je taj što njegova supruga nije bila u mogućnosti doći do razreda.
Dakle, prijatelji, prije svega, u slučaju takvih problema, možete primijeniti System Restore ili pokrenuti računalo s antivirusnog diska i skenirati cijeli sustav na viruse, o tome kako preuzeti takav disk, snimiti ga na prazno i ​​ukloniti viruse iz sustava Windows, imamo nekoliko detaljnih članaka : Kako besplatno skenirati računalo s virusima pomoću antivirusnih pogona tri različita proizvođača.
Pokušat ćemo ručno ukloniti virus, to je zanimljivije. Uključujemo računalo mog prijatelja, operativnom sustavu se zapravo treba dosta vremena za učitavanje, sjetimo se prvog pravila virusa da uđe u Startup, a zatim izvrši svoje destruktivne radnje, mislim da je uspio.
Prije svega, provjerite mapu Startup, ali u njoj nema ništa
  C: \ Korisnici \ Korisničko ime \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programi \ Pokretanje 

Zatim provjeravamo pokretanje pomoću ugrađenog uslužnog programa Windows za upravljanje pokretačkim programima pod nazivom mSCONFIG, idemo početak->trčanje, regrutujemo msconfig

a evo ti nepoznati element s čudnim imenom Userinit koji se nalazi u pokretanju,

izvršna datoteka se nalazi na adresi

C: \ Windows \ AppPatch \ matadd.exe.

Ovaj naziv virusa matadd.exe sustav generira nasumično, ne možete se usredotočiti na njega, u vašem će slučaju biti drugačije, ali znate, virus se zapravo zove Win32 / Spy.Shiz.NCF i trojanski je trojanac. Idemo u ovu mapu i pokušajmo je izbrisati, ali nažalost, iako je virus aktivan, nećemo uspjeti ili možete izbrisati datoteku virusa, ali ona će se ponovno stvoriti za nekoliko sekundi.
U prozoru uslužnog programa msconfig poništite ovu stavku Userinit,

to jest, isključit ćemo ga iz Startup-a. Nažalost, u većini slučajeva to neće značiti da virus neće ponovno učitati svoje datoteke pri sljedećem pokretanju operativnog sustava, jer nismo mogli izbrisati datoteku virusa iz mape C: \ Windows \ AppPatch.

Za uspješnu borbu protiv virusa potreban nam je pomoćnik koji:

  • Prvo možemo pokazati datoteku virusa prilikom pokretanja
  • Drugo, pokazat će nam promjene koje je virus izvršio u registru
Da biste vidjeli sve što se događa pri pokretanju, potreban vam je poseban program Voditelj zadataka AnVir ili drugo, na primjer autoruns od Marka Russinovicha, obojica su besplatna, predlažem vam da koristite uslužni program AnVir Task Manager, jer sam početnike više o tome primijetio već odavno. Preuzmite ga ovdje http://www.anvir.net/ i instalirajte.

Potpuni opis rada s uslužnim programom možete pronaći u ovom članku u našem članku Pokretanje programa u sustavu Windows 7 
Jedino upozorenje, na samom početku instalacije, NE odaberite cijelu instalaciju prema preporuci, već odaberite Podešavanje parametara i poništite sve ono što vam ne treba, ostavite samo dalje Pokrenite AnVir Task Manager (preporučeno) i dodajte ikonu na radnu površinu.

Nakon instaliranja programa, pokrećemo ga i vidimo takvu sliku, u registar s virusom izvršeno je čak pet promjena. Poništite odabir i na taj način uklonite promjene koje je virus napravio u registru ne djeluje.

Otkrijmo koliko je virusa prodrlo u naš sustav. Pomičite mišem preko imena ključa virusa opterećenje, kliknite desnom tipkom miša i na izborniku odaberite Go-> Prikaži datoteku u Exploreru

 i odmah uđite u našu mapu s virusnom datotekom C: \ Windows \ AppPatch \ matadd.exe.

Također tražimo mjesto unosa virusa u registru. Vidimo da je virusni program napravio svoje promjene u dva dijela registra, detaljno smo pregledali i odmah izbrisali.
Desnom tipkom miša kliknite tipku koju je stvorio virus. opterećenje i odaberite u izborniku Go-> Otvorite mjesto unosa u registru. 


odjeljak
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Dodane su dvije tipke, izbrišite ih
Učitajte REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Pokrenite REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe 


Desnom tipkom miša kliknite tipku koju je stvorio virus. Userinit i odaberite u izborniku Go-> Otvorite mjesto unosa u registru 


odjeljak
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
 Ključ je dodan, samo ga izbrišite
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Kada izbrišete ključeve registra koje je stvorio virusni program, virus će ih odmah pokušati ponovo stvoriti, na što će nas AnVir Task Manager odmah upozoriti pomoću ovog prozora. brisanjei zaštititi registar.

Da nismo imali AnVir ili slično, ne bismo uspjeli spriječiti stvaranje novih ključeva virusa u registru.
Nakon brisanja ovih unosa u registre, obratite pažnju na to kako izgleda naš Startup, u njemu nema ništa osim našeg programa AnVir Task Manager.

Ali to nisu svi prijatelji, sada moramo provjeriti čitav registar za ime našeg virusa matadd.exe, kliknemo na ključ registra koji još nismo pogledali HKEY_LOCAL_MACHINE desnim gumbom miša i odabere Nađi, unesite u polje za pretraživanje naziv našeg virusa matadd.exe i kliknite Nađi sljedeći

a takvi se ključevi nalaze u registrskom ključu koji je odgovoran za mogućnosti pokretanja operacijskog sustava - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  • Napomena: Virus je promijenio ključeve koji su odgovorni za učitavanje sustava, ali ključevi su u potpunosti sistem i Userinit nemoguće je izbrisati iz registra kao u prethodnim slučajevima, iz njih trebate izbrisati pogrešne parametre:
Sustav REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe 

 


Sigurno je ovako
Sustav REG_SZ
 Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,

 izbrišite ostatak i naše dvije postavke registra trebale bi izgledati ovako. 

Nakon čišćenja registra, sigurno ćemo ponovno pokrenuti i jednostavno izbrisati virusnu datoteku matadd.exe iz mape C: \ WINDOWS \ apppatch.

Gledamo i mape privremenih datoteka odakle virusi često pokreću izvršne datoteke..

C: \ USERS \ username \ AppData \ Local \ Temp, usput, izbrišite sve iz mape Temp.

Korijen pogonskog sustava, obično (C :). I naravno da trebate provjeriti cijeli sustav sa svojim antivirusom. Ili preuzmite antivirusni program Dr.Web CureIt ili Microsoftove antivirusne programe. 

Sada možemo reći da smo naš operativni sustav spasili od virusa, čak i da nismo pribjegli sigurnom načinu rada. Ako ne možete izbrisati datoteku virusa iz mape C: \ Windows \ AppPatch, niste potpuno očistili registar, nešto ste propustili.
Također možete sve učiniti jednostavnijim., uklonite virus iz mape C: \ Windows \ AppPatch dizanjem sustava s bilo kojeg CD-a uživo, a zatim očistite registar.
Sve je to dobro, ali mnogi će korisnici postaviti pitanje: Kako je virus ušao u mapu C: \ Windows \ AppPatch?
Prijatelji gotovo svih virusa dolaze nam s interneta, pa pri preuzimanju bilo čega budite vrlo oprezni da vam nikada ne skrenu glavu. Uzmimo, na primjer, dva pisma, čiji sam sadržaj citirao na početku članka, naši su čitatelji bili gotovo sigurni da ne preuzimaju ono što je potrebno, ali ipak su stvar doveli do kraja i uhvatili virus. Besplatan sir samo u miškoj zamci.
Ako vam treba neka knjiga za proučavanje, razmislite o njenom autoru, jer da bi je napisao za vas, pisac je uzeo vrijeme od sebe i svoje obitelji i još uvijek ga može kupiti. 
Pa na kraju nekoliko želja. Nikada ne isključujte oporavak sustava. Drugo, uvijek imate normalan antivirusni program na svom računalu, naravno s najnovijim ažuriranjima antivirusne baze podataka. Povremeno stvarajte sigurnosne kopije operativnog sustava. Nemojte raditi pod računom administratora računala; stvorite sebi račun s ograničenim pravima.