• Письмо первое. Здравствуйте, я к вам с проблемой, а именно-как удалить вирус с компьютера, на одном сайте скачала курсовую, стала открывать файл и вместо программы Microsoft Office Word, запустилась какая-то установка. Тут же антивирусная программа выдала предупреждение об обнаруженной угрозе, исходящей из папки
   C:UsersМоё имя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.
  Как я поняла, папка Start Menu, это папка Автозагрузки. Не смотря на то, что компьютер стал ужасно тормозить, я зашла в эту папку и увидела странный файл с названием QJFGSXETY, у файла атрибут скрытый. Попытка удалить файл закончилась неудачей. Загрузилась в безопасном режиме, но и там его удалить не получилось и переименовать (что бы потом удалить после перезагрузки) тоже. Пыталась использовать точки восстановления, но вышло сообщение «Восстановление системы отключено групповой политикой». На этом мои хакерские знания закончились, сижу вот без компьютера и читаю ваши статьи. Что делать-то, если можно пошагово. Марина. г. Суздаль

• Письмо второе. Никак не могу удалить вирус с компьютера, сначала он прописался в автозагрузке, самостоятельно удалить не смог, даже в безопасном режиме, компьютер жутко долго загружался и при работе тормозил, воспользовался советом из статьи Как проверить компьютер на вирусы бесплатно и скачал диск спасения ESET NOD32 (его кстати, можно использовать в качестве простого Live CD, удобная вещь, рекомендую). Проверил им весь компьютер, 5 вредоносных программ нашёл, час сидел ждал, перезагрузился и вируса как не бывало, но обрадовался рано, пропал интернет, в сетевых подключениях жёлтый треугольник и пишет -Сетевое подключение ограничено или отсутствует. Что делать, значит вирус до конца я не удалил? Фёдор.

Как удалить вирус с компьютера

Примечание: Друзья, данная статья подходит для операционных систем Windows 8, Windows 7 и Windows ХР. Так же ещё информация для Вас: — Если вы заразили свой компьютер вирусом, то можете сразу проверить его бесплатными антивирусными утилитами Kaspersky Virus Removal Tool или Dr.Web CureIt, в большинстве случаев это должно помочь. Ещё у нас есть целый раздел, который постоянно пополняется новыми статьями, обязательно зайдите сюда — Все статьи на тему удаления вирусов и баннеров здесь.

Такие же проблемы, попались мне несколько дней назад, попросил меня одноклассник установить ему пару бесплатных программ и антивирусник ESET NOD32, который приобрел на оф. сайте. Кроме NOD32, мы установили бесплатную программу контролирующую автозагрузку-AnVir Task Manager, ещё создали на всякий случай образ системы и диск восстановления, поблагодарил он меня, на том и расстались.

Через день, мой знакомый звонит обеспокоенный и говорит. Слушай старик, дочке в интернете на почту письмо пришло, мы его открыли, там вроде открытка, с днём рождения поздравляют, хотя день рождения уже прошёл давно, кроме открытки ещё был файл, мы и нажали на него, тут же AnVir Task Manager вывел окно, в котором сказал, что какая-то программа со странным названием и значком системного файла, хочет пройти в автозагрузку,

мы разрешили и началось, антивирусник постоянно ругается и выводит грозное предупреждение — Очистка невозможна, при этом компьютер сильно зависает и мы его аварийно выключили, ты наверно с таким встречался, помоги чем можешь.

Приезжаю я к ним, первая мысль была — баннер вымогатель схватили, включаю компьютер, а там вот что.
NOD32 выводит поочерёдности два окна, в которых предупреждает, что в оперативной памяти находится вредоносный процесс, очистка невозможна! исходящий из папки Автозагрузки (Startup).

В Windows 7 папка автозагрузки находится по адресу:
C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.
Кстати в Windows XP папка автозагрузки расположена почти также:
C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузка
AnVir Task Manager показывает загрузку процессора 93%.

Захожу в окно Автозагрузка, программы AnVir Task Manager и вижу уже прописанный в автозагрузке файл с названием QYSGFXZJ.exe, вирус однако.

Иду в папку Автозагрузка: Пуск->Все программы->Автозагрузка

Или по другому папка Автозагрузка расположена по адресу: 

C:Users Имя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.
И вот он наш вирусный файл, пытаюсь его удалить, конечно неудачно, ведь он сейчас важным делом занят.

Первое, что нужно сделать в таких случаях, это запустить Восстановление системы и попробовать откатиться с помощью ранее созданной точки восстановления назад. Пытаюсь запустить восстановление системы и в течении очень долгого времени ничего не происходит. 
Кстати, вирус иногда наделает делов в групповых политиках и вам не удастся запустить восстановление системы при таком сообщении «Восстановление системы отключено групповой политикой«.
Тогда нужно зайти в Групповые политики Пуск-Выполнить-gpedit.msc. ОК

Открывается Групповая политика, здесь нам нужно выбрать Конфигурация компьютера-Административные шаблоны-Система-Восстановление системы- Если щёлкнуть два раза левой кнопкой на пункте Отключить восстановление системы,

должно появиться такое окно, для нормальной работы восстановления системы, в нём вы должны отметить пункт «Не задан» или «Отключен». Всё вступит в силу после перезагрузки. Так же вам нужно знать, что в версиях Windows Home нет Групповой политики.

Запустить восстановление системы мне так и не удалось и я решил перегрузить компьютер и зайти в безопасный режим. В Безопасном режиме можно опять попытаться удалить данный файл из автозагрузки, в большинстве случаев вам это удастся.

Но у меня ничего не получается, видимо случай особый и вредоносный файл не удаляется. Тогда идём в реестр, а именно смотрим ветку: 

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun.
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce
В Windows 7 и Windows XP, для всех пользователей, программы запускаемые при входе в систему оставляют свои ключи в этих ветках, но в основном в первой Run. Все незнакомые ключи нужно удалить, но только незнакомые, в моём случае в автозагрузке присутствует ключ антивирусной программы NOD32 — egui.exe, его удалять ненужно:
 «C:Program FilesESETESET Smart Securityegui.exe» /hide /waitservice

Ещё надо пройти Пуск->Выполнить->msconfig->Автозагрузка и убрать галочки со всех неизвестных программ. Здесь тоже ничего подозрительного нет.

Так же удалить все незнакомые файлы в корне диска (С:), если вы увидите там файлы с таким же названием QYSGFXZJ или похожими, попробуйте удалить их. В корне (С:) у нас кстати непонятная папка QYSGFXZJ. Пытаюсь удалить-удаляется.

Итак, как удалить вирус с компьютера, если даже в безопасном режиме, нам это не удалось или к примеру вы не смогли по каким-то причинам войти в безопасный режим? Бывает в Безопасный режим вы войдёте, но там вас ждёт сюрприз – к примеру не работает мышь.

Если в безопасный режим войти вам не удастся, то вы можете воспользоваться очень простым и проверенным советом из другой нашей статьи Как проверить компьютер на вирусы бесплатно, с помощью диска восстановления ESET NOD32 или Dr.Web. Кстати данные диски можно использовать в качестве Live CD. Или у вас уже есть Live CD, попытайтесь загрузиться с него и проделать то же самое, что и в безопасном режиме – зайти в папку Автозагрузка и удалить вредоносный файл, Работая в Live CD, вы можете запустить с флешки антивирусный сканер, к примеру Dr.Web CureIt.
Лично я, когда встречаю подобную проблему в Windows ХР, (про Windows 7 информация ниже), даже иногда не захожу в безопасный режим, а использую по старинке совершенное оружие -профессиональный инструмент системного администратора ERD Commander 5.0.

• Примечание: все возможности диска восстановления ERD Commander 5.0. описаны в нашей статье ERD Commander. С помощью него можно восстанавливать систему, править реестр, изменять забытый пароль и другое. Для современных компьютеров и ноутбуков, ERD Commander 5.0 нужен с интегрированными SATA драйверами. Давайте загрузимся с него и посмотрим как всё произойдёт.

Перезагружаемся и заходим в BIOS, там выставляем загрузку с дисковода. Загружаемся с диска ERD Commander 5.0. Выбираем первый вариант подключение к Windows ХР, то есть мы с вами сможем работать к примеру непосредственно с реестром нашей заражённой системы.

Обычный Live CD, такой возможности вам не даст. Кстати если выбрать второй вариант (None), то ERD Commander будет работать без подключении к системе, то есть как простой Live CD и тогда многие возможности ERD, такие как восстановление системы, просмотр объектов автозапуска, журнала событий системы и др. вам будет не доступен. Но даже из него иногда получается извлечь пользу.

Не много не привычный с начала рабочий стол, но это не страшно, ещё раз скажу, что описание всех инструментов ERD, есть в нашей статье ERD Commander.

Идём сразу в Административный инструмент Autoruns.

Смотрим в пункте System, а так же Администратор и вот пожалуйста наш вирус, уж здесь мы его точно удалим.

Delete — удаляем процесс из автозапуска и всё, наш вирус удалён.
Explorer – даёт возможность перейти к файлу процесса.
Затем ещё раз проверяем папку автозагрузка и там уже ничего нет.

C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузка
Заходим на всякий случай в корневую папку диска (С:), там ничего подозрительного нет.

Не поленимся зайти в реестр и посмотреть какие программы оставили свои ключи в автозагрузке:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun.

Ну вот мы и удалили вирус из Windows ХР, после нормальной загрузки, стоит проверить весь компьютер на присутствие вирусов. 
А как быть с Windows 7 — можете спросить вы, если мы в этой операционной системе схватим вирус и не сможем удалить его в безопасном режиме. Во первых вы можете воспользоваться дисками спасения (ссылка на статью выше). Во вторых использовать простой Live CD или как я профессиональный инструмент –диск восстановления Microsoft Diagnostic and Recovery Toolset. Полная информация как применять данный инструмент, к примеру при удалении баннера- вымогателя выложена в статье «Как удалить баннер». Здесь же скажу, что это такой же инструмент как и ERD Commander, только создан он в первую очередь для Windows 7. При помощи него так же можно восстанавливать систему, изменять реестр, проводить операции с жёстким диском, изменять забытый пароль и многое другое.
Загружаемся с данного диска MS DaRT 6.5. наш компьютер.

Назначить буквы дискам так же как на целевой системе- Да, так лучше работать.

Далее

Выбираем Проводник

Идём сразу в папку Автозагрузка: 
C:Users Имя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup. Удаляем наш вирус.

Проверяем реестр HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun.

Удаляем всё подозрительное из корня диска (С:), перезагружаемся и проверяем весь компьютер на вирусы.

Ну и самое последнее. После удаления вируса в Windows XP, у вас возможно не будет функционировать интернет, это происходит из-за нарушений, которые вносит вирус в сетевые параметры. Помочь здесь сможет иногда переустановка драйверов сетевой карты или в большинстве случаев, испробованная много раз утилита WinSockFix, которая как раз эти параметры исправляет. Скачать её можно на оф. странице программы http://www.winsockfix.nl

Запускайте утилиту и нажимайте кнопку Fix и всё.

Кнопка ReG-Backup V перед операцией, может сделать вам резервную копию ключей реестра.