Как удалить троян Win32/Spy.Shiz.NCF

Как удалить троян Win32/Spy.Shiz.NCF

Как удалить троян Win32/Spy.Shiz.NCF

Категория: Безопасность / Антивирусы
Добавил:
access_timeОпубликовано: 25-10-2012
visibilityПросмотров: 53 426
chat_bubble_outlineКомментариев: 4

  • У меня что-то происходит с компьютером, скачал в интернете фильм, который только вышел в кинотеатрах, в глубине души понимал, что-то тут не так, но очень хотелось посмотреть новинку. Не обратил внимания даже на то, что скачанный видеофайл весит очень мало – 137 КБ, при попытке посмотреть фильм, мой компьютер завис. Установленный в системе антивирус стал выводить сообщение о том, что в папке C:WindowsAppPatch найден вирус и предлагает его удалить, я соглашаюсь, через некоторое время опять возникает это же сообщение. Пытался эту странную папку C:WindowsAppPatch удалить совсем, но ничего не получается и что интересно, даже в безопасном режиме она не удаляется, всё заканчивается ошибкой. При этом система стала очень долго загружаться, так же не могу войти на некоторые сайты, к примеру в одноклассники — говорят неправильный логин или пароль, рассчитываю на вашу помощь.
  • Письмо № 2 Здравствуйте, скажите пожалуйста как мне быть, сегодня с утра на довольно странном сайте скачал всё же нужную для моей учёбы книгу, которая сейчас продаётся в книжных магазинах за довольно дорогую цену и попытался её открыть. Вдруг мой антивирус ругнулся на папку C:WindowsAppPatch и что-то там удалил, теперь при загрузке операционной системы Windows 7, выходит сообщение: Windows не удалось найти C:WindowsAppPatchhsgpxjt.exe. Операционная система тормозит и зависает, скриншот экрана с данной ошибкой посылаю вам по почте. В интернете нашёл информацию, что данная папка содержит вирусы и её нужно удалить, но удалить не получается даже в безопасном режиме, выходит ошибка. А на вашем сайте говорят, что удалять данную папку нельзя, так как она принадлежит операционной системе, разъясните всё пожалуйста.  

    d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00c0f9c2

Как удалить троян Win32/Spy.Shiz.NCF

Содержание статьи:

  • Как удалить из системной папки C:WindowsAppPatch вирус или троянскую программу, имеющую своё название по классификации антивирусной компании ESET — Win32/Spy.Shiz.NCF, ворующую пароли и информацию с вашего компьютера, кстати имя вирусного файла генерируется в операционной системе случайным образом и оно может быть таким: hsgpxjt.exe или к примеру таким matadd.exe и так далее. Сама папка AppPatch является системной и её удалять не нужно. 
  • Как вирус попадает к нам на компьютер.

    d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00c261e4

Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.
Итак друзья в первую очередь при таких проблемах вы можете применить Восстановление системы или загрузить компьютер с антивирусного диска и просканировать всю вашу систему на вирусы, о том как скачать такой диск, прожечь на болванку и удалить вирусы из системы Windows, у нас есть несколько пошаговых статей: Как проверить компьютер на вирусы бесплатно, антивирусными дисками трёх различных производителей.
Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
  C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00c3ed63

Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig, идём Пуск->Выполнить, набираем msconfig

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00c5b662

и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00c6fbaa

исполняемый файл находится по адресу

C:WindowsAppPatchmatadd.exe.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00c869e9

Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit,

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00cae3b7

то есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:WindowsAppPatch нам удалить не удалось.

Для успешной борьбы с вирусом нам нужен помощник, который:

  • Во-первых сможет нам показать файл вируса находящийся в автозагрузке
  • Во-вторых покажет нам изменения внесённые вирусом в реестр
Для того что бы увидеть всё что у вас творится в Автозагрузке нужна специальная программа AnVir Task Manager или другая, например AutoRuns от Марка Руссиновича, обе они бесплатны, предлагаю воспользоваться утилитой AnVir Task Manager, так как я давно заметил начинающим пользователям она нравится больше. Скачиваем её здесь
http://www.anvir.net/ и устанавливаем.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00cc6935

Полное описание работы с утилитой можно прочесть вот в этой нашей статье Автозагрузка программ в Windows 7 
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров и снимите галочки со всего, что вам не нужно, оставьте только на пункте Запустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00cde187

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00d10512

После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00d1dfe3

Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load, щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00d49938

 и сразу попадаем в нашу папку с вирусным файлом C:WindowsAppPatchmatadd.exe.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00d7a362

Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем.
Щёлкаем правой мышью на созданном вирусом ключе Load и выбираем в меню Перейти->Открыть расположение записи в реестре. 

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00da5d1c

Раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWindows
Добавлено два ключа, удаляем их
Load REG_SZ C:WINDOWSapppatchmatadd.exe
Run REG_SZ C:WINDOWSapppatchmatadd.exe 

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00dceaeb

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00de9815

Щёлкаем правой мышью на созданном вирусом ключе userinit и выбираем в меню Перейти->Открыть расположение записи в реестре 

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00e06ff5

Раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
 Добавлен ключ, так же удаляем его
userinit REG_SZ C:Windowsapppatchmatadd.exe  

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00e33f0b

При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалитьи защитим реестр.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00e5741f

Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00e70f12

Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe, щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти, вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00e8b30d

и такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы — Winlogon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

  • Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system и userinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры:

System REG_SZ C:WINDOWSapppatchmatadd.exe
Userinit REG_SZ C:Windowssystem32userinit.exe,C:WINDOWSapppatchmatadd.exe 

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00ea1261

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00ec1b60

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00ed4b1b 

Должно быть, вот так
System REG_SZ
 Userinit REG_SZ C:Windowssystem32userinit.exe,

 остальное удаляем и два наши параметра реестра должны выглядеть вот так. 

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00ee6ba9

После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папки C:WINDOWSapppatch.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00f1774a

Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.

C:USERSимя пользователяAppDataLocalTemp, кстати из папки Temp удалите всё.

d0bad0b0d0ba d183d0b4d0b0d0bbd0b8d182d18c d182d180d0bed18fd0bd win32 spy shiz ncf 65dfb00f43de2

Корень системного диска, обычно (С:). Ну и конечно нужно проверить всю систему своим антивирусом. Или скачать антивирусную утилиту Dr.Web CureIt или антивирусными утилитами от Microsoft. 

Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:WindowsAppPatch, значит вы не полностью очистили реестр, что то пропустили.

Так же можно всё сделать проще, удалить вирус из папки C:WindowsAppPatch загрузившись с любого Live CD, а затем почистить реестр.

Всё это хорошо, но многие пользователи зададут вопрос: Как вирус попал в папку C:WindowsAppPatch?

Друзья почти все вирусы приходят к нам из интернета, поэтому скачивая что-либо, будьте очень осторожны, не выключайте никогда свою голову. Возьмём например два письма, содержание которых я привёл в начале статьи, наши читатели почти были уверены, что скачивают не то, что нужно, но всё равно довели дело до конца и словили вирус. Бесплатный сыр только в мышеловке.

Если Вам нужна какая-нибудь книга для учёбы, подумайте об её авторе, ведь что бы написать её для Вас, писатель оторвал время у себя и у своей семьи и может всё-таки её купить. 
Ну и под конец несколько пожеланий. Не выключайте никогда восстановление системы. Во вторых всегда имейте нормальную антивирусную программу на вашем компьютере, конечно с последними обновлениями антивирусных баз. Создавайте периодически бэкапы операционной системы. Не работайте под учетной записью администратора компьютера, создайте себе учётную запись с ограниченными правами.

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку

Выделите и нажмите Ctrl+Enter

Антивирусы, Безопасность
Как удалить троян Win32/Spy.Shiz.NCF