Как удалить троян Win32/Spy.Shiz.NCF
Как удалить троян Win32/Spy.Shiz.NCF
Содержание:
- У меня что-то происходит с компьютером, скачал в интернете фильм, который только вышел в кинотеатрах, в глубине души понимал, что-то тут не так, но очень хотелось посмотреть новинку. Не обратил внимания даже на то, что скачанный видеофайл весит очень мало – 137 КБ, при попытке посмотреть фильм, мой компьютер завис. Установленный в системе антивирус стал выводить сообщение о том, что в папке C:WindowsAppPatch найден вирус и предлагает его удалить, я соглашаюсь, через некоторое время опять возникает это же сообщение. Пытался эту странную папку C:WindowsAppPatch удалить совсем, но ничего не получается и что интересно, даже в безопасном режиме она не удаляется, всё заканчивается ошибкой. При этом система стала очень долго загружаться, так же не могу войти на некоторые сайты, к примеру в одноклассники — говорят неправильный логин или пароль, рассчитываю на вашу помощь.
- Письмо № 2 Здравствуйте, скажите пожалуйста как мне быть, сегодня с утра на довольно странном сайте скачал всё же нужную для моей учёбы книгу, которая сейчас продаётся в книжных магазинах за довольно дорогую цену и попытался её открыть. Вдруг мой антивирус ругнулся на папку C:WindowsAppPatch и что-то там удалил, теперь при загрузке операционной системы Windows 7, выходит сообщение: Windows не удалось найти C:WindowsAppPatchhsgpxjt.exe. Операционная система тормозит и зависает, скриншот экрана с данной ошибкой посылаю вам по почте. В интернете нашёл информацию, что данная папка содержит вирусы и её нужно удалить, но удалить не получается даже в безопасном режиме, выходит ошибка. А на вашем сайте говорят, что удалять данную папку нельзя, так как она принадлежит операционной системе, разъясните всё пожалуйста.
↑ Как удалить троян Win32/Spy.Shiz.NCF
↑
Содержание статьи:
- Как удалить из системной папки C:WindowsAppPatch вирус или троянскую программу, имеющую своё название по классификации антивирусной компании ESET — Win32/Spy.Shiz.NCF, ворующую пароли и информацию с вашего компьютера, кстати имя вирусного файла генерируется в операционной системе случайным образом и оно может быть таким: hsgpxjt.exe или к примеру таким matadd.exe и так далее. Сама папка AppPatch является системной и её удалять не нужно.
- Как вирус попадает к нам на компьютер.
Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.
Итак друзья в первую очередь при таких проблемах вы можете применить Восстановление системы или загрузить компьютер с антивирусного диска и просканировать всю вашу систему на вирусы, о том как скачать такой диск, прожечь на болванку и удалить вирусы из системы Windows, у нас есть несколько пошаговых статей: Как проверить компьютер на вирусы бесплатно, антивирусными дисками трёх различных производителей.
Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig, идём Пуск->Выполнить, набираем msconfig
и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,
исполняемый файл находится по адресу
C:WindowsAppPatchmatadd.exe.
Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit,
то есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:WindowsAppPatch нам удалить не удалось.
Для успешной борьбы с вирусом нам нужен помощник, который:
- Во-первых сможет нам показать файл вируса находящийся в автозагрузке
- Во-вторых покажет нам изменения внесённые вирусом в реестр
Полное описание работы с утилитой можно прочесть вот в этой нашей статье Автозагрузка программ в Windows 7
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров и снимите галочки со всего, что вам не нужно, оставьте только на пункте Запустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол.
После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.
Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load, щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике
и сразу попадаем в нашу папку с вирусным файлом C:WindowsAppPatchmatadd.exe.
Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем.
Щёлкаем правой мышью на созданном вирусом ключе Load и выбираем в меню Перейти->Открыть расположение записи в реестре.
Раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWindows
Добавлено два ключа, удаляем их
Load REG_SZ C:WINDOWSapppatchmatadd.exe
Run REG_SZ C:WINDOWSapppatchmatadd.exe
Щёлкаем правой мышью на созданном вирусом ключе userinit и выбираем в меню Перейти->Открыть расположение записи в реестре
Раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Добавлен ключ, так же удаляем его
userinit REG_SZ C:Windowsapppatchmatadd.exe
При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалитьи защитим реестр.
Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.
Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe, щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти, вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее
и такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы — Winlogon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
- Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system и userinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры:
System REG_SZ C:WINDOWSapppatchmatadd.exe
Userinit REG_SZ C:Windowssystem32userinit.exe,C:WINDOWSapppatchmatadd.exe
Должно быть, вот так
System REG_SZ
Userinit REG_SZ C:Windowssystem32userinit.exe,
остальное удаляем и два наши параметра реестра должны выглядеть вот так.
После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папки C:WINDOWSapppatch.
Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.
C:USERSимя пользователяAppDataLocalTemp, кстати из папки Temp удалите всё.
Корень системного диска, обычно (С:). Ну и конечно нужно проверить всю систему своим антивирусом. Или скачать антивирусную утилиту Dr.Web CureIt или антивирусными утилитами от Microsoft.
Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:WindowsAppPatch, значит вы не полностью очистили реестр, что то пропустили.
Всё это хорошо, но многие пользователи зададут вопрос: Как вирус попал в папку C:WindowsAppPatch?
Если Вам нужна какая-нибудь книга для учёбы, подумайте об её авторе, ведь что бы написать её для Вас, писатель оторвал время у себя и у своей семьи и может всё-таки её купить.
Ну и под конец несколько пожеланий. Не выключайте никогда восстановление системы. Во вторых всегда имейте нормальную антивирусную программу на вашем компьютере, конечно с последними обновлениями антивирусных баз. Создавайте периодически бэкапы операционной системы. Не работайте под учетной записью администратора компьютера, создайте себе учётную запись с ограниченными правами.
Выделите и нажмите Ctrl+Enter
Антивирусы, Безопасность
Как удалить троян Win32/Spy.Shiz.NCF