ระบบและการอัพเดต 

แก้ไขระบบหลังไวรัส รีเซ็ตการตั้งค่าคำนำหน้าโปรโตคอล Internet Explorer เป็นค่าเริ่มต้น Windows มีกลไกในการจำกัดการกระทำของผู้ใช้ที่เรียกว่านโยบาย เทคโนโลยีนี้ถูกใช้โดยโปรแกรมที่เป็นอันตรายจำนวนมาก

เพื่อนที่ดีที่สุดของฉันนำเน็ตบุ๊กมาให้ฉันดูซึ่งมีไวรัสร้ายแรง และขอให้ฉันช่วยทำความสะอาดระบบจากสวนสัตว์ เป็นครั้งแรกที่ฉันเห็นสาขาตลกๆ ในการพัฒนามัลแวร์: “แรนซัมแวร์” ด้วยตาของตัวเอง โปรแกรมดังกล่าวจะบล็อกฟังก์ชันบางอย่างของระบบปฏิบัติการ และกำหนดให้คุณต้องส่งข้อความ SMS เพื่อรับรหัสปลดล็อค การรักษากลับกลายเป็นว่าไม่ใช่เรื่องเล็กน้อยเลย และฉันคิดว่าบางทีเรื่องราวนี้อาจจะช่วยเซลล์ประสาทของใครบางคนได้ ฉันพยายามให้ลิงก์ไปยังเว็บไซต์และสาธารณูปโภคทั้งหมดที่จำเป็นในระหว่างการรักษา

ในกรณีนี้ไวรัสถูกวางตัวเป็นโปรแกรมป้องกันไวรัส Internet Security และจำเป็นต้องส่ง SMS K207815200 ไปที่หมายเลข 4460 บนเว็บไซต์ Kaspersky Lab มีหน้าเว็บที่ให้คุณสร้างรหัสตอบกลับ ransomware: support.kaspersky.ru/viruses/deblocker

อย่างไรก็ตาม หลังจากป้อนรหัสแล้ว ฟังก์ชันระบบปฏิบัติการยังคงถูกบล็อก และการเปิดโปรแกรมป้องกันไวรัสใดๆ ก็ตามนำไปสู่การเปิดหน้าต่างไวรัสทันทีที่จำลองการทำงานของโปรแกรมป้องกันไวรัสอย่างระมัดระวัง:

ความพยายามที่จะบูตเข้าสู่เซฟโหมดทำให้ได้ผลลัพธ์ที่เหมือนกันทุกประการ เรื่องนี้ยังซับซ้อนด้วยความจริงที่ว่ารหัสผ่านสำหรับบัญชีผู้ดูแลระบบทั้งหมดว่างเปล่า และการเข้าสู่ระบบคอมพิวเตอร์ผ่านเครือข่ายสำหรับผู้ดูแลระบบที่มีรหัสผ่านว่างเปล่าถูกบล็อกโดยค่าเริ่มต้นตามนโยบาย
ฉันต้องบูตจากแฟลชไดรฟ์ USB (ตามคำจำกัดความแล้วเน็ตบุ๊กไม่มีดิสก์ไดรฟ์) วิธีที่ง่ายที่สุดในการสร้างไดรฟ์ USB ที่สามารถบู๊ตได้:
1. ฟอร์แมตดิสก์เป็น NTFS
2. ทำให้พาร์ติชันใช้งานได้ (diskpart -> เลือกดิสก์ x -> เลือกพาร์ติชัน x -> ใช้งานอยู่)
3. ใช้ยูทิลิตี้ \boot\bootsect.exe จากรุ่น Vista/Windows 2008/Windows 7: บูต /nt60 X: /mbr
4. คัดลอกไฟล์ทั้งหมดของการกระจาย (ฉันมี Windows 2008 อยู่ในมือ) ไปยังไดรฟ์ USB แค่นั้นแหละคุณสามารถบูตได้

เนื่องจากเราไม่จำเป็นต้องติดตั้งระบบปฏิบัติการ แต่จัดการกับไวรัส เราจึงคัดลอกชุดการรักษาฟรี (AVZ, CureIt) และยูทิลิตี้เสริมลงดิสก์ (เมื่อมองไปข้างหน้า ฉันต้องการ Streams จาก Mark Russinovich) และ Far เรารีบูทเน็ตบุ๊กตั้งค่า BIOS ให้บูตจาก USB

โหลดโปรแกรมติดตั้ง Windows 2008 แล้ว ยอมรับตัวเลือกภาษา ติดตั้งทันที จากนั้นกด Shift+F10 หน้าต่างบรรทัดคำสั่งปรากฏขึ้นซึ่งเราสามารถเปิดเครื่องมือป้องกันไวรัสและค้นหาการติดไวรัสในไดรฟ์ระบบได้ ที่นี่ฉันประสบปัญหา CureIt ทิ้งระบบลงในหน้าจอสีน้ำเงินแห่งความตายพร้อมคำสาปเกี่ยวกับข้อผิดพลาดในการทำงานกับ NTFS และ AVZ แม้ว่าจะใช้งานได้ แต่ก็ไม่พบอะไรเลย เห็นได้ชัดว่าไวรัสนั้นใหม่มาก เบาะแสเดียวคือข้อความจาก AVZ ที่ตรวจพบโค้ดปฏิบัติการในสตรีม NTSF เพิ่มเติมสำหรับหนึ่งในไฟล์ในไดเร็กทอรี Windows สิ่งนี้ดูแปลกและน่าสงสัยสำหรับฉัน เนื่องจากมีการใช้สตรีม NTFS เพิ่มเติมในกรณีที่เฉพาะเจาะจงอย่างยิ่ง และไม่ควรจัดเก็บไฟล์ปฏิบัติการใด ๆ ไว้ในเครื่องปกติ

ดังนั้นฉันต้องดาวน์โหลดยูทิลิตี้ Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) จาก Mark และลบสตรีมนี้ ขนาดของมันคือ 126,464 ไบต์ เช่นเดียวกับไฟล์ dll ที่ไวรัสวางบนแฟลชไดรฟ์ที่เสียบเข้าไปในระบบ

หลังจากนั้นฉันใช้ Far เพื่อค้นหาไฟล์ที่มีขนาดเท่ากันในดิสก์ระบบทั้งหมด และพบไฟล์ที่น่าสงสัยอีก 5 หรือ 6 ไฟล์ที่สร้างขึ้นในช่วง 2-3 วันที่ผ่านมา พวกเขาก็ถูกลบไปในลักษณะเดียวกัน หลังจากนั้น CureIt ก็สามารถทำงานได้ (เห็นได้ชัดว่ามันสะดุดกับเธรดเพิ่มเติม) และกำจัดโทรจันได้อีกสองตัวได้สำเร็จ :)

หลังจากรีบูตทุกอย่างทำงานได้ สแกนไวรัสเพิ่มเติมไม่พบอะไรเลย ด้วยความช่วยเหลือของ AVZ นโยบายที่จำกัดฟังก์ชันระบบปฏิบัติการจะได้รับการกู้คืน เพื่อนคนหนึ่งได้รับคำแนะนำที่เข้มงวดเกี่ยวกับความสำคัญของการใช้โปรแกรมป้องกันไวรัส โดยเฉพาะอย่างยิ่งเนื่องจากมีโปรแกรมฟรีมากมาย (

อุทิศ เอวีแซดฉันต้องการแบ่งปันความรู้เพิ่มเติมเกี่ยวกับความสามารถของยูทิลิตี้ที่ยอดเยี่ยมนี้กับคุณ

วันนี้เราจะพูดถึงเครื่องมือการกู้คืนระบบซึ่งมักจะสามารถช่วยชีวิตคอมพิวเตอร์ของคุณหลังจากติดไวรัสและความน่าสะพรึงกลัวอื่น ๆ ของชีวิตได้ เช่นเดียวกับการแก้ปัญหาระบบจำนวนหนึ่งที่เกิดขึ้นจากข้อผิดพลาดบางประการ
มันจะเป็นประโยชน์สำหรับทุกคน

เบื้องต้น

ก่อนที่เราจะเริ่มต้น ตามธรรมเนียมแล้ว ฉันต้องการเสนอสื่อให้คุณสองรูปแบบ ได้แก่ รูปแบบวิดีโอหรือข้อความ นี่คือวิดีโอ:

ครับ ข้อความข้างล่างนี้ ดูด้วยตัวคุณเองว่าตัวเลือกใดที่ใกล้คุณที่สุด

คำอธิบายทั่วไปของฟังก์ชันการทำงานของโปรแกรม

การฟื้นฟูเหล่านี้หมายถึงอะไร? นี่คือชุดเฟิร์มแวร์และสคริปต์ที่ช่วยให้ฟังก์ชันของระบบบางอย่างกลับสู่สภาพการทำงาน เช่นอะไรบ้าง? สมมติว่าส่งคืนตัวแก้ไขรีจิสทรีล้างไฟล์โฮสต์หรือรีเซ็ตการตั้งค่า IE โดยทั่วไปแล้วฉันให้ครบถ้วนและมีคำอธิบาย (เพื่อไม่ให้สร้างล้อใหม่):

  • 1. การกู้คืนพารามิเตอร์เริ่มต้นของไฟล์ .exe, .com, .pif
    เฟิร์มแวร์นี้จะคืนค่าการตอบสนองของระบบต่อไฟล์ exe, com, pif, scr
    ข้อบ่งชี้ในการใช้งาน: หลังจากลบไวรัสแล้ว โปรแกรมต่างๆ จะหยุดทำงาน
  • 2. รีเซ็ตการตั้งค่าคำนำหน้าโปรโตคอล Internet Explorer เป็นมาตรฐาน
    เฟิร์มแวร์นี้จะคืนค่าการตั้งค่าคำนำหน้าโปรโตคอลใน Internet Explorer
    บ่งชี้ในการใช้งาน: เมื่อคุณป้อนที่อยู่เช่น www.yandex.ru จะถูกแทนที่ด้วยที่อยู่เช่น www.seque.com/abcd.php?url=www.yandex.ru
  • 3. การคืนค่าหน้าเริ่มต้นของ Internet Explorer
    เฟิร์มแวร์นี้จะคืนค่าหน้าเริ่มต้นใน Internet Explorer
    บ่งชี้ในการใช้งาน: แทนที่หน้าเริ่มต้น
  • 4. รีเซ็ตการตั้งค่าการค้นหาของ Internet Explorer เป็นค่าเริ่มต้น
    เฟิร์มแวร์นี้จะคืนค่าการตั้งค่าการค้นหาใน Internet Explorer
    บ่งชี้ในการใช้งาน: เมื่อคุณคลิกปุ่ม "ค้นหา" ใน IE คุณกำลังเข้าถึงเว็บไซต์บุคคลที่สามบางแห่ง
  • 5. คืนค่าการตั้งค่าเดสก์ท็อป
    เฟิร์มแวร์นี้จะคืนค่าการตั้งค่าเดสก์ท็อป การกู้คืนเกี่ยวข้องกับการลบองค์ประกอบ ActiveDesctop วอลเปเปอร์ และการเลิกบล็อกเมนูที่รับผิดชอบการตั้งค่าเดสก์ท็อป
    ข้อบ่งชี้ในการใช้งาน: แท็บการตั้งค่าเดสก์ท็อปในหน้าต่าง "คุณสมบัติ: หน้าจอ" หายไป คำจารึกหรือรูปภาพที่ไม่เกี่ยวข้องจะปรากฏบนเดสก์ท็อป
  • 6. การลบนโยบายทั้งหมด (ข้อจำกัด)ผู้ใช้ปัจจุบัน.
    Windows มีกลไกในการจำกัดการกระทำของผู้ใช้ที่เรียกว่านโยบาย มัลแวร์จำนวนมากใช้เทคโนโลยีนี้เนื่องจากการตั้งค่าถูกจัดเก็บไว้ในรีจิสทรี และสร้างหรือแก้ไขได้ง่าย
    ข้อบ่งชี้ในการใช้งาน: ฟังก์ชันตัวนำหรือฟังก์ชันระบบอื่นๆ ถูกบล็อก
  • 7. การลบข้อความที่แสดงระหว่าง WinLogon
    Windows NT และระบบต่อมาในบรรทัด NT (2000, XP) อนุญาตให้คุณตั้งค่าข้อความที่แสดงระหว่างการเริ่มต้นระบบ โปรแกรมที่เป็นอันตรายจำนวนหนึ่งใช้ประโยชน์จากสิ่งนี้ และการทำลายโปรแกรมที่เป็นอันตรายไม่ได้นำไปสู่การทำลายข้อความนี้
    ข้อบ่งชี้ในการใช้งาน: ในระหว่างการบูตระบบ จะมีการป้อนข้อความที่ไม่เกี่ยวข้อง
  • 8. คืนค่าการตั้งค่า File Explorer
    เฟิร์มแวร์นี้จะรีเซ็ตการตั้งค่า Explorer ให้เป็นมาตรฐาน (การตั้งค่าที่เปลี่ยนโดยมัลแวร์จะถูกรีเซ็ตก่อน)
    ข้อบ่งชี้ในการใช้งาน: เปลี่ยนการตั้งค่าตัวนำ
  • 9. การลบดีบักเกอร์กระบวนการของระบบ
    การลงทะเบียนดีบักเกอร์กระบวนการระบบจะช่วยให้คุณสามารถเปิดแอปพลิเคชันที่ซ่อนอยู่ซึ่งเป็นสิ่งที่โปรแกรมที่เป็นอันตรายจำนวนหนึ่งใช้
    บ่งชี้ในการใช้งาน: AVZ ตรวจจับดีบักเกอร์กระบวนการระบบที่ไม่ปรากฏชื่อ ปัญหาเกิดขึ้นกับการเรียกใช้ส่วนประกอบของระบบ โดยเฉพาะอย่างยิ่งเดสก์ท็อปจะหายไปหลังจากรีบูต
  • 10. การคืนค่าการตั้งค่าการบูตใน SafeMode
    มัลแวร์บางตัว โดยเฉพาะเวิร์ม Bagle ทำให้การตั้งค่าการบู๊ตของระบบเสียหายในโหมดป้องกัน เฟิร์มแวร์นี้จะคืนค่าการตั้งค่าการบูตในโหมดที่ได้รับการป้องกัน
    ข้อบ่งชี้ในการใช้งาน: คอมพิวเตอร์ไม่บู๊ตใน SafeMode ใช้เฟิร์มแวร์นี้เฉพาะในกรณีที่คุณมีปัญหาในการบูตเข้าสู่โหมดที่ได้รับการป้องกัน
  • 11. ปลดล็อคตัวจัดการงาน
    มัลแวร์ใช้การบล็อกตัวจัดการงานเพื่อปกป้องกระบวนการจากการตรวจจับและการลบ ดังนั้นการดำเนินการไมโครโปรแกรมนี้จะเป็นการเอาการล็อคออก
    ข้อบ่งชี้ในการใช้งาน: การบล็อกตัวจัดการงาน เมื่อคุณพยายามโทรหาตัวจัดการงาน ข้อความ "ตัวจัดการงานถูกบล็อกโดยผู้ดูแลระบบ" จะปรากฏขึ้น
  • 12. การล้างรายการละเว้นของยูทิลิตี้ HijackThis
    ยูทิลิตี้ HijackThis จะจัดเก็บการตั้งค่าจำนวนหนึ่งไว้ในรีจิสทรี โดยเฉพาะรายการข้อยกเว้น ดังนั้น เพื่ออำพรางตัวเองจาก HijackThis โปรแกรมที่เป็นอันตรายจำเป็นต้องลงทะเบียนไฟล์ปฏิบัติการในรายการยกเว้นเท่านั้น ขณะนี้มีโปรแกรมที่เป็นอันตรายจำนวนหนึ่งที่ใช้ประโยชน์จากช่องโหว่นี้ เฟิร์มแวร์ AVZ จะล้างรายการข้อยกเว้นของยูทิลิตี้ HijackThis
    ข้อบ่งชี้ในการใช้งาน: สงสัยว่ายูทิลิตี้ HijackThis ไม่แสดงข้อมูลทั้งหมดเกี่ยวกับระบบ
  • 13. ทำความสะอาดไฟล์ Hosts
    การล้างไฟล์ Hosts เกี่ยวข้องกับการค้นหาไฟล์ Hosts ลบบรรทัดที่สำคัญทั้งหมดออก และเพิ่มบรรทัดมาตรฐาน "127.0.0.1 localhost"
    ข้อบ่งชี้ในการใช้งาน: สงสัยว่าไฟล์ Hosts ได้รับการแก้ไขโดยโปรแกรมที่เป็นอันตราย อาการทั่วไปกำลังบล็อกการอัปเดตโปรแกรมป้องกันไวรัส คุณสามารถควบคุมเนื้อหาของไฟล์ Hosts ได้โดยใช้ตัวจัดการไฟล์ Hosts ที่มีอยู่ใน AVZ
  • 14. การแก้ไขการตั้งค่า SPl/LSP โดยอัตโนมัติ
    ดำเนินการวิเคราะห์การตั้งค่า SPI และหากตรวจพบข้อผิดพลาด จะแก้ไขข้อผิดพลาดที่พบโดยอัตโนมัติ เฟิร์มแวร์นี้สามารถรันซ้ำได้ไม่จำกัดจำนวนครั้ง หลังจากรันเฟิร์มแวร์นี้แล้ว ขอแนะนำให้รีสตาร์ทคอมพิวเตอร์ บันทึก! ไม่สามารถเรียกใช้เฟิร์มแวร์นี้จากเซสชันเทอร์มินัลได้
    ข้อบ่งชี้ในการใช้งาน: หลังจากลบโปรแกรมที่เป็นอันตรายแล้ว การเข้าถึงอินเทอร์เน็ตก็สูญหายไป
  • 15. รีเซ็ตการตั้งค่า SPI/LSP และ TCP/IP (XP+)
    เฟิร์มแวร์นี้ใช้งานได้กับ XP, Windows 2003 และ Vista เท่านั้น หลักการทำงานของมันขึ้นอยู่กับการรีเซ็ตและสร้างการตั้งค่า SPI/LSP และ TCP/IP ใหม่โดยใช้ยูทิลิตี้ netsh มาตรฐานที่รวมอยู่ใน Windows คุณสามารถอ่านเพิ่มเติมเกี่ยวกับการรีเซ็ตการตั้งค่าได้ในฐานความรู้ของ Microsoft - โปรดทราบ! คุณควรใช้การรีเซ็ตเป็นค่าจากโรงงานเฉพาะในกรณีที่จำเป็นเท่านั้น หากคุณมีปัญหาในการเข้าถึงอินเทอร์เน็ตที่ไม่สามารถกู้คืนได้หลังจากลบมัลแวร์แล้ว!
    ข้อบ่งชี้ในการใช้งาน: หลังจากลบโปรแกรมที่เป็นอันตรายแล้ว การเข้าถึงอินเทอร์เน็ตจะสูญหาย และการเรียกใช้เฟิร์มแวร์ “14. การแก้ไขการตั้งค่า SPl/LSP อัตโนมัติ” จะไม่ให้ผลลัพธ์
  • 16. การกู้คืนคีย์เปิดใช้งาน Explorer
    กู้คืนคีย์รีจิสทรีของระบบที่รับผิดชอบในการเรียกใช้ Explorer
    ข้อบ่งใช้ในการใช้งาน: ในระหว่างการบูตระบบ Explorer จะไม่เริ่มทำงาน แต่สามารถเรียกใช้ explorer.exe ด้วยตนเองได้
  • 17. การปลดล็อคตัวแก้ไขรีจิสทรี
    เลิกบล็อกตัวแก้ไขรีจิสทรีโดยการลบนโยบายที่ป้องกันไม่ให้ทำงาน
    ข้อบ่งชี้ในการใช้งาน: เป็นไปไม่ได้ที่จะเริ่มตัวแก้ไขรีจิสทรี เมื่อคุณลอง ข้อความจะปรากฏขึ้นโดยระบุว่าการเปิดตัวถูกบล็อกโดยผู้ดูแลระบบ
  • 18. สร้างการตั้งค่า SPI ใหม่ให้เสร็จสิ้น
    ดำเนินการสำเนาสำรองของการตั้งค่า SPI/LSP หลังจากนั้นจะทำลายและสร้างขึ้นตามมาตรฐานซึ่งจัดเก็บไว้ในฐานข้อมูล
    ข้อบ่งใช้ในการใช้งาน: ความเสียหายอย่างรุนแรงต่อการตั้งค่า SPI ที่ไม่สามารถซ่อมแซมได้ด้วยสคริปต์ 14 และ 15 ใช้เมื่อจำเป็นเท่านั้น!
  • 19. ล้างฐานข้อมูล MountPoints
    ทำความสะอาดฐานข้อมูล MountPoints และ MountPoints2 ในรีจิสทรี
    ข้อบ่งชี้ในการใช้งาน: การดำเนินการนี้มักจะช่วยได้เมื่อหลังจากติดไวรัส Flash ดิสก์ไม่เปิดใน Explorer
  • ในบันทึก:
    การกู้คืนจะไม่มีประโยชน์หากระบบใช้โทรจันที่ทำการกำหนดค่าใหม่ - คุณต้องลบโปรแกรมที่เป็นอันตรายก่อนแล้วจึงคืนค่าการตั้งค่าระบบ
    ในบันทึก:
    เพื่อกำจัดร่องรอยของไฮแจ็คเกอร์ส่วนใหญ่ คุณต้องรันเฟิร์มแวร์สามตัว - "รีเซ็ตการตั้งค่าการค้นหา Internet Explorer เป็นมาตรฐาน", "คืนค่าหน้าเริ่มต้นของ Internet Explorer", "รีเซ็ตการตั้งค่าคำนำหน้าโปรโตคอล Internet Explorer เป็นมาตรฐาน"
    ในบันทึก    :
    เฟิร์มแวร์ใดๆ ก็ตามสามารถดำเนินการได้หลายครั้งติดต่อกันโดยไม่ทำให้ระบบเสียหาย ข้อยกเว้นคือ "5. การคืนค่าการตั้งค่าเดสก์ท็อป" (เฟิร์มแวร์นี้จะรีเซ็ตการตั้งค่าเดสก์ท็อปทั้งหมด และคุณจะต้องเลือกสีเดสก์ท็อปและวอลเปเปอร์อีกครั้ง) และ "10. การคืนค่าการตั้งค่าการบูตใน SafeMode" (เฟิร์มแวร์นี้จะสร้างรีจิสตรีคีย์ที่รับผิดชอบขึ้นใหม่ สำหรับการบูตเข้าสู่เซฟโหมด)

มีประโยชน์ใช่มั้ย?
ตอนนี้เกี่ยวกับวิธีการใช้งาน

กำลังโหลด เริ่มใช้งาน

จริงๆแล้วทุกอย่างเป็นเรื่องง่าย

  1. ดาวน์โหลด จากที่นี่(หรือจากที่อื่น) ยูทิลิตี้ป้องกันไวรัส เอวีแซด.
  2. แตกไฟล์เก็บถาวรออกจากที่ใดที่หนึ่งที่สะดวกสำหรับคุณ
  3. ไปที่โฟลเดอร์ที่เราแตกไฟล์โปรแกรมแล้วรันที่นั่น avz.exe.
  4. ในหน้าต่างโปรแกรมให้เลือก "ไฟล์" - "ระบบการเรียกคืน".
  5. เราทำเครื่องหมายรายการที่จำเป็นแล้วกดปุ่ม " ดำเนินการที่ทำเครื่องหมายไว้".
  6. เรากำลังรอและเพลิดเพลินกับผลลัพธ์

นั่นเป็นวิธีที่สิ่งต่างๆ

คำหลัง

ฉันต้องบอกว่ามันใช้งานได้เหมือนมีเสน่ห์และกำจัดการเคลื่อนไหวที่ไม่จำเป็นจำนวนหนึ่ง พูดง่ายๆ ก็คือ ทุกอย่างอยู่ใกล้แค่เอื้อม รวดเร็ว เรียบง่าย และมีประสิทธิภาพ

ขอขอบคุณสำหรับความสนใจของคุณ;)

ผ่านไปหนึ่งสัปดาห์แล้วนับตั้งแต่ Petya ขึ้นฝั่งในยูเครน โดยทั่วไปแล้ว มากกว่าห้าสิบประเทศทั่วโลกได้รับผลกระทบจากไวรัสเข้ารหัสนี้ แต่ 75% ของการโจมตีทางไซเบอร์ครั้งใหญ่ส่งผลกระทบต่อยูเครน รัฐบาลและสถาบันการเงินทั่วประเทศได้รับผลกระทบ Ukrenergo และ Kyivenergo เป็นหนึ่งในกลุ่มแรกๆ ที่รายงานว่าระบบของพวกเขาถูกแฮ็ก ในการเจาะและบล็อกไวรัส Petya.A ใช้โปรแกรมบัญชี M.E.Doc ซอฟต์แวร์นี้ได้รับความนิยมอย่างมากในหมู่สถาบันต่าง ๆ ในยูเครนซึ่งถึงแก่ชีวิต ส่งผลให้บางบริษัทต้องใช้เวลานานในการกู้คืนระบบหลังจากไวรัส Petya บางคนสามารถกลับมาทำงานได้เมื่อวานนี้เท่านั้น 6 วันหลังจากไวรัสแรนซัมแวร์

วัตถุประสงค์ของไวรัส Petya

เป้าหมายของไวรัสแรนซัมแวร์ส่วนใหญ่คือการขู่กรรโชก พวกเขาเข้ารหัสข้อมูลบนพีซีของเหยื่อและเรียกร้องเงินจากเธอเพื่อรับรหัสที่จะกู้คืนการเข้าถึงข้อมูลที่เข้ารหัส แต่คนหลอกลวงไม่รักษาคำพูดเสมอไป แรนซัมแวร์บางตัวไม่ได้ออกแบบมาเพื่อถอดรหัส และไวรัส Petya ก็เป็นหนึ่งในนั้น

ข่าวเศร้านี้รายงานโดยผู้เชี่ยวชาญจาก Kaspersky Lab ในการกู้คืนข้อมูลหลังจากไวรัสแรนซัมแวร์ คุณต้องมีตัวระบุการติดตั้งไวรัสที่ไม่ซ้ำกัน แต่ในสถานการณ์ที่มีไวรัสตัวใหม่ ไวรัสตัวใหม่จะไม่สร้างตัวระบุเลย นั่นคือผู้สร้างมัลแวร์ไม่ได้พิจารณาตัวเลือกในการกู้คืนพีซีหลังจากไวรัส Petya ด้วยซ้ำ

แต่ในเวลาเดียวกัน ผู้ที่ตกเป็นเหยื่อได้รับข้อความแจ้งชื่อที่อยู่ที่จะโอนเงิน 300 ดอลลาร์เป็น bitcoins เพื่อกู้คืนระบบ ในกรณีเช่นนี้ ผู้เชี่ยวชาญไม่แนะนำให้ช่วยเหลือแฮกเกอร์ แต่อย่างไรก็ตาม ผู้สร้าง Petya ก็สามารถสร้างรายได้มากกว่า 10,000 ดอลลาร์ใน 2 วันหลังจากการโจมตีทางไซเบอร์ครั้งใหญ่ แต่ผู้เชี่ยวชาญมั่นใจว่าการขู่กรรโชกไม่ใช่เป้าหมายหลักของพวกเขา เนื่องจากกลไกนี้มีความคิดที่ไม่ดีนัก ไม่เหมือนกลไกอื่นๆ ของไวรัส จากนี้จึงสามารถสันนิษฐานได้ว่าเป้าหมายของไวรัส Petya คือการทำให้งานขององค์กรระดับโลกไม่มั่นคง อาจเป็นไปได้ทั้งหมดว่าแฮกเกอร์แค่รีบร้อนและไม่ได้คิดถึงส่วนการหาเงินให้ดีนัก

การกู้คืนพีซีหลังจากไวรัส Petya

น่าเสียดายที่เมื่อ Petya ติดไวรัสอย่างสมบูรณ์ ข้อมูลในคอมพิวเตอร์ของคุณจะไม่สามารถกู้คืนได้ แต่ถึงกระนั้นก็มีวิธีปลดล็อคคอมพิวเตอร์หลังจากไวรัส Petya หากแรนซัมแวร์ไม่มีเวลาในการเข้ารหัสข้อมูลอย่างสมบูรณ์ เผยแพร่บนเว็บไซต์อย่างเป็นทางการของตำรวจไซเบอร์เมื่อวันที่ 2 กรกฎาคม

มีสามทางเลือกในการติดเชื้อไวรัส Petya

— ข้อมูลทั้งหมดบนพีซีได้รับการเข้ารหัสอย่างสมบูรณ์ หน้าต่างที่มีการขู่กรรโชกเงินจะปรากฏขึ้นบนหน้าจอ
— ข้อมูลพีซีถูกเข้ารหัสบางส่วน กระบวนการเข้ารหัสถูกขัดจังหวะโดยปัจจัยภายนอก (รวมถึงแหล่งจ่ายไฟ)
— พีซีติดไวรัส แต่กระบวนการเข้ารหัสตาราง MFT ยังไม่ได้เริ่มต้น

ในกรณีแรกทุกอย่างไม่ดี - ระบบไม่สามารถกู้คืนได้- อย่างน้อยก็ตอนนี้.
ในสองตัวเลือกสุดท้าย สถานการณ์สามารถแก้ไขได้
หากต้องการกู้คืนข้อมูลที่ถูกเข้ารหัสบางส่วน ขอแนะนำให้ดาวน์โหลดดิสก์การติดตั้ง Windows:

หากฮาร์ดไดรฟ์ไม่ได้รับความเสียหายจากไวรัสแรนซัมแวร์ ระบบปฏิบัติการสำหรับบูตจะเห็นไฟล์และเริ่มการกู้คืน MBR:

สำหรับ Windows แต่ละรุ่นกระบวนการนี้มีความแตกต่างของตัวเอง

วินโดวส์เอ็กซ์พี

หลังจากโหลดดิสก์การติดตั้งแล้ว หน้าต่าง "การตั้งค่า Windows XP Professional" จะปรากฏขึ้นบนหน้าจอ โดยคุณต้องเลือก "เพื่อคืนค่า Windows XP โดยใช้คอนโซลการกู้คืน ให้กด R" หลังจากกด R คอนโซลการกู้คืนจะเริ่มโหลด

หากอุปกรณ์มีระบบปฏิบัติการเดียวติดตั้งและอยู่บนไดรฟ์ C การแจ้งเตือนจะปรากฏขึ้น:
"1: C:\WINDOWS ฉันควรใช้สำเนาของ Windows ใดในการเข้าสู่ระบบ" ดังนั้นคุณต้องกดปุ่ม "1" และ "Enter"
จากนั้นข้อความต่อไปนี้จะปรากฏขึ้น: “ป้อนรหัสผ่านผู้ดูแลระบบ” กรอกรหัสผ่านแล้วกด “Enter” (หากไม่มีรหัสผ่านให้กด “Enter”)
ข้อความแจ้งของระบบควรปรากฏขึ้น: C:\WINDOWS> ป้อน fixmbr

จากนั้น “คำเตือน” จะปรากฏขึ้น
เพื่อยืนยันรายการ MBR ใหม่ ให้กด "y"
จากนั้นการแจ้งเตือน “กำลังสร้างมาสเตอร์บูตเรคคอร์ดใหม่บนดิสก์\อุปกรณ์\ฮาร์ดดิส0\พาร์ติชั่น0” จะปรากฏขึ้น
และ: “สร้างมาสเตอร์บูตเรคคอร์ดใหม่สำเร็จแล้ว”

วินโดวส์วิสต้า:

ที่นี่สถานการณ์ง่ายกว่า โหลด OS เลือกภาษาและรูปแบบแป้นพิมพ์ จากนั้น “คืนค่าคอมพิวเตอร์ของคุณให้เป็นปกติ” จะปรากฏขึ้นบนหน้าจอ เมนูจะปรากฏขึ้นโดยคุณต้องเลือก “ถัดไป” หน้าต่างจะปรากฏขึ้นพร้อมพารามิเตอร์ของระบบที่กู้คืนซึ่งคุณต้องคลิกที่บรรทัดคำสั่งซึ่งคุณต้องป้อน bootrec /FixMbr
หลังจากนี้คุณต้องรอให้กระบวนการเสร็จสิ้น หากทุกอย่างเป็นไปด้วยดีข้อความยืนยันจะปรากฏขึ้น - กด "Enter" และคอมพิวเตอร์จะเริ่มรีบูต ทั้งหมด.

วินโดว 7:

กระบวนการกู้คืนจะคล้ายกับ Vista หลังจากเลือกภาษาและรูปแบบแป้นพิมพ์แล้ว ให้เลือกระบบปฏิบัติการของคุณ จากนั้นคลิก "ถัดไป" ในหน้าต่างใหม่ ให้เลือก “ใช้เครื่องมือการกู้คืนที่สามารถช่วยแก้ปัญหาในการเริ่ม Windows”
การดำเนินการอื่นๆ ทั้งหมดจะคล้ายกับ Vista

วินโดวส์ 8 และ 10:

บูตระบบปฏิบัติการในหน้าต่างที่ปรากฏขึ้น ให้เลือกกู้คืนคอมพิวเตอร์ของคุณ>การแก้ไขปัญหา โดยคลิกที่บรรทัดคำสั่งแล้วป้อน bootrec /FixMbr เมื่อกระบวนการเสร็จสมบูรณ์ ให้กด "Enter" และรีบูตอุปกรณ์ของคุณ

หลังจากกระบวนการกู้คืน MBR เสร็จสมบูรณ์ (ไม่ว่าจะเป็นเวอร์ชัน Windows ก็ตาม) คุณจะต้องสแกนดิสก์ด้วยโปรแกรมป้องกันไวรัส
หากกระบวนการเข้ารหัสเริ่มต้นจากไวรัส คุณสามารถใช้ซอฟต์แวร์กู้คืนไฟล์ เช่น Rstudio ได้ หลังจากคัดลอกไปยังสื่อแบบถอดได้ คุณจะต้องติดตั้งระบบใหม่
หากคุณใช้โปรแกรมกู้คืนข้อมูลที่บันทึกไว้ในบูตเซกเตอร์เช่น Acronis True Image คุณจะมั่นใจได้ว่า "Petya" จะไม่ส่งผลกระทบต่อเซกเตอร์นี้ ซึ่งหมายความว่าคุณสามารถทำให้ระบบกลับสู่สภาพการทำงานได้โดยไม่ต้องติดตั้งใหม่

หากคุณพบข้อผิดพลาด โปรดเน้นข้อความและคลิก Ctrl+ป้อน.

เราจะพูดถึงวิธีที่ง่ายที่สุดในการต่อต้านไวรัส โดยเฉพาะวิธีที่บล็อกเดสก์ท็อปของผู้ใช้ Windows 7 (ตระกูลไวรัส Trojan.Winlock) ไวรัสดังกล่าวมีความโดดเด่นด้วยความจริงที่ว่าพวกเขาไม่ได้ซ่อนการมีอยู่ในระบบ แต่ในทางกลับกันแสดงให้เห็นทำให้ยากอย่างยิ่งที่จะดำเนินการใด ๆ นอกเหนือจากการป้อน "รหัสปลดล็อค" พิเศษเพื่อรับซึ่งถูกกล่าวหาว่า คุณต้องโอนเงินจำนวนหนึ่งให้กับผู้โจมตีโดยส่ง SMS หรือการเติมเงินบัญชีโทรศัพท์มือถือผ่านเครื่องชำระเงิน เป้าหมายอยู่ที่หนึ่ง - เพื่อบังคับให้ผู้ใช้จ่ายเงินและบางครั้งก็ได้เงินค่อนข้างดี หน้าต่างปรากฏขึ้นบนหน้าจอพร้อมคำเตือนที่คุกคามเกี่ยวกับการบล็อกคอมพิวเตอร์เพื่อใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือเยี่ยมชมไซต์ที่ไม่ต้องการ และอย่างอื่นที่คล้ายคลึงกันซึ่งมักจะทำให้ผู้ใช้หวาดกลัว นอกจากนี้ไวรัสไม่อนุญาตให้คุณดำเนินการใด ๆ ในสภาพแวดล้อมการทำงานของ Windows - มันจะบล็อกการกดคีย์ผสมพิเศษเพื่อเรียกเมนูปุ่ม Start, คำสั่ง Run, ตัวจัดการงาน ฯลฯ ตัวชี้เมาส์ไม่สามารถเคลื่อนย้ายออกนอกหน้าต่างไวรัสได้ ตามกฎแล้วจะมีการสังเกตรูปภาพเดียวกันเมื่อโหลด Windows ในเซฟโหมด สถานการณ์ดูเหมือนสิ้นหวัง โดยเฉพาะอย่างยิ่งหากไม่มีคอมพิวเตอร์เครื่องอื่น ความสามารถในการบูตเข้าสู่ระบบปฏิบัติการอื่น หรือจากสื่อแบบถอดได้ (LIVE CD, ERD Commander, เครื่องสแกนไวรัส) แต่อย่างไรก็ตาม ในกรณีส่วนใหญ่ก็มีทางออกอยู่

เทคโนโลยีใหม่ที่นำมาใช้ใน Windows Vista / Windows 7 ทำให้มัลแวร์เจาะและควบคุมระบบได้ยากขึ้นมาก และยังให้โอกาสผู้ใช้เพิ่มเติมในการกำจัดมัลแวร์เหล่านี้ค่อนข้างง่าย แม้ว่าจะไม่มีซอฟต์แวร์ป้องกันไวรัส (ซอฟต์แวร์) ). เรากำลังพูดถึงความสามารถในการบูตระบบในเซฟโหมดด้วยการสนับสนุนบรรทัดคำสั่งและเรียกใช้ซอฟต์แวร์ตรวจสอบและกู้คืนจากนั้น เห็นได้ชัดว่าเลิกนิสัยเนื่องจากการใช้งานโหมดนี้ค่อนข้างไม่ดีในระบบปฏิบัติการตระกูล Windows รุ่นก่อนหน้าผู้ใช้หลายคนจึงไม่ใช้มัน แต่เปล่าประโยชน์ บรรทัดคำสั่งของ Windows 7 ไม่มีเดสก์ท็อปตามปกติ (ซึ่งอาจถูกไวรัสบล็อก) แต่สามารถเปิดโปรแกรมส่วนใหญ่ได้ - ตัวแก้ไขรีจิสทรี ตัวจัดการงาน ยูทิลิตี้การกู้คืนระบบ ฯลฯ

การลบไวรัสโดยการย้อนกลับระบบไปยังจุดคืนค่า

ไวรัสเป็นโปรแกรมธรรมดาและแม้ว่าจะอยู่ในฮาร์ดไดรฟ์ของคอมพิวเตอร์ แต่ไม่มีความสามารถในการเริ่มทำงานโดยอัตโนมัติเมื่อระบบบู๊ตและลงทะเบียนผู้ใช้ มันก็ไม่เป็นอันตรายเหมือนกับไฟล์ข้อความทั่วไป . หากคุณแก้ปัญหาในการบล็อกการเปิดตัวโปรแกรมที่เป็นอันตรายโดยอัตโนมัติงานกำจัดมัลแวร์ก็ถือว่าเสร็จสิ้นแล้ว วิธีการหลักในการเริ่มต้นอัตโนมัติที่ไวรัสใช้คือผ่านรายการรีจิสตรีที่สร้างขึ้นเป็นพิเศษซึ่งสร้างขึ้นเมื่อมีการนำเข้าสู่ระบบ หากคุณลบรายการเหล่านี้ ไวรัสจะถือว่าเป็นกลาง วิธีที่ง่ายที่สุดคือทำการคืนค่าระบบโดยใช้ข้อมูลจุดตรวจสอบ จุดตรวจสอบคือสำเนาของไฟล์ระบบที่สำคัญซึ่งจัดเก็บไว้ในไดเร็กทอรีพิเศษ ("System Volume Information") และประกอบด้วยสำเนาของไฟล์รีจิสทรีของระบบ Windows การดำเนินการย้อนกลับระบบไปยังจุดคืนค่า ซึ่งเป็นวันที่สร้างก่อนการติดไวรัส ช่วยให้คุณได้รับสถานะของรีจิสทรีของระบบโดยไม่ต้องมีรายการที่สร้างโดยไวรัสที่บุกรุก และด้วยเหตุนี้ จึงไม่รวมการเริ่มต้นอัตโนมัติ เช่น กำจัดการติดไวรัสโดยไม่ต้องใช้ซอฟต์แวร์ป้องกันไวรัส ด้วยวิธีนี้ คุณสามารถกำจัดไวรัสส่วนใหญ่ที่ติดอยู่ในระบบของคุณได้อย่างง่ายดายและรวดเร็ว รวมถึงไวรัสที่บล็อกเดสก์ท็อป Windows โดยปกติแล้ว ไวรัสที่บล็อกซึ่งใช้ เช่น การปรับเปลี่ยนเซกเตอร์สำหรับบูตของฮาร์ดไดรฟ์ (ไวรัส MBRLock) ไม่สามารถลบออกได้ด้วยวิธีนี้ เนื่องจากการย้อนกลับระบบไปยังจุดคืนค่าจะไม่ส่งผลกระทบต่อบันทึกการบูตของดิสก์ และ จะไม่สามารถบูต Windows ในเซฟโหมดด้วยการสนับสนุนบรรทัดคำสั่งได้เนื่องจากมีการโหลดไวรัสก่อน Windows bootloader เพื่อกำจัดการติดไวรัส คุณจะต้องบูตจากสื่ออื่นและกู้คืนบันทึกการบูตที่ติดไวรัส แต่มีไวรัสประเภทนี้ค่อนข้างน้อย และในกรณีส่วนใหญ่ คุณสามารถกำจัดการติดไวรัสได้โดยการย้อนกลับระบบไปยังจุดคืนค่า

1. ที่จุดเริ่มต้นของการโหลด ให้กดปุ่ม F8 เมนูตัวโหลดการบูต Windows จะแสดงบนหน้าจอพร้อมตัวเลือกที่เป็นไปได้สำหรับการบูตระบบ

2. เลือกตัวเลือกการบูต Windows - "Safe Mode พร้อม Command Line Support"

หลังจากการดาวน์โหลดเสร็จสิ้นและผู้ใช้ลงทะเบียน หน้าต่างตัวประมวลผลคำสั่ง cmd.exe จะปรากฏขึ้นแทนเดสก์ท็อป Windows ตามปกติ

3. เรียกใช้เครื่องมือ System Restore โดยพิมพ์ rstrui.exe ในบรรทัดคำสั่งแล้วกด ENTER

สลับโหมดเป็น "เลือกจุดการกู้คืนอื่น" และในหน้าต่างถัดไปให้ทำเครื่องหมายที่ช่อง "แสดงจุดการกู้คืนอื่น ๆ"

หลังจากเลือกจุดคืนค่า Windows คุณสามารถดูรายการโปรแกรมที่ได้รับผลกระทบระหว่างการย้อนกลับของระบบ:

รายการโปรแกรมที่ได้รับผลกระทบคือรายการโปรแกรมที่ติดตั้งหลังจากสร้างจุดคืนค่าระบบ และอาจจำเป็นต้องติดตั้งใหม่ เนื่องจากรายการรีจิสทรีที่เกี่ยวข้องจะหายไป

หลังจากคลิกปุ่ม "เสร็จสิ้น" กระบวนการกู้คืนระบบจะเริ่มขึ้น เมื่อเสร็จสิ้น Windows จะรีสตาร์ท

หลังจากการรีบูต ข้อความจะปรากฏขึ้นเพื่อระบุความสำเร็จหรือความล้มเหลวของการย้อนกลับ และหากสำเร็จ Windows จะกลับสู่สถานะที่ตรงกับวันที่สร้างจุดคืนค่า หากการล็อคเดสก์ท็อปไม่หยุด คุณสามารถใช้วิธีการขั้นสูงเพิ่มเติมที่แสดงด้านล่าง

การลบไวรัสโดยไม่ต้องย้อนกลับระบบไปยังจุดคืนค่า

อาจเป็นไปได้ว่าระบบไม่มีข้อมูลจุดการกู้คืนด้วยเหตุผลหลายประการ ขั้นตอนการกู้คืนสิ้นสุดลงด้วยข้อผิดพลาด หรือการย้อนกลับไม่ได้ผลลัพธ์ที่เป็นบวก ในกรณีนี้ คุณสามารถใช้โปรแกรมอรรถประโยชน์การวินิจฉัยการกำหนดค่าระบบ MSCONFIG.EXE เช่นเดียวกับในกรณีก่อนหน้านี้ คุณต้องบูต Windows ในเซฟโหมดด้วยการรองรับบรรทัดคำสั่ง และในหน้าต่างล่ามบรรทัดคำสั่ง cmd.exe ให้พิมพ์ msconfig.exe แล้วกด ENTER

บนแท็บทั่วไป คุณสามารถเลือกโหมดการเริ่มต้น Windows ต่อไปนี้:

เมื่อระบบบู๊ต จะมีการเปิดตัวบริการระบบและโปรแกรมผู้ใช้ขั้นต่ำที่จำเป็นเท่านั้น
การเปิดตัวแบบเลือกสรร- ช่วยให้คุณระบุรายการบริการระบบและโปรแกรมผู้ใช้ที่จะเปิดตัวในระหว่างกระบวนการบู๊ตด้วยตนเอง

ในการกำจัดไวรัส วิธีที่ง่ายที่สุดคือใช้การเรียกใช้การวินิจฉัย เมื่อยูทิลิตี้กำหนดชุดของโปรแกรมที่จะเริ่มทำงานโดยอัตโนมัติ หากในโหมดนี้ไวรัสหยุดบล็อกเดสก์ท็อปคุณต้องไปยังขั้นตอนถัดไป - พิจารณาว่าโปรแกรมใดเป็นไวรัส ในการดำเนินการนี้ คุณสามารถใช้โหมดการเปิดตัวแบบเลือกได้ ซึ่งช่วยให้คุณสามารถเปิดหรือปิดใช้งานการเปิดตัวแต่ละโปรแกรมได้ด้วยตนเอง

แท็บ "บริการ" ช่วยให้คุณสามารถเปิดหรือปิดการใช้งานบริการระบบที่ตั้งค่าประเภทการเริ่มต้นเป็น "อัตโนมัติ" ช่องที่ไม่ได้ทำเครื่องหมายหน้าชื่อบริการหมายความว่าจะไม่เปิดขึ้นระหว่างการบูตระบบ ที่ด้านล่างของหน้าต่างยูทิลิตี้ MSCONFIG จะมีช่องสำหรับตั้งค่าโหมด "อย่าแสดงบริการของ Microsoft" ซึ่งเมื่อเปิดใช้งานจะแสดงเฉพาะบริการของบุคคลที่สามเท่านั้น

ฉันสังเกตว่าโอกาสที่ระบบจะติดไวรัสที่ติดตั้งเป็นบริการระบบโดยมีการตั้งค่าความปลอดภัยมาตรฐานใน Windows Vista / Windows 7 นั้นต่ำมากและคุณจะต้องค้นหาร่องรอยของไวรัสในรายการ ของโปรแกรมผู้ใช้ที่เปิดใช้งานโดยอัตโนมัติ (แท็บ "เริ่มต้น")

เช่นเดียวกับในแท็บบริการ คุณสามารถเปิดหรือปิดใช้งานการเปิดตัวโปรแกรมใด ๆ ที่มีอยู่ในรายการที่แสดงโดย MSCONFIG โดยอัตโนมัติได้ หากไวรัสถูกเปิดใช้งานในระบบโดยการเปิดตัวอัตโนมัติโดยใช้รีจิสตรีคีย์พิเศษหรือเนื้อหาของโฟลเดอร์ Startup การใช้ msconfig คุณไม่เพียงแต่จะทำให้เป็นกลางเท่านั้น แต่ยังกำหนดเส้นทางและชื่อของไฟล์ที่ติดไวรัสด้วย

ยูทิลิตี้ msconfig เป็นเครื่องมือที่ง่ายและสะดวกสำหรับการกำหนดค่าการเริ่มต้นบริการและแอปพลิเคชันอัตโนมัติที่เริ่มต้นด้วยวิธีมาตรฐานสำหรับระบบปฏิบัติการตระกูล Windows อย่างไรก็ตาม ผู้สร้างไวรัสมักใช้เทคนิคที่อนุญาตให้เปิดโปรแกรมที่เป็นอันตรายได้โดยไม่ต้องใช้จุดการทำงานอัตโนมัติมาตรฐาน เป็นไปได้มากว่าคุณสามารถกำจัดไวรัสดังกล่าวได้โดยใช้วิธีการที่อธิบายไว้ข้างต้นโดยย้อนกลับระบบไปยังจุดคืนค่า หากไม่สามารถย้อนกลับได้และการใช้ msconfig ไม่ได้นำไปสู่ผลลัพธ์ที่เป็นบวก คุณสามารถใช้การแก้ไขรีจิสทรีโดยตรงได้

ในกระบวนการต่อสู้กับไวรัส ผู้ใช้มักจะต้องทำการฮาร์ดรีบูตโดยการรีเซ็ต (รีเซ็ต) หรือปิดเครื่อง ซึ่งอาจนำไปสู่สถานการณ์ที่ระบบเริ่มทำงานตามปกติ แต่ไปไม่ถึงการลงทะเบียนผู้ใช้ คอมพิวเตอร์ค้างเนื่องจากมีการละเมิดโครงสร้างข้อมูลแบบลอจิคัลในไฟล์ระบบบางไฟล์ ซึ่งเกิดขึ้นระหว่างการปิดระบบที่ไม่ถูกต้อง เพื่อแก้ไขปัญหาเช่นเดียวกับในกรณีก่อนหน้าคุณสามารถบูตเข้าสู่เซฟโหมดด้วยการสนับสนุนบรรทัดคำสั่งและเรียกใช้คำสั่งตรวจสอบดิสก์ระบบ

chkdsk C: /F - ตรวจสอบไดรฟ์ C: และแก้ไขข้อผิดพลาดที่ตรวจพบ (คีย์ /F)

เนื่องจากดิสก์ระบบถูกครอบครองโดยบริการของระบบและแอปพลิเคชันเมื่อ chkdsk ทำงาน chkdsk จึงไม่สามารถเข้าถึงได้เพื่อทำการทดสอบแบบเอกสิทธิ์เฉพาะบุคคล ดังนั้นผู้ใช้จะได้รับข้อความเตือนและขอให้ทำการทดสอบในครั้งต่อไปที่ระบบรีบูต หลังจากตอบ Y ข้อมูลจะถูกป้อนลงในรีจิสทรีเพื่อให้แน่ใจว่าการตรวจสอบดิสก์จะเริ่มขึ้นเมื่อ Windows รีสตาร์ท หลังจากการตรวจสอบเสร็จสิ้น ข้อมูลนี้จะถูกลบ และ Windows จะรีสตาร์ทตามปกติโดยที่ผู้ใช้ไม่ต้องดำเนินการใด ๆ

ขจัดโอกาสที่ไวรัสจะทำงานโดยใช้ Registry Editor

หากต้องการเปิดตัวแก้ไขรีจิสทรีเช่นเดียวกับในกรณีก่อนหน้านี้คุณต้องบูต Windows ในเซฟโหมดด้วยการสนับสนุนบรรทัดคำสั่งพิมพ์ regedit.exe ในหน้าต่างล่ามบรรทัดคำสั่งแล้วกด ENTER Windows 7 พร้อมการตั้งค่าความปลอดภัยของระบบมาตรฐานได้รับการปกป้องจาก หลายวิธีในการเปิดโปรแกรมที่เป็นอันตรายซึ่งใช้สำหรับระบบปฏิบัติการ Microsoft เวอร์ชันก่อนหน้า ไวรัสที่ติดตั้งไดรเวอร์และบริการของตัวเอง, กำหนดค่าบริการ WINLOGON ใหม่ด้วยการเชื่อมต่อโมดูลปฏิบัติการของตนเอง, แก้ไขคีย์รีจิสทรีที่เกี่ยวข้องกับผู้ใช้ทั้งหมด ฯลฯ - วิธีการทั้งหมดนี้ใช้ไม่ได้กับ Windows 7 หรือต้องการค่าแรงที่ร้ายแรงเช่นนั้น แทบจะเป็นไปไม่ได้เลยที่จะพบเจอกัน โดยทั่วไปแล้ว การเปลี่ยนแปลงรีจิสทรีที่เปิดใช้งานไวรัสจะทำงานเฉพาะในบริบทของการอนุญาตที่มีอยู่สำหรับผู้ใช้ปัจจุบันเท่านั้น เช่น ในส่วน HKEY_CURRENT_USER

เพื่อสาธิตกลไกที่ง่ายที่สุดในการบล็อกเดสก์ท็อปโดยใช้การทดแทนเชลล์ผู้ใช้ (เชลล์) และการไม่สามารถใช้ยูทิลิตี MSCONFIG เพื่อตรวจจับและลบไวรัสคุณสามารถทำการทดลองต่อไปนี้ - แทนที่จะเป็นไวรัสตัวคุณเอง แก้ไขข้อมูลรีจิสทรีเพื่อให้ได้ เช่น บรรทัดคำสั่งแทนเดสก์ท็อป เดสก์ท็อปที่คุ้นเคยถูกสร้างขึ้นโดย Windows Explorer (โปรแกรม Explorer.exe) ซึ่งเปิดตัวเป็นเชลล์ของผู้ใช้ สิ่งนี้มั่นใจได้ด้วยค่าของพารามิเตอร์ Shell ในรีจิสตรีคีย์

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- สำหรับผู้ใช้ทุกคน
- สำหรับผู้ใช้ปัจจุบัน

พารามิเตอร์ Shell คือสตริงที่มีชื่อของโปรแกรมที่จะใช้เป็นเชลล์เมื่อผู้ใช้เข้าสู่ระบบ โดยทั่วไปแล้ว ในส่วนสำหรับผู้ใช้ปัจจุบัน (HKEY_CURRENT_USER หรือตัวย่อว่า HKCU) พารามิเตอร์ Shell จะหายไป และระบบจะใช้ค่าจากคีย์รีจิสทรีสำหรับผู้ใช้ทั้งหมด (HKEY_LOCAL_MACHINE\ หรือตัวย่อว่า HKLM)

นี่คือลักษณะของคีย์รีจิสทรี HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogonด้วยการติดตั้ง Windows 7 มาตรฐาน

หากคุณเพิ่มพารามิเตอร์สตริง Shell โดยรับค่า "cmd.exe" ในส่วนนี้ ในครั้งถัดไปที่ผู้ใช้ปัจจุบันเข้าสู่ระบบ แทนที่จะเป็นเชลล์ผู้ใช้มาตรฐาน Explorer เชลล์ cmd.exe จะถูกเปิดใช้งานและ แทนที่จะเป็นเดสก์ท็อป Windows ตามปกติ หน้าต่างบรรทัดคำสั่งจะปรากฏขึ้น

โดยปกติแล้วโปรแกรมที่เป็นอันตรายใดๆ ก็ตามสามารถเปิดใช้งานได้ด้วยวิธีนี้ และผู้ใช้จะได้รับแบนเนอร์โป๊ ตัวบล็อก และสิ่งน่ารังเกียจอื่นๆ แทนที่จะเป็นเดสก์ท็อป
การเปลี่ยนแปลงคีย์สำหรับผู้ใช้ทั้งหมด (HKLM...) ต้องใช้สิทธิ์ของผู้ดูแลระบบ ดังนั้นโปรแกรมไวรัสมักจะแก้ไขการตั้งค่าของคีย์รีจิสทรีของผู้ใช้ปัจจุบัน (HKCU...)

หากต้องการทำการทดลองต่อ หากคุณเรียกใช้ยูทิลิตี msconfig คุณจะมั่นใจได้ว่า cmd.exe ไม่ได้รวมไว้เป็นเชลล์ผู้ใช้ในรายการโปรแกรมที่เปิดใช้งานโดยอัตโนมัติ แน่นอนว่าการย้อนกลับของระบบจะช่วยให้คุณสามารถคืนรีจิสทรีกลับสู่สถานะดั้งเดิมและกำจัดการเริ่มไวรัสโดยอัตโนมัติ แต่หากเป็นไปไม่ได้ด้วยเหตุผลบางประการ ตัวเลือกเดียวที่เหลือคือแก้ไขรีจิสทรีโดยตรง หากต้องการกลับไปใช้เดสก์ท็อปมาตรฐาน เพียงลบพารามิเตอร์ Shell หรือเปลี่ยนค่าจาก "cmd.exe" เป็น "explorer.exe" แล้วลงทะเบียนผู้ใช้ใหม่ (ออกจากระบบและเข้าสู่ระบบอีกครั้ง) หรือรีบูต คุณสามารถแก้ไขรีจิสทรีได้โดยการเรียกใช้ตัวแก้ไขรีจิสทรี regedit.exe จากบรรทัดคำสั่งหรือใช้คอนโซลยูทิลิตี้ REG.EXE ตัวอย่างบรรทัดคำสั่งเพื่อลบพารามิเตอร์ Shell:

REG ลบ "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v เชลล์

ตัวอย่างการแทนที่เชลล์ของผู้ใช้ในปัจจุบันคือหนึ่งในเทคนิคทั่วไปที่ไวรัสใช้ในสภาพแวดล้อมระบบปฏิบัติการ Windows 7 การรักษาความปลอดภัยระดับค่อนข้างสูงภายใต้การตั้งค่าระบบมาตรฐานจะป้องกันไม่ให้มัลแวร์เข้าถึงคีย์รีจิสทรีที่ใช้ในการแพร่ไวรัส Windows XP และเวอร์ชันก่อนหน้า แม้ว่าผู้ใช้ปัจจุบันจะเป็นสมาชิกของกลุ่มผู้ดูแลระบบ การเข้าถึงการตั้งค่ารีจิสทรีส่วนใหญ่ที่ใช้สำหรับการติดไวรัสจำเป็นต้องเรียกใช้โปรแกรมในฐานะผู้ดูแลระบบ ด้วยเหตุนี้มัลแวร์จึงแก้ไขรีจิสตรีคีย์ที่ผู้ใช้ปัจจุบันสามารถเข้าถึงได้ (ส่วน HKCU...) ปัจจัยสำคัญประการที่สองคือความยากในการเขียนไฟล์โปรแกรมไปยังไดเร็กทอรีระบบ ด้วยเหตุนี้ไวรัสส่วนใหญ่ในสภาพแวดล้อม Windows 7 จึงใช้การเรียกใช้ไฟล์ปฏิบัติการ (.exe) จากไดเร็กทอรีไฟล์ชั่วคราว (Temp) ของผู้ใช้ปัจจุบัน เมื่อวิเคราะห์จุดเริ่มต้นอัตโนมัติของโปรแกรมในรีจิสทรีก่อนอื่นคุณต้องใส่ใจกับโปรแกรมที่อยู่ในไดเร็กทอรีไฟล์ชั่วคราว โดยปกติแล้วนี่คือไดเร็กทอรี C:\USERS\ชื่อผู้ใช้\AppData\Local\Temp- เส้นทางที่แน่นอนของไดเร็กทอรีไฟล์ชั่วคราวสามารถดูได้ผ่านแผงควบคุมในคุณสมบัติระบบ - "ตัวแปรสภาพแวดล้อม" หรือบนบรรทัดคำสั่ง:

ตั้งอุณหภูมิ
หรือ
เสียงสะท้อน %อุณหภูมิ%

นอกจากนี้ การค้นหารีจิสทรีเพื่อหาสตริงที่ตรงกับชื่อไดเร็กทอรีสำหรับไฟล์ชั่วคราวหรือตัวแปร %TEMP% สามารถใช้เป็นเครื่องมือเพิ่มเติมในการตรวจหาไวรัสได้ โปรแกรมที่ถูกต้องจะไม่เปิดโดยอัตโนมัติจากไดเร็กทอรี TEMP

หากต้องการรับรายการจุดเริ่มต้นอัตโนมัติที่เป็นไปได้ทั้งหมด จะสะดวกในการใช้โปรแกรม Autoruns พิเศษจากแพ็คเกจ SysinternalsSuite

วิธีที่ง่ายที่สุดในการลบตัวบล็อกของตระกูล MBRLock

โปรแกรมที่เป็นอันตรายสามารถควบคุมคอมพิวเตอร์ได้ไม่เพียงแค่ทำให้ระบบปฏิบัติการติดไวรัสเท่านั้น แต่ยังแก้ไขบันทึกเซกเตอร์สำหรับบูตของดิสก์ที่ใช้ในการบู๊ตอีกด้วย ไวรัสจะแทนที่ข้อมูลเซกเตอร์สำหรับบูตของพาร์ติชันที่ใช้งานอยู่ด้วยรหัสโปรแกรม แทนที่จะเป็น Windows โปรแกรมธรรมดาจะถูกโหลด ซึ่งแสดงข้อความแรนซัมแวร์บนหน้าจอเพื่อเรียกร้องเงินสำหรับมิจฉาชีพ เนื่องจากไวรัสได้รับการควบคุมก่อนที่ระบบจะบู๊ต จึงมีทางเดียวเท่านั้นที่จะหลีกเลี่ยงมันได้ นั่นคือการบูตจากสื่ออื่น (ซีดี/ดีวีดี ไดรฟ์ภายนอก ฯลฯ) ในระบบปฏิบัติการใดๆ ที่สามารถกู้คืนโค้ดโปรแกรมของบูตเซกเตอร์ได้ . วิธีที่ง่ายที่สุดคือการใช้ Live CD / Live USB ซึ่งโดยปกติแล้วจะมอบให้กับผู้ใช้ฟรีโดยบริษัทป้องกันไวรัสส่วนใหญ่ (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk ฯลฯ) นอกเหนือจากการกู้คืนเซกเตอร์สำหรับบูตแล้ว ผลิตภัณฑ์เหล่านี้ ยังสามารถดำเนินการและตรวจสอบระบบไฟล์เพื่อหามัลแวร์และลบหรือฆ่าเชื้อไฟล์ที่ติดไวรัส หากไม่สามารถใช้วิธีนี้ได้ คุณก็สามารถดาวน์โหลด Windows PE เวอร์ชันใดก็ได้ (ดิสก์การติดตั้ง ดิสก์กู้คืนฉุกเฉิน ERD Commander) ซึ่งช่วยให้คุณสามารถกู้คืนการบูตระบบตามปกติได้ โดยปกติแล้วเพียงแค่สามารถเข้าถึงบรรทัดคำสั่งและรันคำสั่งก็เพียงพอแล้ว:

บูต /nt60 /mbr<буква системного диска:>

bootsect /nt60 /mbr E:> - กู้คืนเซกเตอร์สำหรับบูตของไดรฟ์ E: ควรใช้ตัวอักษรสำหรับไดรฟ์ที่ใช้เป็นอุปกรณ์บู๊ตสำหรับระบบที่เสียหายจากไวรัสที่นี่

หรือสำหรับ Windows ก่อนหน้า Windows Vista

บูต /nt52 /mbr<буква системного диска:>

ยูทิลิตี้ bootsect.exe สามารถอยู่ได้ไม่เพียง แต่ในไดเร็กทอรีระบบเท่านั้น แต่ยังรวมถึงสื่อแบบถอดได้ซึ่งสามารถดำเนินการได้ในระบบปฏิบัติการ Windows ใด ๆ และช่วยให้คุณสามารถกู้คืนรหัสโปรแกรมของบูตเซกเตอร์ได้โดยไม่ส่งผลกระทบต่อตารางพาร์ติชันและระบบไฟล์ ตามกฎแล้วไม่จำเป็นต้องใช้คีย์ /mbr เนื่องจากจะกู้คืนรหัสโปรแกรมของบันทึกการบูตหลัก MBR ซึ่งไวรัสไม่ได้แก้ไข (บางทีพวกเขายังไม่ได้แก้ไข)

ฉันขอขอบคุณผู้เชี่ยวชาญของศูนย์บริการคอมพิวเตอร์ Launch.RF สำหรับความช่วยเหลือในการเตรียมเนื้อหา คุณสามารถสั่งซ่อมแล็ปท็อปและเน็ตบุ๊กได้จากคนเหล่านี้ในมอสโก

โปรแกรมที่เป็นอันตรายจะเข้าสู่ระบบปฏิบัติการของคอมพิวเตอร์ส่วนบุคคลและก่อให้เกิดความเสียหายอย่างมากต่อปริมาณข้อมูลทั้งหมด ณ จุดนี้ โปรแกรมกำจัดสัตว์รบกวนถูกสร้างขึ้นเพื่อวัตถุประสงค์ที่แตกต่างกัน ดังนั้นการกระทำของพวกเขาจึงมีจุดมุ่งหมายเพื่อปรับโครงสร้างต่าง ๆ ของระบบปฏิบัติการของคอมพิวเตอร์ส่วนบุคคล

ปัญหาเกี่ยวกับอินเทอร์เน็ตและการทำงานผิดพลาดของอุปกรณ์ที่เชื่อมต่อกับพีซีเป็นเรื่องปกติและผลที่ตามมาจะชัดเจนต่อผู้ใช้

แม้ว่าศัตรูพืชจะถูกตรวจพบและทำลาย แต่ก็ไม่รวมถึงการสูญเสียข้อมูลและปัญหาอื่นๆ ที่เกิดขึ้นในงานต่อๆ ไป รายการตัวเลือกมีไม่สิ้นสุด ผู้ใช้ส่วนใหญ่มักค้นพบการบล็อกการเข้าถึงเวิลด์ไวด์เว็บทั้งหมดหรือบางส่วน ความล้มเหลวของอุปกรณ์ภายนอก (เมาส์ แฟลชการ์ด) เดสก์ท็อปว่าง ฯลฯ

ผลที่ตามมาที่ระบุไว้นั้นเกิดขึ้นเนื่องจากการเปลี่ยนแปลงที่โปรแกรมศัตรูพืชทำกับไฟล์ระบบของคอมพิวเตอร์ส่วนบุคคล การเปลี่ยนแปลงดังกล่าวไม่ได้ถูกกำจัดออกไปด้วยการกำจัดไวรัส จำเป็นต้องแก้ไขโดยอิสระหรือด้วยความช่วยเหลือจากผู้เชี่ยวชาญ ในความเป็นจริงงานประเภทนี้ไม่จำเป็นต้องมีการฝึกอบรมพิเศษและผู้ใช้ขั้นสูงสามารถดำเนินการได้หลังจากศึกษาคำแนะนำที่เหมาะสมแล้ว

ในการปฏิบัติในการจัดการกู้คืนระบบปฏิบัติการนั้นมีหลายวิธีที่แตกต่างกันขึ้นอยู่กับสาเหตุที่นำไปสู่ความล้มเหลว พิจารณาแต่ละตัวเลือกโดยละเอียด วิธีการง่ายๆ ที่ผู้ใช้ทุกคนสามารถใช้ได้คือการย้อนกลับระบบปฏิบัติการไปยังจุดคืนค่าเมื่อการทำงานของคอมพิวเตอร์ส่วนบุคคลตรงตามความต้องการของผู้ใช้ แต่บ่อยครั้งมากที่วิธีแก้ปัญหานี้ไม่น่าพอใจหรือไม่สามารถนำไปใช้ได้ด้วยเหตุผลวัตถุประสงค์

จะคืนค่าระบบปฏิบัติการได้อย่างไรหากไม่สามารถเข้าสู่ระบบพีซีได้

การเปิดตัว System Restore ดำเนินการดังนี้ เมนูเริ่ม\แผงควบคุม\การคืนค่าระบบ ที่อยู่นี้เราเลือกจุดกู้คืนที่เราต้องการและเริ่มกระบวนการ หลังจากผ่านไประยะหนึ่ง งานจะเสร็จสิ้นและคอมพิวเตอร์ก็พร้อมสำหรับการทำงานตามปกติ เทคนิคนี้ค่อนข้างใช้ได้กับการกำจัดไวรัสบางประเภทเนื่องจากการเปลี่ยนแปลงเกิดขึ้นในระดับรีจิสทรีด้วย ตัวเลือกสำหรับการกู้คืนระบบปฏิบัติการนี้ถือว่าง่ายที่สุดและรวมอยู่ในชุดเครื่องมือ Windows มาตรฐาน คำแนะนำทีละขั้นตอนและความช่วยเหลือพร้อมความคิดเห็นโดยละเอียดเกี่ยวกับกระบวนการนี้จะช่วยให้คุณเชี่ยวชาญเทคนิคการกู้คืนฟังก์ชันการทำงานของคอมพิวเตอร์ของคุณแม้ว่าผู้ใช้จะรู้สึกไม่มั่นใจเลยในฐานะผู้ดูแลระบบพีซีก็ตาม

ตัวเลือกการกู้คืนระบบปฏิบัติการทั่วไปอีกตัวหนึ่งคือการเปิดกระบวนการจากสื่อภายนอก ตัวเลือกนี้มีความซับซ้อนในบางประเด็น เช่น คุณต้องมีอิมเมจระบบในแฟลชการ์ดหรือดิสก์ และต้องแน่ใจว่าคุณมีสำเนาดังกล่าวไว้ล่วงหน้า นอกจากนี้มักจำเป็นต้องมีทักษะบางอย่างในการทำงานกับระบบ BIOS รูปภาพของระบบปฏิบัติการบนสื่อภายนอกเป็นตัวเลือกที่ดีที่สุดหากไม่สามารถกู้คืนได้เนื่องจากไวรัสได้บล็อกการเข้าสู่ระบบคอมพิวเตอร์ มีตัวเลือกอื่น ๆ

เป็นไปไม่ได้ที่จะใช้เครื่องมือ Windows มาตรฐานเพื่อกู้คืนระบบปฏิบัติการ ตัวอย่างเช่น ไม่สามารถเข้าสู่ระบบได้ หรือมีสาเหตุอื่นที่ทำให้การดำเนินการไม่สามารถทำได้ในโหมดมาตรฐาน สถานการณ์สามารถแก้ไขได้โดยใช้เครื่องมือ ERD Commander (ERDC)

ลองดูสถานการณ์ทีละขั้นตอนเพื่อดูว่าโปรแกรมทำงานอย่างไร ขั้นตอนแรกคือการดาวน์โหลดโปรแกรม ขั้นตอนที่สองคือการเปิดเครื่องมือ Syst em Restore Wizard โดยช่วยให้ระบบปฏิบัติการย้อนกลับไปที่ตำแหน่งการกู้คืนที่ระบุ

ตามกฎแล้ว แต่ละเครื่องมือมีจุดตรวจสำรองหลายจุด และในกรณีแปดสิบเปอร์เซ็นต์ ประสิทธิภาพของคอมพิวเตอร์ส่วนบุคคลจะได้รับการกู้คืนอย่างสมบูรณ์

การใช้เครื่องมือยูทิลิตี้ AVZ

เครื่องมือที่กล่าวถึงด้านล่างนี้ไม่จำเป็นต้องมีทักษะพิเศษใดๆ ในการใช้งานของผู้ใช้ ผลิตภัณฑ์ซอฟต์แวร์ได้รับการพัฒนาโดย Oleg Zaitsev และได้รับการออกแบบเพื่อค้นหาและทำลายไวรัสและมัลแวร์ทุกประเภท แต่นอกเหนือจากฟังก์ชันหลักแล้ว ยูทิลิตี้นี้ยังกู้คืนการตั้งค่าระบบส่วนใหญ่ที่ถูกโจมตีหรือเปลี่ยนแปลงโดยไวรัสที่เป็นอันตรายอีกด้วย

โปรแกรมที่นำเสนอสามารถแก้ปัญหาอะไรได้บ้าง? สิ่งสำคัญคือการเรียกคืนไฟล์ระบบและการตั้งค่าที่ถูกไวรัสโจมตี ยูทิลิตี้นี้เกี่ยวข้องกับไดรเวอร์โปรแกรมที่เสียหายซึ่งไม่ยอมเริ่มทำงานหลังจากการกู้คืน เมื่อเกิดปัญหาในเบราว์เซอร์หรือเมื่อการเข้าถึงอินเทอร์เน็ตถูกบล็อกและปัญหาอื่นๆ อีกมากมาย

เราเปิดใช้งานการดำเนินการกู้คืนที่ File\System Restore และเลือกการดำเนินการที่จำเป็น รูปนี้แสดงอินเทอร์เฟซของไมโครโปรแกรมที่ยูทิลิตีทำงาน เราจะให้คำอธิบายของแต่ละไมโครโปรแกรม

อย่างที่คุณเห็น ชุดของการดำเนินการจะแสดงด้วย 21 รายการ และชื่อของแต่ละรายการจะอธิบายวัตถุประสงค์ของมัน โปรดทราบว่าความสามารถของโปรแกรมค่อนข้างหลากหลายและถือได้ว่าเป็นเครื่องมือสากลในการช่วยชีวิตไม่เพียง แต่ระบบเท่านั้น แต่ยังกำจัดผลที่ตามมาจากไวรัสที่ทำงานกับข้อมูลระบบด้วย

พารามิเตอร์แรกจะใช้หากโปรแกรมที่จำเป็นสำหรับผู้ใช้ปฏิเสธที่จะทำงานอันเป็นผลมาจากการโจมตีของไวรัสและขั้นตอนการกู้คืนระบบปฏิบัติการ ตามกฎแล้ว สิ่งนี้จะเกิดขึ้นหากสัตว์รบกวนเจาะไฟล์โปรแกรมและไดรเวอร์ และทำการเปลี่ยนแปลงข้อมูลที่บันทึกไว้ในนั้น

พารามิเตอร์ที่สองจำเป็นเมื่อไวรัสแทนที่โดเมนเมื่อป้อนลงในเครื่องมือค้นหาของเบราว์เซอร์ การทดแทนนี้เป็นระดับแรกของการปรับการโต้ตอบระหว่างไฟล์ระบบของระบบปฏิบัติการและอินเทอร์เน็ต ตามกฎแล้วฟังก์ชันของโปรแกรมนี้จะกำจัดการเปลี่ยนแปลงที่ทำโดยไม่มีการติดตามโดยไม่ต้องพยายามตรวจจับ แต่เพียงแค่จัดรูปแบบปริมาณคำนำหน้าและข้อมูลโปรโตคอลทั้งหมดโดยแทนที่ด้วยการตั้งค่ามาตรฐาน

ตัวเลือกที่สามดำเนินการตั้งค่าหน้าเริ่มต้นของเบราว์เซอร์อินเทอร์เน็ตต่อ เช่นเดียวกับในกรณีก่อนหน้านี้ โปรแกรมจะแก้ไขปัญหาในเบราว์เซอร์ Internet Explorer ตามค่าเริ่มต้น

พารามิเตอร์ที่สี่ปรับการทำงานของเครื่องมือค้นหาและตั้งค่าโหมดการทำงานมาตรฐาน ขั้นตอนนี้เกี่ยวข้องกับเบราว์เซอร์ Windows เริ่มต้นอีกครั้ง

หากมีปัญหาเกี่ยวกับการทำงานของเดสก์ท็อป (ลักษณะของแบนเนอร์ รูปภาพ รายการที่ไม่เกี่ยวข้อง) ให้เปิดใช้งานจุดที่ห้าของโปรแกรม ผลที่ตามมาจากการกระทำของมัลแวร์ดังกล่าวได้รับความนิยมอย่างมากเมื่อสองสามปีที่แล้วและสร้างปัญหามากมายให้กับผู้ใช้ แต่ถึงตอนนี้ก็เป็นไปได้ที่กลอุบายสกปรกดังกล่าวสามารถเจาะระบบปฏิบัติการพีซีได้

จุดที่หกจำเป็นหากโปรแกรมที่เป็นอันตรายจำกัดการกระทำของผู้ใช้เมื่อดำเนินการคำสั่งจำนวนหนึ่ง ข้อจำกัดเหล่านี้อาจมีลักษณะที่แตกต่างออกไป และเนื่องจากการตั้งค่าการเข้าถึงถูกจัดเก็บไว้ในรีจิสทรี มัลแวร์ส่วนใหญ่จึงมักใช้ข้อมูลนี้เพื่อแก้ไขงานของผู้ใช้กับพีซีของเขา

หากข้อความจากบุคคลที่สามปรากฏขึ้นเมื่อโหลดระบบปฏิบัติการ แสดงว่ามัลแวร์สามารถแทรกซึมการตั้งค่าการเริ่มต้นระบบ Windows NT ได้ การกู้คืนระบบปฏิบัติการซึ่งทำลายไวรัสไม่สามารถล้างข้อความนี้ได้ ในการลบออกคุณต้องเปิดใช้งานพารามิเตอร์ที่เจ็ดของเมนูยูทิลิตี้ AVZ

ตัวเลือกเมนูที่แปดตามชื่อแนะนำจะคืนค่าการตั้งค่า Explorer

บางครั้งปัญหาก็ปรากฏในรูปแบบของการหยุดชะงักในการทำงานของส่วนประกอบของระบบเช่นเดสก์ท็อปจะหายไปในระหว่างการเริ่มต้นระบบปฏิบัติการคอมพิวเตอร์ส่วนบุคคล ยูทิลิตี้ AVZ จะวินิจฉัยโครงสร้างเหล่านี้และทำการปรับเปลี่ยนที่จำเป็นโดยใช้รายการที่เก้าของเมนูเครื่องมือ

ปัญหาในการโหลดระบบปฏิบัติการในเซฟโหมดสามารถแก้ไขได้ในขั้นตอนที่สิบ ง่ายต่อการตรวจสอบความจำเป็นในการเปิดใช้งานรายการหลายโปรแกรมนี้ของยูทิลิตี้ที่กล่าวถึงในที่นี้ ปรากฏขึ้นระหว่างพยายามทำงานในโหมดความปลอดภัย

หากตัวจัดการงานถูกบล็อกคุณจะต้องเปิดใช้งานรายการเมนูที่สิบเอ็ด ไวรัสในนามของผู้ดูแลระบบทำการเปลี่ยนแปลงการเปิดใช้งานส่วนนี้ของระบบปฏิบัติการและแทนที่จะเป็นหน้าต่างการทำงานข้อความจะปรากฏขึ้นโดยระบุว่าการทำงานกับตัวจัดการงานถูกบล็อก

ยูทิลิตี้ HijackThis ใช้การจัดเก็บรายการข้อยกเว้นในรีจิสทรีเป็นหนึ่งในฟังก์ชันหลัก สำหรับไวรัส เพียงแค่เจาะฐานข้อมูลยูทิลิตี้และลงทะเบียนไฟล์ในรายการรีจิสตรีก็เพียงพอแล้ว หลังจากนี้ก็สามารถกู้คืนได้อย่างอิสระไม่จำกัดจำนวนครั้ง ทำความสะอาดรีจิสทรีของยูทิลิตี้โดยเปิดใช้งานรายการที่สิบสองในเมนูการตั้งค่า AVZ

จุดที่สิบสามถัดไปช่วยให้คุณสามารถล้างไฟล์ Hosts ได้ ไฟล์นี้ซึ่งถูกแก้ไขโดยไวรัส อาจทำให้เกิดปัญหาเมื่อทำงานกับเครือข่าย บล็อกทรัพยากรบางอย่าง และรบกวนการอัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัส การทำงานกับไฟล์นี้จะกล่าวถึงรายละเอียดเพิ่มเติมด้านล่าง น่าเสียดายที่โปรแกรมไวรัสเกือบทั้งหมดพยายามแก้ไขไฟล์นี้ ซึ่งครบกำหนดในประการแรก เพื่อความสะดวกในการเปลี่ยนแปลงดังกล่าว และผลที่ตามมาอาจมีนัยสำคัญมากกว่า และหลังจากที่ไวรัสถูกลบออกแล้ว ข้อมูลที่ป้อนในไฟล์ก็สามารถเป็นได้ เกตเวย์โดยตรงสำหรับการเจาะเข้าไปในศัตรูพืชและสปายแวร์ใหม่ของ OS

หากการเข้าถึงอินเทอร์เน็ตถูกบล็อก มักจะหมายความว่ามีข้อผิดพลาดในการตั้งค่า SPI พวกเขาจะได้รับการแก้ไขหากคุณเปิดใช้งานรายการเมนูที่สิบสี่ สิ่งสำคัญคือรายการการตั้งค่านี้ไม่สามารถใช้ได้จากเซสชันเทอร์มินัล

ฟังก์ชั่นที่คล้ายกันจะรวมอยู่ในรายการเมนูที่สิบห้า แต่การเปิดใช้งานจะทำได้เฉพาะเมื่อทำงานในระบบปฏิบัติการเช่น XP, Windows 2003, Vista คุณสามารถใช้หลายโปรแกรมนี้ได้หากความพยายามที่จะแก้ไขสถานการณ์ด้วยการเข้าสู่เครือข่ายโดยใช้การตั้งค่าก่อนหน้าไม่ได้ผลลัพธ์ที่ต้องการ

ความสามารถของรายการเมนูที่สิบหกมีวัตถุประสงค์เพื่อกู้คืนคีย์รีจิสทรีของระบบที่รับผิดชอบในการเปิดอินเทอร์เน็ตเบราว์เซอร์

ขั้นตอนต่อไปในการทำงานเพื่อกู้คืนการตั้งค่าระบบปฏิบัติการหลังการโจมตีของไวรัสคือการปลดล็อคตัวแก้ไขรีจิสทรี ตามกฎแล้ว อาการภายนอกคือไม่สามารถโหลดโปรแกรมเพื่อทำงานกับเครือข่ายได้

แนะนำให้ใช้สี่จุดต่อไปนี้เฉพาะในกรณีที่ความเสียหายต่อระบบปฏิบัติการนั้นรุนแรงมาก ซึ่งโดยมากแล้ว ก็ไม่ต่างอะไรกับการกำจัดพวกมันโดยใช้วิธีการดังกล่าว หรือด้วยเหตุนี้จึงจำเป็นต้องติดตั้งระบบทั้งหมดใหม่

ดังนั้นรายการที่สิบแปดจะสร้างการตั้งค่า SPI ดั้งเดิมขึ้นมาใหม่ รายการที่สิบเก้าจะล้างรีจิสทรี Mount Points /2

จุดที่ยี่สิบจะลบเส้นทางคงที่ทั้งหมด ในที่สุด จุดที่ยี่สิบเอ็ดสุดท้ายจะลบการเชื่อมต่อ DNS ทั้งหมด

อย่างที่คุณเห็นความสามารถของยูทิลิตี้ครอบคลุมเกือบทุกด้านที่โปรแกรมมัลแวร์ Spruce สามารถเจาะและทิ้งร่องรอยที่ใช้งานอยู่ได้ซึ่งไม่ใช่เรื่องง่ายที่จะตรวจจับ

เนื่องจากแอปพลิเคชันป้องกันไวรัสไม่รับประกันการป้องกันระบบปฏิบัติการพีซีของคุณ 100% เราขอแนะนำให้มีโปรแกรมดังกล่าวในคลังเครื่องมือของคุณเพื่อต่อสู้กับไวรัสคอมพิวเตอร์ทุกประเภทและทุกรูปแบบ

จากการฆ่าเชื้อระบบปฏิบัติการคอมพิวเตอร์ส่วนบุคคลอุปกรณ์ที่เชื่อมต่ออยู่จึงไม่ทำงาน

วิธีหนึ่งที่นิยมในการปลอมแปลงสปายแวร์คือการติดตั้งไดรเวอร์ไวรัสของตัวเองนอกเหนือจากซอฟต์แวร์จริง ในสถานการณ์นี้ ไดรเวอร์ที่แท้จริงมักเป็นไฟล์เมาส์หรือคีย์บอร์ด ดังนั้นหลังจากที่ไวรัสถูกทำลาย ร่องรอยของมันยังคงอยู่ในรีจิสทรี ด้วยเหตุนี้อุปกรณ์ที่ศัตรูพืชสามารถติดได้จึงหยุดทำงาน

สถานการณ์ที่คล้ายกันเกิดขึ้นเมื่อกระบวนการถอนการติดตั้ง Kaspersky Anti-Virus ทำงานไม่ถูกต้อง นี่เป็นเพราะลักษณะเฉพาะของการติดตั้งโปรแกรมเมื่อการติดตั้งบนพีซีใช้ไดรเวอร์เสริม klmouflt ในสถานการณ์ของ Kaspersky จะต้องค้นหาไดรเวอร์นี้และลบออกจากระบบคอมพิวเตอร์ส่วนบุคคลโดยสมบูรณ์ตามกฎทั้งหมด

หากแป้นพิมพ์และเมาส์ปฏิเสธที่จะทำงานในโหมดที่ต้องการ สิ่งแรกที่คุณต้องทำคือคืนค่ารีจิสทรีคีย์

คีย์บอร์ด :
HKEY_LOCAL_MACHI NE \ SYSTEM \ Curren tControlSet \ Cont rol \ Class \ (4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=คลาส kbd

หนู :
HKEY_LOCAL_MACHI NE \ SYSTEM \ Curren tControlSet \ Cont rol \ Class \ (4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters=คลาส mou

ปัญหาเว็บไซต์ที่ไม่สามารถเข้าถึงได้

ผลที่ตามมาจากการโจมตีของมัลแวร์อาจทำให้ทรัพยากรบางอย่างบนอินเทอร์เน็ตไม่สามารถเข้าถึงได้ และผลที่ตามมาเหล่านี้เป็นผลมาจากการเปลี่ยนแปลงที่ไวรัสทำกับระบบ ตรวจพบปัญหาทันทีหรือหลังจากผ่านไประยะหนึ่ง แต่ถ้าเป็นผลมาจากการกระทำของโปรแกรมศัตรูพืชปรากฏหลังจากผ่านไประยะหนึ่งก็จะกำจัดได้ไม่ยาก

มีสองตัวเลือกสำหรับการบล็อก และตัวเลือกที่พบบ่อยที่สุดคือการปรับไฟล์โฮสต์ ตัวเลือกที่สองคือการสร้างเส้นทางคงที่ที่ผิดพลาด แม้ว่าไวรัสจะถูกทำลายไปแล้ว แต่การเปลี่ยนแปลงที่เกิดขึ้นกับเครื่องมือเหล่านี้จะไม่ถูกกำจัด

เอกสารที่เป็นปัญหาอยู่ในโฟลเดอร์ระบบบนไดรฟ์ C ที่อยู่และตำแหน่งของเอกสารสามารถพบได้ที่นี่: C:\Windows\System 32\drivers\etc\hosts หากต้องการค้นหาอย่างรวดเร็ว คุณมักจะใช้บรรทัดคำสั่งจากเมนูเริ่ม

หากไม่พบไฟล์โดยใช้ขั้นตอนที่ระบุ อาจหมายความว่า:

— โปรแกรมไวรัสได้เปลี่ยนตำแหน่งในรีจิสทรี

— เอกสารไฟล์มีพารามิเตอร์ "ซ่อน"

ในกรณีหลังนี้ เราจะเปลี่ยนลักษณะการค้นหา ที่: ตัวเลือกโฟลเดอร์ / ดู เราพบบรรทัด "แสดงไฟล์ที่ซ่อน" และทำเครื่องหมายที่ช่องตรงข้ามเพื่อขยายช่วงการค้นหา

ไฟล์โฮสต์ประกอบด้วยข้อมูลที่แปลงชื่อตัวอักษรของโดเมนของไซต์ให้เป็นที่อยู่ IP ดังนั้นโปรแกรมมัลแวร์จึงเขียนการปรับเปลี่ยนในไฟล์ที่สามารถเปลี่ยนเส้นทางผู้ใช้ไปยังแหล่งข้อมูลอื่นได้ หากสิ่งนี้เกิดขึ้น เมื่อคุณป้อนที่อยู่ของไซต์ที่ต้องการ ที่อยู่ที่แตกต่างไปจากเดิมอย่างสิ้นเชิงจะเปิดขึ้น เพื่อที่จะคืนการเปลี่ยนแปลงเหล่านี้กลับสู่สถานะดั้งเดิมและแก้ไข คุณจำเป็นต้องค้นหาไฟล์นี้และวิเคราะห์เนื้อหาในไฟล์ แม้แต่ผู้ใช้ที่ไม่มีประสบการณ์ก็สามารถดูว่าไวรัสมีการเปลี่ยนแปลงอะไรบ้าง แต่หากสิ่งนี้ทำให้เกิดปัญหาบางอย่าง คุณสามารถคืนค่าการตั้งค่าเริ่มต้นได้ ซึ่งจะกำจัดการเปลี่ยนแปลงทั้งหมดที่ทำกับไฟล์

ส่วนการแก้ไขเส้นทางก็มีหลักการดำเนินการเหมือนกัน อย่างไรก็ตามในกระบวนการโต้ตอบระหว่างระบบปฏิบัติการพีซีและอินเทอร์เน็ต ลำดับความสำคัญจะยังคงอยู่ในไฟล์โฮสต์เสมอ ดังนั้นการกู้คืนก็เพียงพอแล้วสำหรับการทำงานในโหมดมาตรฐาน

ปัญหาเกิดขึ้นหากไม่พบไฟล์ที่ต้องการเนื่องจากไวรัสเปลี่ยนตำแหน่งในโฟลเดอร์ระบบ จากนั้นคุณจะต้องแก้ไขคีย์รีจิสทรี

HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\serv น้ำแข็ง\Tcpip\Param eters\DataBasePa th

ไวรัสที่อยู่ในกลุ่ม Win32/Vundo นั้นเหนือกว่าไวรัสที่เป็นอันตรายส่วนใหญ่ในด้านความฉลาดในการแปลงไฟล์โฮสต์ พวกเขาเปลี่ยนชื่อไฟล์เอง โดยลบอักษรละติน o และแทนที่เครื่องหมายด้วยอักษรซีริลลิก ไฟล์ดังกล่าวจะไม่แปลงชื่อโดเมนของไซต์เป็นที่อยู่ IP อีกต่อไป และแม้ว่าผู้ใช้จะกู้คืนไฟล์นี้ แต่ผลลัพธ์ของงานจะยังคงเหมือนเดิม จะหาไฟล์ของแท้ได้อย่างไร? หากมีข้อสงสัยว่าสิ่งของที่เราต้องการมีจริง ให้ดำเนินการตามขั้นตอนต่อไปนี้ ขั้นตอนแรกคือการเปิดใช้งานโหมดแสดงไฟล์ที่ซ่อน เรามาตรวจสอบแค็ตตาล็อกกันดีกว่าดูเหมือนว่าในภาพ

มีไฟล์ที่เหมือนกันสองไฟล์แสดงอยู่ที่นี่ แต่เนื่องจากระบบปฏิบัติการไม่อนุญาตให้ใช้ชื่อที่เหมือนกัน จึงเห็นได้ชัดว่าเรากำลังเผชิญกับเอกสารเท็จ ง่ายต่อการพิจารณาว่าอันไหนถูกต้องและอันไหนผิด ไวรัสสร้างไฟล์ขนาดใหญ่และผ่านการปรับแต่งมากมาย ดังนั้นผลลัพธ์ของการก่อวินาศกรรมในรูปจึงแสดงเป็นไฟล์ที่ซ่อนอยู่ซึ่งมีขนาด 173 KB

หากคุณเปิดไฟล์เอกสาร ข้อมูลในนั้นจะมีบรรทัดต่อไปนี้:

31.214.145.172 vk.com - สตริงที่สามารถแทนที่ที่อยู่ IP ของไซต์

127.0.0.1 avast.com - บรรทัดไฟล์ที่ไวรัสเขียนเพื่อปฏิเสธการเข้าถึงเว็บไซต์โปรแกรมป้องกันไวรัส

เราได้ระบุไว้ข้างต้นแล้วว่าคุณสามารถบล็อกทรัพยากรแต่ละรายการได้โดยการสร้างเส้นทางที่ไม่ถูกต้องในตารางเส้นทาง มาดูลำดับการดำเนินการเพื่อดูว่าจะแก้ไขสถานการณ์ได้อย่างไร

หากไฟล์โฮสต์ไม่มีการปรับเปลี่ยนที่เป็นอันตรายและเป็นไปไม่ได้ที่จะทำงานกับทรัพยากร ปัญหาอยู่ที่ตารางเส้นทาง คำไม่กี่คำเกี่ยวกับสาระสำคัญของการโต้ตอบของเครื่องมือเหล่านี้ หากมีการระบุที่อยู่โดเมนแบบปรับเปลี่ยนที่ถูกต้องในไฟล์โฮสต์ การเปลี่ยนเส้นทางไปยังที่อยู่นี้จะเกิดขึ้นกับทรัพยากรที่มีอยู่ ตามกฎแล้ว ที่อยู่ IP ไม่ได้อยู่ในช่วงที่อยู่ของเครือข่ายย่อยในเครื่อง ดังนั้นการเปลี่ยนเส้นทางจึงเกิดขึ้นผ่านเกตเวย์เราเตอร์ ซึ่งกำหนดโดยการตั้งค่าการเชื่อมต่ออินเทอร์เน็ต

หากคุณปรับรายการเส้นทางสำหรับที่อยู่ IP เฉพาะ การเชื่อมต่ออัตโนมัติจะเกิดขึ้นตามรายการนี้ โดยมีเงื่อนไขว่าไม่มีเส้นทางดังกล่าว หรือเกตเวย์ไม่ทำงาน การเชื่อมต่อจะไม่เกิดขึ้นและทรัพยากรจะยังคงไม่พร้อมใช้งาน ดังนั้นไวรัสจึงสามารถลบรายการในตารางเส้นทางและบล็อกเว็บไซต์ใด ๆ ได้อย่างแน่นอน

เส้นทางที่สร้างขึ้นสำหรับไซต์เฉพาะจะยังคงอยู่ในฐานข้อมูลรีจิสทรี HKLM เส้นทางจะได้รับการอัปเดตเมื่อมีการเปิดใช้งานคำสั่งเพิ่มเส้นทางซอฟต์แวร์หรือข้อมูลถูกปรับด้วยตนเอง เมื่อไม่มีเส้นทางคงที่ ส่วนของตารางจะว่างเปล่า คุณสามารถดูรายการข้อมูลเส้นทางได้โดยใช้คำสั่งพิมพ์เส้นทาง มันจะมีลักษณะเช่นนี้:

เส้นทางที่ใช้งานอยู่:

ตารางที่แสดงข้างต้นเป็นมาตรฐานสำหรับพีซีที่มีการ์ดเครือข่ายเดียวและการตั้งค่าการเชื่อมต่อเครือข่าย:

ที่อยู่ IP 192.168.0.0

หน้ากาก 255.255.255.0

เกตเวย์เริ่มต้น 192.168.0.1

รายการที่นำเสนอข้างต้นประกอบด้วยที่อยู่ IP เครือข่ายที่มีการเข้ารหัส 192.168.0.0 และซับเน็ตมาสก์ที่มีการเข้ารหัส 255.255.255.0 หากคุณถอดรหัสข้อมูลนี้ข้อมูลจะเป็นดังนี้ มาสก์ประกอบด้วยโหนดทั้งหมดที่มีส่วนที่อยู่สูงเท่ากัน ในระบบเมตริก สามไบต์แรกของซับเน็ตมาสก์คือ 1 บนระบบปฏิบัติการ PC ทั้งหมด (ยกเว้นทศนิยม โดยมีค่าเป็น 255 และเลขฐานสิบหก โดยมีค่าเป็น 0*FF) ส่วนที่ต่ำของที่อยู่ของโหนดที่ได้รับคือค่าในช่วง 1-254

ตามข้อมูลที่นำเสนอข้างต้น ที่อยู่ต่ำจะถูกเข้ารหัส - 192.168.0.0 รหัสนี้คือที่อยู่เครือข่าย ที่อยู่สูงสุดที่มีการเข้ารหัส 192.168.0.255 มีลักษณะเป็นที่อยู่ออกอากาศ และหากรหัสแรกไม่รวมการใช้งานสำหรับการแลกเปลี่ยนข้อมูล รหัสที่สองก็มีวัตถุประสงค์เพื่อทำหน้าที่เหล่านี้อย่างแม่นยำ โหนดของพวกเขาแลกเปลี่ยนแพ็กเก็ตข้อมูลโดยใช้เส้นทาง

ลองจินตนาการถึงการกำหนดค่าต่อไปนี้:

ที่อยู่ IP - 192.168.0.0

เน็ตเวิร์กมาสก์ - 255.255.255.0

เกตเวย์ - 192.168.0.3

อินเทอร์เฟซ - 192.168.0.3

เมทริกา - 1

ข้อมูลถูกถอดรหัสตามตรรกะดังนี้: ในช่วงที่อยู่ตั้งแต่ 192.168.0.0 - 192.168.0.255 เราใช้รหัสการ์ดเครือข่าย (192.168.0.3) เพื่อแลกเปลี่ยนข้อมูลเป็นเกตเวย์และอินเทอร์เฟซ ทั้งหมดนี้หมายความว่าข้อมูลจะถูกโอนโดยตรงไปยังผู้รับเอง

เมื่อเงื่อนไขที่อยู่สิ้นสุดไม่ตรงกับช่วงที่ระบุ 192.168.0.0-192 168.0.255 จะไม่สามารถส่งข้อมูลได้โดยตรง โปรโตคอลเซิร์ฟเวอร์จะส่งข้อมูลไปยังเราเตอร์ ซึ่งจะส่งต่อไปยังเครือข่ายอื่น หากไม่ได้ระบุเส้นทางแบบคงที่ ที่อยู่เราเตอร์เริ่มต้นจะยังคงเหมือนกับที่อยู่เกตเวย์ ข้อมูลจะถูกส่งไปยังที่อยู่นี้ จากนั้นไปยังเครือข่าย และตามเส้นทางที่ระบุในตาราง จนกว่าผู้รับจะได้รับแพ็กเก็ต โดยทั่วไป กระบวนการถ่ายโอนข้อมูลจะมีลักษณะเช่นนี้ทุกประการ เรามานำเสนอภาพประกอบของรายการในตารางเราเตอร์มาตรฐานกัน ในตัวอย่างมีเพียงไม่กี่เรกคอร์ด แต่จำนวนสามารถมีได้หลายสิบหรือหลายร้อยบรรทัด


 จากข้อมูลตัวอย่าง เราจะอธิบายกระบวนการเปลี่ยนเส้นทางไปยังที่อยู่ทรัพยากรอินเทอร์เน็ต ในระหว่างการติดต่อกับที่อยู่ทรัพยากรอินเทอร์เน็ตซึ่งอยู่ในช่วงที่ระบุตั้งแต่ 74.55.40.0 ถึง 74.55.40.255 รหัสเราเตอร์จะเท่ากับหมายเลขเครือข่าย 192.168.0.0 และดังนั้นจึงไม่สามารถใช้ในกระบวนการแลกเปลี่ยนข้อมูลได้ โปรโตคอล IP จะวินิจฉัยที่อยู่ (74.55.40.226) ซึ่งไม่รวมอยู่ในแพ็กเก็ตที่อยู่ของเครือข่ายท้องถิ่นแต่ละแห่ง และอ้างอิงถึงเส้นทางคงที่ที่กำหนด

สถานการณ์คือเมื่อเส้นทางนี้ไม่ได้ลงทะเบียน แพ็กเก็ตข้อมูลจะถูกส่งไปยังที่อยู่ระบุเกตเวย์ที่ตั้งไว้ตามค่าเริ่มต้นในตัวอย่าง

เนื่องจากเส้นทางที่แสดงในตัวอย่างเป็นเส้นทางที่มีลำดับความสำคัญสูง จึงจำเป็นต้องมีเกตเวย์เฉพาะ แทนที่จะเป็นมาตรฐานขนาดเดียวที่เหมาะกับทุกคน เนื่องจากไม่มีเกตเวย์ที่ตอบสนองคำขอในตาราง เซิร์ฟเวอร์ที่มีที่อยู่เครือข่าย 74.55.40.226 จะยังคงไม่อยู่ในโซนการเข้าถึง และภายใต้เงื่อนไขที่ระบุในตัวอย่างด้วยรหัสซับเน็ตมาสก์ ที่อยู่ทั้งหมดในช่วง 74.55.40.0 - 74.55.40.255 จะถูกบล็อก ช่วงนี้เป็นช่วงที่รวมเส้นทางเครือข่ายไปยังไซต์ของซอฟต์แวร์ป้องกันไวรัสที่ติดตั้งบนคอมพิวเตอร์ส่วนบุคคล ซึ่งจะไม่ได้รับการอัพเดตฐานข้อมูลไวรัสที่จำเป็นและจะทำงานไม่ถูกต้อง

ยิ่งมีข้อมูลดังกล่าวในตารางเส้นทางมากเท่าใด ทรัพยากรจะถูกบล็อกมากขึ้นเท่านั้น ในทางปฏิบัติของผู้เชี่ยวชาญ โปรแกรมไวรัสได้สร้างประเภทนี้มากถึงสี่ร้อยบรรทัด ดังนั้นจึงปิดกั้นการทำงานของทรัพยากรเครือข่ายประมาณพันรายการ ยิ่งไปกว่านั้น เจ้าของไวรัสไม่สนใจเป็นพิเศษในความพยายามที่จะแบนทรัพยากรบางอย่าง พวกเขาแยกไซต์อื่น ๆ อีกหลายสิบแห่งไม่ให้เข้าถึงได้ นี่เป็นข้อผิดพลาดหลักของโปรแกรมเมอร์ที่ไร้หลักการเนื่องจากจำนวนทรัพยากรที่ไม่พร้อมใช้งานเผยให้เห็นถึงความเป็นไปได้ในการบล็อกการถ่ายโอนข้อมูล ตัวอย่างเช่นหากวงการยกเว้นมีโซเชียลเน็ตเวิร์กยอดนิยมที่สุดและผู้ใช้ไม่สามารถเข้าสู่เว็บไซต์ VKontakte หรือ Odnoklassniki ได้ ก็จะเกิดความสงสัยเกี่ยวกับการทำงานที่ถูกต้องของพีซีกับเครือข่าย

การแก้ไขสถานการณ์ไม่ใช่เรื่องยาก คำสั่งเส้นทางและปุ่มลบใช้เพื่อจุดประสงค์นี้ เราพบรายการเท็จในตารางและถอนการติดตั้ง หมายเหตุเล็กๆ น้อยๆ: การดำเนินการทั้งหมดจะเป็นไปได้ก็ต่อเมื่อผู้ใช้มีสิทธิ์ของผู้ดูแลระบบ แต่ไวรัสสามารถทำการเปลี่ยนแปลงเส้นทางได้ก็ต่อเมื่อมันแทรกซึมเครือข่ายผ่านบัญชีผู้ดูแลระบบของคอมพิวเตอร์ส่วนบุคคล เรามายกตัวอย่างงานดังกล่าวกัน

ลบเส้นทาง 74.55.40.0 - รายการที่ลบตัวเลือกแรกของเส้นเส้นทาง

เส้นทางลบ 74.55.74.0 - รายการที่ลบตัวเลือกที่สองของเส้นทาง

จำนวนบรรทัดดังกล่าวจะต้องเท่ากับจำนวนเส้นทางเท็จทั้งหมด

หากคุณใช้วิธีการที่ง่ายกว่าในขั้นตอนนี้ คุณจะต้องใช้การดำเนินการเปลี่ยนเส้นทางเอาต์พุต ซึ่งทำได้โดยการป้อนเส้นทางงาน print > C:\routes.txt การเปิดใช้งานคำสั่งจะสร้างสถานการณ์ที่มีการสร้างเอกสารไฟล์ชื่อ Routes.txt บนดิสก์ระบบ โดยมีตารางที่มีข้อมูลเส้นทาง

รายการตารางประกอบด้วยรหัสอักขระ DOS อักขระเหล่านี้ไม่สามารถอ่านได้ และไม่มีความหมายสำหรับการดำเนินการ ด้วยการเพิ่มงานการลบเส้นทางที่จุดเริ่มต้นของแต่ละเส้นทาง เราจะลบรายการเท็จแต่ละรายการ สิ่งเหล่านี้มีลักษณะดังนี้:

ลบเส้นทาง 84.50.0.0

ลบเส้นทาง 84.52.233.0

ลบเส้นทาง 84.53.70.0

ลบเส้นทาง 84.53.201.0

ลบเส้นทาง 84.54.46.0

ถัดไปคุณต้องเปลี่ยนนามสกุลไฟล์ ตัวเลือกสำหรับการแทนที่นามสกุลดังกล่าวคือ cmd หรือ bat ไฟล์ใหม่จะเปิดตัวโดยดับเบิลคลิกปุ่มเมาส์ขวา คุณสามารถทำให้งานง่ายขึ้นโดยใช้ตัวจัดการไฟล์ยอดนิยม FAR ซึ่งทำงานดังนี้ ตัวแก้ไขซึ่งเรียกโดยปุ่มฟังก์ชัน F 4 จะไฮไลต์ทางด้านขวาของบันทึกเส้นทางด้วยเครื่องหมายพิเศษ การใช้คีย์ผสม CTRL +F 7 ช่องว่างทั้งหมดจะถูกแทนที่ด้วยอักขระที่มีค่าว่างโดยอัตโนมัติ และช่องว่างจะถูกตั้งค่าเป็นตำแหน่งเริ่มต้นของบรรทัด การรวมกันใหม่ของคีย์ที่ระบุจะตั้งค่างานการลบเส้นทางไปยังตำแหน่งที่เราต้องการ

เมื่อมีเส้นทางที่ผิดพลาดจำนวนมากในตารางข้อมูลและการแก้ไขด้วยตนเองดูเหมือนจะเป็นกระบวนการที่ยาวและน่าเบื่อ ขอแนะนำให้ใช้งานเส้นทางร่วมกับปุ่ม F

คีย์นี้จะลบเส้นทางที่ไม่ใช่ฮอปทั้งหมด และยังถอนการติดตั้งเส้นทางที่มีจุดสิ้นสุดและที่อยู่การออกอากาศอย่างสมบูรณ์อีกด้วย อันแรกและอันสุดท้ายมีรหัสดิจิทัล 255.255.255.255; ที่สอง 127.0.0.0. กล่าวอีกนัยหนึ่ง ข้อมูลเท็จทั้งหมดที่ไวรัสเขียนลงในตารางจะถูกถอนการติดตั้ง แต่ในขณะเดียวกัน บันทึกของเส้นทางแบบคงที่และข้อมูลเกตเวย์เริ่มต้นของผู้ใช้จะถูกทำลาย ดังนั้นจึงจำเป็นต้องกู้คืน เนื่องจากเครือข่ายจะยังคงไม่สามารถเข้าถึงได้ หรือเราสามารถติดตามกระบวนการทำความสะอาดตารางข้อมูลและหยุดมันเมื่อเราตั้งใจจะลบบันทึกที่เราต้องการ

โปรแกรมป้องกันไวรัส AVZ ยังสามารถใช้เพื่อปรับการตั้งค่าเราเตอร์ได้ มัลติโปรแกรมเฉพาะที่เกี่ยวข้องกับกระบวนการนี้คือรายการการกำหนดค่า TCP ที่ยี่สิบ

ตัวเลือกสุดท้ายสำหรับการบล็อกการเข้าถึงของผู้ใช้ไปยังที่อยู่ IP ของไซต์ที่โปรแกรมไวรัสใช้คือการใช้การปลอมแปลงที่อยู่เซิร์ฟเวอร์ DNS ในตัวเลือกนี้ การเชื่อมต่อกับเครือข่ายเกิดขึ้นผ่านเซิร์ฟเวอร์ที่เป็นอันตราย แต่สถานการณ์ดังกล่าวค่อนข้างหายาก

หลังจากเสร็จสิ้นงานทั้งหมดแล้ว คุณต้องรีบูทคอมพิวเตอร์ส่วนบุคคลของคุณ

ฉันขอขอบคุณผู้เชี่ยวชาญของศูนย์บริการคอมพิวเตอร์ Zapuskay.RF - http://zapuskay.rf/information/territory/Kolomenskaya/ อีกครั้งสำหรับความช่วยเหลือในการเตรียมวัสดุซึ่งคุณสามารถสั่งซ่อมแล็ปท็อปและเน็ตบุ๊กในมอสโกได้



มีคำถามหรือไม่?

แจ้งการพิมพ์ผิด

ข้อความที่จะส่งถึงบรรณาธิการของเรา:

ส่ง