Если вы не знаете как удалить папку которая не удаляется, то наш материал поможет вам в этом разобраться.
Каждый периодически имеет дело с «неудаляемыми» папками на ПК.
Винить в этом кого-либо глупо, даже систему, которая утверждает нам, что данная директория в данный момент времени занята каким-либо процессом.
Как результат – все манипуляции по ликвидации заканчиваются фиаско. Подбираемся к основной теме: как удалить папку, которая не удаляется на windows 7 (win8)?
Существует 5 вариантов решения проблемы:
Попробуем разобраться с ситуацией.
Перезагрузка
Итак, вы намерились удалить злополучную директорию, но система утверждает, что она не может это сделать по тем или иным причинам. Основная причина – использование файлов в папке каким-либо приложением или процессом, запущенным в данный момент.
На примере видно, что ликвидировать папку «скрины» не получается, поскольку один либо несколько файлов сейчас используются одной из программ Windows. Поскольку большинство не знает, какой именно, то им ничего не остается, кроме как перезапустить машину.
Жмем «Пуск» (1), затем кликаем по небольшому квадрату (2) около кнопки «завершение работы». Выбираем пункт с перезагрузкой (3).
Проверка системы
Если вы не хотите делать рестарт, а решили докопаться до истины, проверьте, не находится ли в папке приложение, запущенное в данный момент.
Допустим, вы решили избавиться от Skype по какой-то причине, только не путем деинсталляции, а варварским удалением папки, в которой находится все содержимое программы. Рассмотрим этот вариант.
Для начала откроем папку. Следуем по пути: Диск С – Programm Files – Skype.
Видим вот такую картину.
И вот что выдает система, если нажать на «Delete» на клавиатуре.
Во-первых, программа запущена, поэтому возможность удаления заблокирована системой. Во-вторых, она «висит» в диспетчере задач, а именно в процессах.
Нужно закрыть программу и на всякий случай «убить» процесс, чтобы уведомление не отобразилось снова.
Выходим из Skype, после чего жмем Ctrl+Alt+Delete (диспетчер задач) и выделяем программу. После этого жмем на кнопку «завершить процесс».
Отобразится окошко с подтверждением намерений. Жмем повторно на завершение. Теперь вы знаете, как удалить папку, которая не удаляется на windows 8, и прочих версиях ОС.
Обратите внимание! Вышеописанная процедура одинаково полезна для всех подобных случаев, не только для Skype.
Вирусы
В некоторых случаях удаление директории невозможно по той элементарной причине, что на ПК проникло потенциально нежелательное ПО, т.е. вирусы. Помимо интернета, они могут попасть на компьютер через флеш-накопитель.
А как удалить папку, которая не удаляется с флешки? Правильно, путем предварительной проверки антивирусом.
Открываем антивирус и сканируем накопитель. Затем пробуем удалить папку. Если не получилось, придется форматировать флешку.
Обратите внимание! Помните, после форматирования удалятся все данные, папки и файлы, хранящиеся на флеш-памяти.
Процедура следующая. Жмем правой кнопкой на накопитель и выбираем «форматировать».
Перед нами меню с настройками.
- Емкость флешки;
- Файловая система;
- Метка тома (имя накопителя);
- Способ форматирования;
- Запуск процесса.
Основное внимание на файловую систему. FAT 32 должна быть выбрана по умолчанию. Так содержимое накопителя сможет «прочесть» любой ПК. Имя можно дать любое, поскольку оно не влияет ни на какой параметр.
А вот для более качественного форматирования галочку «быстрой очистки» лучше снять. Жмем «начать» и ждем.
Настройки папки
Этот прием хорош для сетевых директорий. Иными словами, несколько ПК объединены в единую подсеть. Администратор создает одну или несколько общих папок, куда можно сбрасывать различную информацию. Чтобы ее ненароком никто не удалил, устанавливает права доступа.
Делается это следующим образом. Для начала открываем свойства папки правой кнопкой.
Переходим в раздел «безопасность» и жмем «дополнительно».
Выбираем группу либо пользователя, которому «режем права».
Снова выбираем группу, и теперь уже настраиваем уровень доступа.
Если вы установите галочки на двух пунктах, связанных с удалением, пользователь по сети не сможет убрать ни папку, ни ее содержимое.
После этого можно с легкостью избавиться от приложения, поскольку мы его «убили».
Таким нехитрым способом можно почистить систему от других программ, приложений и папок.
Сказать, что этот способ рассчитан на ленивых – нельзя. В любом случае от вас потребуется знание места, в котором хранится папка. С другой стороны, все программы изначально инсталлируются в папку Programm Files.
Как удалить папку, которая не удаляется с рабочего стола и остальных мест на ПК? Следуя нашим советам, вы сможете с легкостью избавиться от различного софта, который хранится в директориях. Последние, в свою очередь, можно легко и непринужденно ликвидировать.
Важно! Система никогда не будет «ругаться», если перечень файлов, находящихся в папке, в данный момент времени нигде не задействуются. Будь то набор фотографий, фильмов или музыки. Если же вы не используете файл, но по каким-то необъяснимым причинам вам не удается почистить компьютер, значит содержимое каталога попросту заражено вирусом. На всякий случай просканируйте систему на предмет нежелательного ПО и будьте внимательны, когда качаете что-то из интернета.
Во всех остальных случаях виновата банальная халатность и нежелание прочесть сообщение диалогового окна, в котором четко поясняется причина невозможности удаления папки.
Итак, сегодня мы поговорим с вами о том, как удалить вирус вручную с компьютера. Помимо этого, посмотрим, какие могут встречаться трояны, как они проявляют себя и откуда могут быть занесены на компьютер. Давайте же поскорее приступим к изучению нашей сегодняшней темы.
Виды вирусов
Что ж, но перед тем, как удалить вирус вручную с компьютера, стоит поговорить с вами о том, какая зараза вообще встречается на компьютере. Ведь в большинстве случаев именно от этого зависит то, каким образом следует проводить лечение. Так что, давайте начнем.
Первый вирус - это троян. Из себя представляет вредоносный файл, который "селится" в операционной системе, да еще и вредит ей. Например, повреждает или уничтожает важные документы. Сейчас их очень много.
Второй довольно распространенный вид вируса - это разнообразные шифровальщики. Это такие файлы, которые попадают в систему и блокируют ее. Но не разрушая, а всего лишь зашифровывая документы. В конце такого шифра, как правило, оставляется e-mail создателя, на который надо перевести энную сумму денег ради возврата документов в первоначальный вид.
Третий вирус, который можно подцепить - это, конечно же, разнообразные надстройки браузера, или спам. Как правило, они очень сильно да еще и мешают работе в интернете. Это происходит из-за того, что у пользователя может смениться стартовая страница, плюс ко всему, в браузере всюду будут расположены рекламные баннеры. Когда пользователи видят эту картину, то они задумываются, как найти вирусы в компьютере вручную, а потом убрать их. Сейчас мы попытаемся разобраться с этим.
Признаки заражения
Итак, перед тем как найти вирусы вручную и избавиться от них раз и навсегда, давайте попробуем разобраться, что может указывать вам на наличие компьютерной заразы в системе. Ведь если вовремя обнаружить сигналы, то можно избежать повреждения большого количества файлов и потери "операционки".
Первый, наиболее явный признак - это не что иное, как сообщения вашей антивирусной программы. Она будет "ругаться" на какие-то документы и файлы, выдавая вам название предполагаемого вируса. Правда, иногда антивирус так ведет себя по отношению к различным крякам и "таблеткам" к компьютерным играм. Тем не менее, без внимания это оставлять нельзя.
Второй вариант развития событий - у вас начинает "тормозить" компьютер. Именно тогда пользователи начинают активно думать, как удалить вирус вручную, особенно, если у них нет антивируса. Так что, как только вы заметили, что ваша система стала "тугодумом", начинайте бить тревогу.
Очередной вариант развития событий - на компьютере стали появляться новые программы, которые вы не устанавливали. Довольно распространенный ход среди компьютерной заразы.
Кроме того, на инфицирование компьютера может указывать еще и реклама в браузере. Смена стартовой страницы без возможности восстановления, рекламные баннеры везде и всюду - все это довольно тревожные сигналы. Так что, давайте поскорее посмотрим, как происходит с компьютера вручную.
Поиск
Что ж, первым делом стоит начать с поиска тех мест, где кроется зараза. Иногда сделать это очень трудно. Особенно, если у вас нет антивирусной программы. В общем, давайте посмотрим, что можно сделать в сложившейся ситуации.
Итак, когда вы решили самостоятельно побороть вирус, то вам придется найти папку на компьютере, в которой он хранится. Иногда зараза сама выдает себя, создав свои процессы в Откройте его (Ctrl + Alt + Del), после чего перейдите во вкладку "процессы". Теперь найдите там любую подозрительную строчку (она будет как-то странно называться, или вообще подписана иероглифами) и нажмите на кнопку "показать расположение файла". Готово, вирус найден.
Правда, не все всегда так легко и просто. Если вы думаете, как удалить вирус вручную с компьютера, то вам стоит знать и то, что компьютерная зараза зачастую хорошо скрывается. В отображении папок отметьте пункт "отображать и папки". Теперь осуществлять поиск будет значительно проще.
Помните и то, что очень часто "оседают" в папке Windows. Например, большинство троянов встречается в System32. Некоторая зараза способна "прописаться" в файл host. Излюбленные места вирусов мы знаем. Но как же избавиться от них?
Проверки
Первый вариант развития событий - это удаление заразы автоматически. Точнее, полуавтоматически. Речь идет о на наличие вирусов при помощи антивирусной программы.
Для того чтобы обеспечить себе надежную защиту данных, запаситесь хорошим антивирусом. Отлично подходит Dr.Web. Если он вам не понравился, можете испробовать еще и Nod32. Он тоже довольно хорошо справляется с задачей.
Проведите глубокую проверку. После того, как программа выдаст вам результаты, постарайтесь вылечить документы автоматически. Не получилось? Тогда сотрите их. Правда, если вы думаете, как удалить вирус вручную с компьютера, то, скорее всего, проверки антивирусом вам не помогли. Давайте посмотрим, что же еще можно сделать.
Стираем программы
Второй шаг на пути к исцелению системы - это, конечно же, удаление разнообразного контента, который вам наставил вирус. Это довольно частое явление. Так что, загляните в "панель управления", а оттуда проследуйте в "установку и удаление программ". Немного подождите, пока завершится проверка контента на компьютере.
Когда перед вами появится список программ, удалите все, чем вы не пользуетесь. Особое внимание уделите контенту, который вы не устанавливали. Или же тому, что появился "прицепом" после завершения установки какой-нибудь другой "проги". Кликните по нужной строчке правой кнопкой мышки, после чего выберите команду "удалить". Готово? Тогда можно думать дальше, как удалить вирус вручную с компьютера.
Тотальное сканирование
А теперь давайте прибегнем к некоторым службам и приемам, которые обязательно помогут нам. Если вы знаете название вируса (особенно, если вы столкнулись со спамом), то вам подойдет поиск заразы при помощи компьютерного реестра.
Для того чтобы перейти в необходимую службу, нажмите сочетание клавиш Win + R, а затем выполните команду "regedit". Посмотрите, что перед вами появится. С левой стороны окна расположены папки с длинными и непонятными названиями. Именно в них зачастую прячутся вирусы. Но мы немного упростим себе задачу по поиску. Достаточно зайти в "правку", а затем нажать на "поиск". Наберите имя вируса, после чего осуществите проверку.
После получения результатов все появившиеся строки требуется стереть. Для этого кликайте поочередно на каждую из них, после чего выбирайте необходимую команду. Все готово? Тогда перезагрузите компьютер. Теперь вы знаете, как удалить вирус вручную с компьютера.
Содержание статьи:
Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.Итак друзья в первую очередь при таких проблемах вы можете применить или загрузить компьютер с антивирусного диска и просканировать всю вашу систему на вирусы, о том как скачать такой диск, прожечь на болванку и удалить вирусы из системы Windows, у нас есть несколько пошаговых статей: , антивирусными дисками трёх различных производителей.
Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig , идём Пуск ->Выполнить , набираем msconfig
и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,
Исполняемый файл находится по адресу
Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF
и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit
,
То есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:\Windows\AppPatch нам удалить не удалось.
Для успешной борьбы с вирусом нам нужен помощник, который:
- Во-первых сможет нам показать файл вируса находящийся в автозагрузке
- Во-вторых покажет нам изменения внесённые вирусом в реестр
Для того что бы увидеть всё что у вас творится в Автозагрузке нужна специальная программа AnVir Task Manager или другая, например AutoRuns от Марка Руссиновича, обе они бесплатны, предлагаю воспользоваться утилитой AnVir Task Manager, так как я давно заметил начинающим пользователям она нравится больше. Скачиваем её здесь
http://www.anvir.net/ и устанавливаем.
Полное описание работы с утилитой можно прочесть вот в этой нашей статье
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров
и снимите галочки со всего, что вам не нужно, оставьте только на пункте Запустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол
.
После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.
Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load , щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике
И сразу попадаем в нашу папку с вирусным файлом C:\Windows\AppPatch\matadd.exe .
Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем
.
Щёлкаем правой мышью на созданном вирусом ключе Load
и выбираем в меню Перейти->Открыть расположение записи в реестре.
Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Добавлено два ключа, удаляем их
Load REG_SZ
C:\WINDOWS\apppatch\matadd.exe
Run REG_SZ
C:\WINDOWS\apppatch\matadd.exe
Щёлкаем правой мышью на созданном вирусом ключе userinit
и выбираем в меню Перейти->Открыть расположение записи в реестре
Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Добавлен ключ, так же удаляем его
userinit REG_SZ
C:\Windows\apppatch\matadd.exe
При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалить и защитим реестр.
Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.
Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe , щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти , вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее
И такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы - Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system и userinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры :
Userinit REG_SZ C:\Windows\system32\userinit.exe, C:\WINDOWS\apppatch\matadd.exe
Должно быть, вот так
System REG_SZ
Userinit REG_SZ C:\Windows\system32\userinit.exe,
остальное удаляем и два наши параметра реестра должны выглядеть вот так.
После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папки C:\WINDOWS\apppatch .
Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.
C:\USERS\имя пользователя\AppData\Local\Temp , кстати из папки Temp удалите всё.
Корень системного диска, обычно (С:)
. Ну и конечно нужно проверить всю систему своим антивирусом. Или или антивирусными утилитами от Microsoft.
Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:\Windows\AppPatch, значит вы не полностью очистили реестр, что то пропустили.
Так же можно всё сделать проще, удалить вирус из папки C:\Windows\AppPatch загрузившись с любого Live CD , а затем почистить реестр.
Всё это хорошо, но многие пользователи зададут вопрос: Как вирус попал в папку C:\Windows\AppPatch?
Друзья почти все вирусы приходят к нам из интернета, поэтому скачивая что-либо, будьте очень осторожны, не выключайте никогда свою голову. Возьмём например два письма, содержание которых я привёл в начале статьи, наши читатели почти были уверены, что скачивают не то, что нужно, но всё равно довели дело до конца и словили вирус. Бесплатный сыр только в мышеловке.
Если Вам нужна какая-нибудь книга для учёбы, подумайте об её авторе, ведь что бы написать её для Вас, писатель оторвал время у себя и у своей семьи и может всё-таки её купить.
Ну и под конец несколько пожеланий. Не выключайте никогда восстановление системы. Во вторых всегда имейте на вашем компьютере, конечно с последними обновлениями антивирусных баз. Создавайте периодически . Не работайте под учетной записью администратора компьютера, создайте себе учётную запись с ограниченными правами.
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig , запущенной через меню Пуск - Выполнить
В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").
Как альтернативe команде msconfig можно использовать программу .
В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp , C:\WINDOWS\Temp , C:\Documents and Settings\user\Local Settings\Temp , т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
При нахождении в них подозрительных элементов - мочить гадов! :)
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe
" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe
или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe . Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe " и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe . Размер оригинального файла составляет 26,0 КБ (26 624 байт) , на диске: 28,0 КБ (28 672 байт) .
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit , UIHost и Shell , расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими
:
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe , logonui.exe (находятся в C:\WINDOWS\system32\ ) и explorer.exe (находится в C:\WINDOWS\ ) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или .
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts . Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.
В зависимости от «продвинутости» создателя вируса, это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig , запущенной через меню Пуск - Выполнить
В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).
Как альтернативe команде msconfig можно использовать программу XPTweaker (скачайте с официального сайта).
В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5−10-летней давности.
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке пopнo-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
explorer.exe или подобную хрень.
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe » заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe . Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe » и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe . Размер оригинального файла составляет 26,0 КБ (26 624 байт) , на диске: 28,0 КБ (28 672 байт) .
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit , UIHost и Shell , расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими:
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так:
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe , logonui.exe (находятся в C:\WINDOWS\system32\ ) и explorer.exe (находится в C:\WINDOWS\ ) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.
Где находятся вирусы
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts . Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .