Ako manuálne odstrániť spyware (Windows)?

Vypnite infikovaný počítač. Otvorte puzdro a vyberte z neho hlavný pevný disk (ten, ktorý obsahuje oddiel OS).

Ak máte kryt externého disku usb/ieee1394, môžete k nemu namiesto dokončenia nasledujúcich dvoch krokov pripojiť infikovanú jednotku.

Vypnite čistý počítač. Otvorte puzdro a pripojte infikovaný disk.

Zapnite čistý počítač. Uistite sa, že sa zavádza do čistého operačného systému, nie z infikovanej jednotky! Väčšina počítačov má ponuku možností zavedenia, ku ktorej sa dostanete krátko po zapnutí pomocou klávesu F11 alebo ESC.

Uistite sa, že vidíte všetky súbory. Po spustení operačného systému čistého počítača budete chcieť vyčistiť dočasné súbory z infikovanej jednotky, aby bolo vyhľadávanie jednoduchšie. Najprv však chcete vidieť všetky súbory, dokonca aj skryté a systémové súbory. Prejdite na „Ovládací panel“ -> „Možnosti priečinka“ a kliknite na kartu „Zobraziť“ v hornej časti okna „Možnosti priečinka“. Budete chcieť zmeniť nasledujúce možnosti:

• Zapnúť: Začiarknutím políčka sa zobrazí obsah systémových priečinkov
• Zapnúť: Vyberte, ak chcete zobraziť skryté súbory a priečinky
• VYPNÚŤ: Zrušte začiarknutie skrytých prípon pre známe typy súborov.
• VYPNÚŤ: Zrušte začiarknutie políčka skryť chránené súbory operačného systému (odporúča sa)

Poznačte si písmeno jednotky infikovanej jednotky. Pravdepodobne to bude E: alebo F:, v závislosti od počtu pevných diskov, oddielov a jednotiek CD/DVD, ktoré máte vo svojom čistom počítači. Predpokladajme, že sa v tomto článku zaoberáme jednotkou F:.

Vymažte dočasné priečinky súborov. Keď sú priečinky dočasných súborov vymazané, v súboroch, v ktorých môžete prehľadávať, je oveľa menej súborov. To by malo urobiť nasledujúcich pár krokov o niečo menej únavnými. Niektoré z nasledujúcich miest nemusia existovať, niektoré môžu byť na mierne odlišných miestach. Je dôležité, aby ste našli a vymazali vyrovnávaciu pamäť pre všetky svoje prehliadače (IE/Netscape/Firefox/Opera) a vymazali ste ju pre každého jedného používateľa! Skontrolujte nasledujúce priečinky a odstráňte ich obsah, nie však samotné adresáre.

• F: \ TEMP
• F: \ Windows \ TEMP alebo F: \ WINNT \ Temp (iba NT4 a Windows 2000 používajú „WinNT“)
• F: \ WINNT \ Profily \ Používateľské meno \ Miestne nastavenia \ Teplota
• F: \ WINNT \ Profily \ Používateľské meno \ Miestne nastavenia \ Dočasné internetové súbory
• F: \ WINNT \ Profily \ Používateľské meno \ Miestne nastavenia \ Údaje aplikácie \ Mozilla \ Firefox \ Profily \ SomeRandomName.default \ Cache
• F: \ Documents and Settings \ UserName \ Local Settings \ Temp
• F: \ Documents and Settings \ UserName \ Local Settings \ Temporary Internet Files
• F: \ Documents and Settings \ UserName \ Local Settings \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache

Uistite sa, že v koši sú všetky súbory.

Skúste zálohovať jednotku, ktorá je infikovaná, do priečinka v čistej časti počítača, iba ak na to máte dostatok miesta. Ak môžete zálohovať celý disk, mali by ste. V opačnom prípade by ste sa mali dostať preč iba z priečinka „Dokumenty a nastavenia“ („Profily“ v systéme NT4) a možno aj z niekoľkých priečinkov pre vaše počítačové hry (niektoré hry ukladajú uložené hry, svoje mapy, vysoké skóre atď. v priečinku s programom).

Vykonajte vo svojom počítači úplne úplné antivírusové a spywarové skenovanie. To dúfajme nájde niektoré veci na infikovanom disku F: a odstráni ich.

• Stiahnite si a nainštalujte vyhľadávanie a ničenie Spybotu a adware adries Lavasoft. Je dôležité, aby ste používali oba tieto nástroje, pretože často nájdu spolu viac škodlivého softvéru.
• Po vyzvaní aktualizujte súbory definícií.
• Naskenujte svoje zariadenie (môže to chvíľu trvať).
• Odstráňte všetok nájdený spyware.
• Uistite sa, že máte nainštalovaný a aktuálny antivírusový program. Vykonajte úplnú kontrolu vo svojom systéme a odstráňte všetky vírusy, trójske kone a červy, ktoré program nájde.

Keď sú všetky kontroly na malware nájdené, prejdite na „c: \ Program Files“ (na disku vášho čistého počítača) a skopírujte celé adresáre programov, ktoré sú určené pre Spybot, Ad-Aware a váš antivírus, do nového adresára. na vašom disku, ktorý je infikovaný, nazývaný „F: \ Cleaners“. Skopírujte tiež inštalátory týchto programov do priečinka „F: \ Cleaners“. Môžete ich potrebovať kedykoľvek neskôr.

Stlačením klávesu Windows+f vyvoláte okno na vyhľadávanie súborov. Ak vidíte malého animovaného psa, možno ho budete chcieť vypnúť, pretože robí hľadanie oveľa otravnejším. Možnosti vyhľadávania, ktoré budete chcieť použiť pri vyhľadávaniach, ktoré vykonáme, sú „Hľadať všetky súbory a priečinky“ so zapnutými nasledujúcimi „Pokročilými možnosťami“:

• • Vyhľadajte systémové priečinky
  • Vyhľadajte skryté súbory a priečinky
  • Hľadaj vo svojich podpriečinkoch

Hľadaj iba na jednotke F: \ názvy súborov, ktoré sa zhodujú s "*.exe" a boli zmenené minulý týždeň. Jednoducho zadajte „*.exe“: „hviezdička s bodkou exe“ a zadajte „do minulého týždňa“. Môžete tiež skúsiť vyhľadať výraz „posledný mesiac“ v závislosti od toho, ako dlho bol váš počítač infikovaný.

• Spustite vyhľadávanie. Nechajte ho bežať, kým sa nedokončí.
• Prezrite si súbory, ktoré našiel. Niektoré z nich môžete rozpoznať, najmä ak ste nedávno nainštalovali určité programy. Ak ste napríklad nedávno aktualizovali alebo nainštalovali Lavasoft Ad-Aware, v týchto zoznamoch sa vám môže zobraziť „F: \ Program Files \ Lavasoft \ Ad-Aware SE Personal \ Ad-Aware.exe“. Ignorujte tento typ súboru. Typ súboru, ktorý hľadáte, je zvyčajne vo formáte F: \ Windows \ system32, má veľkosť menšiu ako 100 kB a má vtipný názov ako „lkaljya.exe“
• Všetky súbory, ktoré nájdete, by mali byť presunuté do dočasného adresára, kým si neoveríte, že sú legitímne. Môžete napríklad vytvoriť priečinok „F: \ quarantine“ a presunúť ho tam do podpriečinka „F: \ quarantine \ Windows \ system32“.
• Niektoré škodlivé súbory sú tiež skryte skryté v adresári F: \ Windows \ system32 \ drivers, budú mať tiež vtipné názvy ako „lkaljya.sys“.
• Všetky súbory, ktoré nájdete, by mali byť presunuté do dočasného adresára, kým si neoveríte, že sú legitímne. Môžete napríklad vytvoriť priečinok „F: \ quarantine“ a presunúť ho tam do podpriečinka „F: \ quarantine \ Windows \ system32 \ drivers“.
• Ak máte antivírusový program pri prístupe, môže sa skutočne začať sťažovať, že v druhom, keď vyberiete podozrivý súbor, našiel trójskeho koňa. Ak áno, neobťažujte sa v karanténe, nechajte ho odstrániť antivírusom.
• Osobitnú pozornosť venujte súborom *.exe s náhodnými alebo domýšľavými názvami. Pretty names sa snažia pôsobiť dôležito tým, že sú veľmi blízko skutočným skutočne užitočným programom. Užitočný program je napríklad „svchost.exe“, zatiaľ čo podozrivý program môže byť „scvhost.exe“
• Ďalším dobrým spôsobom, ako identifikovať dobré a zlé produkty, je kliknúť pravým tlačidlom myši na spustiteľný súbor a kliknúť na položku „Vlastnosti“ a potom na kartu „Verzia“ (ak je k dispozícii). Ak je súbor digitálne podpísaný ľubovoľnou spoločnosťou, bude mať na tejto konkrétnej karte vlastnosť „Názov spoločnosti“, napríklad „Microsoft Corporation“ alebo „Apple Computer Inc“ alebo „Logitech“ atď. Tieto súbory sú pravdepodobne bezpečné a zabezpečené a dobre. Ak súbor nie je podpísaný, mali by ste preskúmať ďalšie a ďalšie.
• Ak máte pochybnosti, choďte na google a zadajte napríklad úplný názov podozrivého spustiteľného súboru: „scvhost.exe“. Preskúmajte výsledky vyhľadávania. Často uvidíte odkazy ako „scvhost.exe, dobrý alebo zlý?“ alebo „Čo robí tento súbor?“ a môžete vidieť, či ide o potrebný súbor alebo nebezpečný trójsky kôň.
• Osobitnú pozornosť venujte všetkým súborom *.exe, ktoré nájdete v priečinku F: \ windows \ system32 a (najmä) kdekoľvek v priečinku F: \ Documents and Settings. V priečinku „Dokumenty a nastavenia“ by skutočne nemalo byť veľa/žiadne spustiteľné súbory.

Zopakujte predchádzajúci krok, ale namiesto toho vyhľadajte názvy súborov zodpovedajúce vzoru „*.dll“?.

Zopakujte predchádzajúci krok, ale namiesto toho vyhľadajte názvy súborov zodpovedajúce vzoru „*.sys“.

Tento posledný krok je pomerne komplikovaný, ale zvyčajne je úspešný v tom, ako sa zbaviť väčšiny najodpornejších červov a trójskych koní, a preto sú takí ohavní. Dávajte si veľký pozor a nepokazte sa.

• Prejdite na Štart-> Spustiť, zadajte príkaz „regedit“ a stlačte kláves Enter.
• Z infikovaného počítača načítajte úľ „SOFTWARE“ a odstráňte všetky zlé položky „spustiť pri prihlásení“.
  • Vyberte HKEY_LOCAL_MACHINE kliknutím naň ľavým tlačidlom myši.
  • Prejdite do ponuky Súbor a kliknite na „Načítať úľ“.
  • Prejdite na F: \ Windows \ System32 \ Config a načítajte súbor s názvom „SOFTWARE“.
  • Požiada vás o názov kľúča. Napíšte teda „INFECTED_SOFTWARE“ a stlačte kláves Enter.
  • Kliknite na znamienko plus na boku HKEY_LOCAL_MACHINE, aby ste odhalili kľúč „INFECTED_SOFTWARE“.
  • Prejdite na HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
  • Zálohovať!!!!!! Kliknite pravým tlačidlom myši na „Spustiť“ a zvoľte „Exportovať údaje“ a uložte tento súbor „INFECTED_SOFTWARE, RUN.reg“ do priečinka karantény. Všimnite si toho, že ak budete potrebovať obnoviť túto zálohu neskôr, keď je infikovaný počítač stále spustený, budete musieť otvoriť súbor reg v textovom editore a mierne zmeniť cestu kľúča. HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE by bolo potrebné napríklad zmeniť na HKEY_LOCAL_MACHINE \ SOFTWARE. Ak chcete iba okamžite obnoviť tento súbor reg, keď je spustený na čistom počítači, tento súbor nemusíte upravovať; buďte si 100% istí, že úľ je stále aktuálne načítaný, a dvakrát kliknite na súbor reg, aby ste mohli znova vložiť jeho kľúče/hodnoty na vhodné miesta.
  • Na pravom paneli by ste mali vidieť zoznam mnohých # záznamov. Niektoré z nich môžu zahŕňať programy ako Java Update, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, ovládače nVidia / ATI, ovládače zvuku, ovládače klávesnice / myši, antivírus, softvér Firewall atď.

Na rozlíšenie dobra od zla opäť použite svoj najlepší úsudok a metódy popísané vyššie. Ak zistíte, že niečo nie je v poriadku, chyťte súbor EXE, na ktorý ukazuje kľúč, vložte ho do priečinka pre karanténu a kľúč odstráňte. Neskôr ho môžete kedykoľvek obnoviť pomocou zálohy registra.

• • Vykonajte rovnaké kroky v príkazoch „RunOnce“ a „RunOnceEx“, hneď vedľa klávesu „Spustiť“. Môžu, ale nemusia mať v sebe záznamy.
  • Keď ste hotoví, je dôležité, aby ste klikli na „INFECTED_SOFTWARE“ a potom prejdite do ponuky Súbor a zvoľte „Vyložiť úľ“.
  • Z infikovaného počítača načítajte úľ „DEFAULT“ (F: \ Windows \ System32 \ Config \ DEFAULT) a odstráňte všetky nesprávne položky „spustiť pri prihlásení“. Vykonajte rovnaké kroky ako v kroku „SOFTVÉR“. Poznámka: úľ „DEFAULT“ nemusí mať ani kláves „Spustiť“. Ak je to tak, preskočte to. Po dokončení nezabudnite uvoľniť „INFECTED_DEFAULT“.
  • Načítajte úľ každého používateľa z infikovanej jednotky. Úľ nájdete na adrese F: \ Documents and Settings \ UserName \ NTUSER.DAT - načítajte ho ako "INFECTED_USERNAME" a potom prejdite cez klávesy "Run/RunOnce/RunOnceEx" pre zlé položky. Rozcvičku už poznáte, nie? Uistite sa, že vyložíte každý úľ, keď budete hotoví.

Ak používate kryt externého pevného disku, pomocou príkazu „bezpečne odstrániť hardvér“ ho vyberte z počítača, vypnite ho a vyberte (dúfajme, že teraz) vyčistený disk. V opačnom prípade musíte vypnúť čistý počítač a vybrať vyčistenú jednotku z puzdra.

Nainštalujte vyčistenú jednotku do vlastného puzdra a zapnite vyčistený počítač.

• Ak váš počítač v tomto bode absolútne odmieta zavedenie systému, možno vám neostane nič iné, ako vymazať disk a preinštalovať systém Windows. Predtým než to urobíte, uistite sa, že máte všetko zálohované a všetky preinštalačné disky CD a licenčné kľúče.

Ak sa počítač spustí, mali by ste okamžite spustiť programy na ochranu pred spywarom v priečinku „čističe“. Ak vo vašom počítači zostal nejaký spyware, je v tomto mieste pravdepodobne v oslabenom stave a môže teraz podľahnúť. Spustite tiež aktuálne nainštalovaný antivírusový program alebo skúste spustiť antivírusový program z priečinka „Čističe“; môže, ale nemusí fungovať.