Kako odstraniti Trojan Win32 / Spy.Shiz.NCF

  • Z računalnikom se mi nekaj dogaja, na internetu sem prenašal film, ki je pravkar izšel v kinodvoranah, globoko v sebi sem razumel, da tu nekaj ni v redu, a sem si resnično želel videti novost. Niti nisem bil pozoren na to, da prenesena video datoteka tehta zelo malo - 137 KB, ko poskušam gledati film, računalnik zamrzne. Protivirusni sistem, nameščen v sistemu, je začel prikazovati sporočilo, da je v mapi C: \ Windows \ AppPatch je bil najden virus in ponuja, da ga odstrani, strinjam se, čez nekaj časa se spet pojavi isto sporočilo. To nenavadno mapo C: \ Windows \ AppPatch sem poskušal v celoti izbrisati, vendar nič ne deluje in, zanimivo, tudi v varnem načinu ni izbrisan, vse se konča z napako. Hkrati se je sistem začel dolgo nalagati, prav tako se ne morem prijaviti na nekatera mesta, na primer sošolci - pravijo napačno uporabniško ime ali geslo, računam na vašo pomoč.
  • Pismo št. 2 Pozdravljeni, prosim, povejte mi, kako je biti, danes zjutraj sem na precej čudnem spletnem mestu prenesel knjigo, ki je vseeno potrebna za študij, ki jo zdaj prodajajo v knjigarnah za precej drago ceno in jo poskušali odpreti. Nenadoma je moj antivirus prisegel na mapo C: \ Windows \ AppPatch in tam nekaj izbrisali, zdaj se ob nalaganju operacijskega sistema Windows 7 prikaže sporočilo: Windows ni mogel najti C: \ Windows \ AppPatch \ hsgpxjt.exe. Operacijski sistem upočasni in zamrzne, pošljem vam posnetek zaslona s to napako po pošti. Na internetu sem našel podatke, da ta mapa vsebuje viruse in jih je treba izbrisati, vendar je ni mogoče izbrisati niti v varnem načinu, pojavi se napaka. Na vašem spletnem mestu pravijo, da te mape ne morete izbrisati, ker ta pripada operacijskemu sistemu, prosim, razložite vse.  

Kako odstraniti Trojan Win32 / Spy.Shiz.NCF


Vsebina članka:
  • Kako odstraniti C: \ Windows \ AppPatch iz sistemske mape virus ali trojanski program, ki ima svoje ime po klasifikaciji protivirusnega podjetja ESET - Win32 / Spy.Shiz.NCF, ki iz vašega računalnika krade gesla in podatke, mimogrede, da se virusna datoteka v operacijskem sistemu naključno ustvari in je lahko takšna: hsgpxjt.exe oz. Primer je matadd.exe in tako naprej. Sama mapa AppPatch je sistemska mapa, zato je ni treba brisati. 
  • Kako virus pride do našega računalnika.

Ravno včeraj me je prijatelj prosil, naj mu pomagam rešiti podobno težavo. Prijateljev Windows 7 se najprej zažene že dolgo, drugič deluje s hudimi zamrznitvami, nameščeni protivirusni program se že leto ne posodablja, saj je moj prijatelj preveč len, da bi obnovil naročnino. Zadnji razlog, ko se je moj prijatelj obrnil name, je bil, da njegova žena ni mogla priti do sošolcev.
Torej, prijatelji, najprej lahko v primeru takšnih težav uporabite obnovitev sistema ali zaženete računalnik z protivirusnega diska in skenirate celoten sistem za viruse, kako prenesti tak disk, ga zapisati na prazno in odstraniti viruse iz Windows, imamo več člankov po korakih : Kako brezplačno skenirati računalnik z virusi s protivirusnimi pogoni treh proizvajalcev.
Poskusili bomo odstraniti virus ročno, bolj zanimivo je. Vključimo računalnik mojega prijatelja, operacijski sistem se dejansko naloži kar nekaj časa, spomnimo se prvega pravila virusa, da se vključi v zagon, in nato izvede svoja uničevalna dejanja, mislim, da mu je uspelo.
Najprej preverite mapo Startup, a v njej ni ničesar
  C: \ Uporabniki \ Uporabniško ime \ AppData \ Gostovanje \ Microsoft \ Windows \ Start meni \ Programi \ Zagon 

Nato preverimo zagon s pomočjo vgrajene pripomočke Windows za upravljanje zagonskih programov, imenovanih Msconfig, pojdimo Začni->Teči, zaposlujemo msconfig

in tu ste neznani element s čudnim imenom userinit ki se nahaja v zagonu,

izvršljiva datoteka se nahaja na

C: \ Windows \ AppPatch \ matadd.exe.

To ime virusa matadd.exe sistem naključno ustvari, nanj se ne morete osredotočiti, v vašem primeru bo drugače, ampak veste, virus se dejansko imenuje Win32 / Spy.Shiz.NCF in je trojanec. Pojdimo v to mapo in jo poskusimo izbrisati, vendar na žalost, ko je virus aktiven, ne bomo uspeli ali pa boste izbrisali datoteko virusa, vendar se bo znova ustvarila v nekaj sekundah.
V oknu pripomočka msconfig počistite ta element userinit,

to pomeni, da ga bomo izključili iz zagona. Na žalost v večini primerov to ne bo pomenilo, da virus ob naslednjem zagonu operacijskega sistema ne bo več naložil datotek, saj virusne datoteke iz mape C: \ Windows \ AppPatch nismo mogli izbrisati..

Za uspešen boj proti virusu potrebujemo pomočnika, ki:

  • Najprej lahko pri zagonu pokažemo virusno datoteko
  • Drugič, pokazal nam bo spremembe, ki jih je virus vnesel v register
Če želite videti vse, kar se dogaja ob zagonu, potrebujete poseben program AnVir Task Manager ali drugo, na primer AutoRuns od Marka Russinoviča, oba sta brezplačna, predlagam uporabo pripomočka AnVir Task Manager, saj sem že dolgo nazaj opazil začetnike. Prenesite ga tukaj http://www.anvir.net/ in namestite.

Celoten opis dela s pripomočkom najdete v tem članku v našem članku Zagon programov v sistemu Windows 7 
Edino opozorilo, da na samem začetku namestitve NE izberete celotne namestitve, kot je priporočeno, ampak izberite Nastavitev parametrov in počistite vse, kar ne potrebujete, pustite samo naprej Zaženite upravitelja opravil AnVir (priporočeno) in dodajte ikono na namizje.

Po namestitvi programa ga zaženemo in vidimo takšno sliko, saj se v registru z virusom naredi kar pet sprememb. Označite in s tem odstranite spremembe, ki jih je virus v registru opravil.

Ugotovimo, koliko virusa je prodrlo v naš sistem. Pomaknite miško nad imenom ključa virusa Obremenite, z desno tipko miške kliknite in v meniju izberite Go-> Prikaži datoteko v Raziskovalcu

 in takoj v našo mapo z virusno datoteko C: \ Windows \ AppPatch \ matadd.exe.

Ogledamo si tudi lokacijo vnosov virusov v registru. Vidimo, da je virusni program v dveh oddelkih registra spremenil spremembe, podrobno pogledamo in takoj izbrišemo.
Z desno tipko miške kliknite tipko, ki jo je ustvaril virus. Obremenite in izberite v meniju Go-> Odprite mesto vpisa v registru. 


Oddelek
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Dodani dve tipki, izbrišite ju
Naložite REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Zaženite REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe 


Z desno tipko miške kliknite tipko, ki jo je ustvaril virus. userinit in izberite v meniju Go-> Odprite mesto vpisa v registru 


Oddelek
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
 Ključ je dodan, samo ga izbrišite
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Ko izbrišete registrske ključe, ki jih je ustvaril virusni program, jih bo virus takoj poskusil znova ustvariti, na kar nas bo naš AnVir Task Manager takoj opozoril s tem oknom, kliknite Izbrišiin zaščita registra.

Če ne bi imeli AnVir-ja ali podobnega, ne bi mogli preprečiti ustvarjanja novih virusnih ključev v registru.
Po brisanju teh vnosov v registru bodite pozorni na to, kako izgleda naš zagon, v njem ni ničesar, razen našega programa AnVir Task Manager..

Vendar to niso vsi prijatelji, zdaj moramo preveriti celoten register glede imena našega virusa matadd.exe, kliknemo registrski ključ, ki ga HKEY_LOCAL_MACHINE še nismo pogledali z desnim gumbom miške in izberemo Poišči, vnesite iskalno polje za ime našega virusa matadd.exe in kliknite Najdi naprej

in taki ključi so v registrskem ključu, ki je odgovoren za možnosti zagona operacijskega sistema - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  • Opomba: Virus je spremenil ključe, ki so odgovorni za nalaganje sistema, vendar so ključi v celoti sistem in userinit iz registra ni mogoče izbrisati, kot v prejšnjih primerih, iz njih morate izbrisati napačne parametre:
Sistem REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe 

 


Mora biti tako
Sistem REG_SZ
 Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,

 izbrišite preostalo, naša dve nastavitvi registra pa morata izgledati tako. 

Po čiščenju registra zagotovo znova zaženemo in preprosto izbrišemo virusno datoteko matadd.exe iz mape C: \ WINDOWS \ apppatch.

Ogledamo si tudi mape začasnih datotek, od koder virusi pogosto vodijo izvršljive datoteke..

C: \ USERS \ username \ AppData \ Local \ Temp, mimogrede izbrišite vse iz mape Temp.

Ponavadi je koren sistemskega pogona (C :). In seveda morate preveriti celoten sistem s svojim protivirusom. Ali pa naložite protivirusni pripomoček Dr.Web CureIt ali Microsoftove protivirusne pripomočke. 

Zdaj lahko rečemo, da smo svoj operacijski sistem rešili pred virusom, ne da bi se sploh zatekli k varnemu načinu. Če ne morete izbrisati virusne datoteke iz mape C: \ Windows \ AppPatch, potem registra niste popolnoma očistili, ste nekaj zamudili.
Vse lahko tudi poenostavite., odstranite virus iz mape C: \ Windows \ AppPatch tako, da se zaženete s katerega koli CD-ja v živo, in nato očistite register.
Vse to je dobro, vendar bo veliko uporabnikov postavilo vprašanje: Kako je virus prešel v mapo C: \ Windows \ AppPatch?
Prijatelji skoraj vseh virusov prihajajo k nam iz interneta, zato bodite pri prenosu ničesar previdni, da ne boste nikoli izklopili glave. Vzemimo za primer dve pismi, katere vsebino sem citiral na začetku članka, so bili naši bralci skoraj prepričani, da ne prenašajo tistega, kar je potrebno, vendar so zadevo vseeno pripeljali do konca in ujeli virus. Brezplačen sir samo v lovilcu.
Če za študijo potrebujete katero koli knjigo, pomislite na njenega avtorja, saj si je pisatelj vzel čas zase in svojo družino, da bi jo lahko napisal za vas in še vedno lahko kupil. 
No, na koncu nekaj želja. Nikoli ne izklopite obnovitve sistema. Drugič, vedno imejte v svojem računalniku običajen protivirusni program, seveda z najnovejšimi posodobitvami baz podatkov. Občasno ustvarite varnostne kopije operacijskega sistema. Ne delajte pod skrbniškim računom računalnika; ustvarite si račun z omejenimi pravicami.