Как найти вирус в реестре windows 10


В реестре хранятся вирусы — чистим его!

Доброго времени суток, друзья. Я вот много пишу о борьбе с разными вредоносными программами, которые блокируют запуск системы, замедляют работу компьютера, отображают рекламу в браузерах. Но удаление зараженных файлов и процессов – это лишь вершина айсберга. Необходимо выполнять более глубокое сканирование. Хотите узнать, как проверить реестр на вирусы? Данная статья полностью посвящена этой теме.

Что такое реестр?

Это своего рода база данных, которая содержит массив атрибутов и значений, отвечающих за конфигурацию Windows и установленных приложений. Также, там храниться информация об учётных записях пользователей.

Когда Вы деинсталлируете софт, то в реестре остаются следы. В статье про оптимизацию работы ПК я писиал об этом. К примеру, после удаления графического редактора Photoshop я обнаружил немного «мусора»:

А после использования утилиты для поиска рекламных вирусов Anti-Malware (от Malwarebytes) было найдено множество ключей, которые пришлось почистить вручную:

Представьте, сколько подобного «хлама» может собраться за месяц, год. И всё это замедляет систему, потребляя ресурсы ПК.

А Вы не задумывались, почему компания Microsoft до сих пор не создала собственного инструмента для сканирования реестра на ошибки?

Хорошо, что есть доступ к утилите «regedit», где можно самостоятельно отыскать неиспользуемые записи и удалить их. Это также очень эффективный способ для выявления вирусов (точнее последствий их активности).

Вообще-то, реестр не может содержать трояны и прочие вредоносные скрипты, но в нём могут храниться измененные записи, влияющие на работоспособность системы. Вирусы могут влиять на автозагрузку, выполнение процессов и т.д. С этим нужно бороться, согласны?

С чего начать?

К реестру мы обязательно вернемся. Сначала я вкратце напомню, что следует делать при обнаружении «заразы». О симптомах и проявлениях читайте в этой статье.

Полное сканирование системы

Для этой цели подойдет разный защитный софт. Наилучшим образом себя проявляет KIS (Internet Security от Kaspersky Lab). Это комплексный инструмент, который я не хочу сейчас расхваливать. Его преимущества всем и так давно известны.

Если нет желания платить деньги за качественную проверку, то в качестве альтернативы советую скачать свеженькую версию Cure It! от Доктор Веб.

После запуска обязательно выберите все объекты сканирования:

Конечно же, данный способ не даёт 100%-ой гарантии успеха, но большинство угроз будут удалены. Останется только обезвредить их и перезапустить компьютер.

Автоматический поиск в реестре

Если после вышеупомянутых шагов (сканирования с помощью антивируса nod32 или любого другого подобного софта) поведение ПК всё еще остается загадочным, то следует выполнить очистку конфигурационной базы данных.

С этой задачей могут справиться разные приложения. Но если Вы не хотите устанавливать «прожорливые» комплексные утилиты, то достаточно будет скачать и запустить программу CCleaner.

Уже более пяти лет я использую именно это ПО из-за его простоты и удобства. Иногда тестирую другие продукты аналогичного типа, но в итоге возвращаюсь к данному оптимизатору.

  • После открытия следует перейти во вкладку «Реестр» (слева), затем кликнуть по кнопке «Поиск…»:

  • Отобразится список ошибок. У меня он оказался небольшим, так как проверку выполняю почти ежедневно. У Вас может быть несколько сотен пунктов, если ни разу не выполняли чистку.

  • После нажатия на «Исправить…» появится окно с предложением создать резервную копию перед очисткой. Соглашаемся и указываем путь сохранения:

  • Будет создан файл с расширением «reg», который, в случае возникновения ошибок после чистки, поможет восстановить удачную конфигурацию.
  • Теперь выбираем пункт «Исправить отмеченные» в открывшемся окне:

Cкачать Ссleaner для Windows на русском >>>

Вот и всё. Реестр почищен. Ошибки устранены.

Ручная проверка

Даже самый лучший Касперский антивирус не способен устранять все последствия «жизнедеятельности» вирусов. Придётся немножко поработать руками и головой. Впереди – увлекательное путешествие в мир редактора реестра.

Эта программа запускается очень просто. Достаточно набрать в консоли «Выполнить» (Win + R) следующую команду:

Regedit

Ответственность за дальнейшие действия лежит исключительно на Вас! Я подскажу универсальный способ, но каждая ситуация индивидуальна и требует особого подхода и повышенной внимательности!

Если в чем-то сомневаетесь, обязательно задавайте вопросы мне или ищите ответы через поисковые системы.

Я покажу пример проблемы, с которой пришлось столкнуться не так давно. Мне удалось устранить вирус, который запускался из папки Windows \ AppPatch с помощью файла «hsgpxjt.exe». Решить проблему помог Dr. Web, но после очередного запуска ПК на экране отобразилось окно ошибки.

Всё указывало на то, что в реестре (разделе автозагрузки) остались следы этого скрипта. Откровенно говоря, CCleaner не помог (увы, он тоже не всесилен). Что я сделал?

HKEY_CURRENT_USER\ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
  • Удалил ключи в разделах «Load» и «Run»:

  • Перезагрузил ОС и сообщение исчезло!

Возможно, Вам придется потратить больше времени, если вирус оставил множество следов. Но так будет надежнее.

Кстати, многие «умники» предлагают сервисы, которые способны проверять реестр на вирусы в режиме «онлайн». Отвечу, что это невозможно. Не верите? Можете прочесть мою статью об утилитах для сканирования ПК через интернет. Там много интересного и полезного.

На этом извольте откланяться. Все вопросы и пожелания можете писать в комментариях. Я не обещаю поддержку 24/7, но обязательно отвечу всем оперативно и, по существу.

С уважением, Виктор

it-tehnik.ru

Разбираемся в Windows 10 с вирусами

Microsoft приложили максимум усилий, чтобы сделать Windows 10 самой безопасной операционной системой среди всего ряда оконных ОС. Одним из первых шагов к этому был брандмауэр, который появился еще в XP. C выходом Виндовс 8 разработчики внедрили в саму операционную систему антивирусную программу, которая с легкостью обнаруживает вирусы и препятствует заражению компьютера. Сегодня рассмотрим, каким образом в Windows 10 реализована защита от вирусов.

Защита Виндовс

Известны три распространённых пути, по которым вирусы попадают на компьютер:

  • съемные накопители – им вызван противостоять Защитник Windows;
  • сеть – здесь на страже стоит появившийся в XP файрвол;
  • интернет – при использовании браузера Edge у вирусов нет шансов заразить вашу систему благодаря совершеннейшим на данный момент механизмам защиты.

Особенностями защитника являются:

  • бесплатное распространение;
  • высокая степень обнаружения вирусов (~88%);
  • работа в фоне, из-за чего возникает масса вопросов (работает ли он, как запустить сканирование);
  • малое потребление системных ресурсов.

Для проверки работоспособности встроенного в Windows 10 антивируса необходимо выполнить следующие операции.

Вызываем «Параметры» посредством «Win+I» и идем в последний пункт «Обновление, безопасность».

В подразделе «Защитник Windows» смотрим его состояние. Если ничего не изменяли, ползунок будет переключен в положение «Вкл.».

Для запуска антивирусного приложения листаем список настроек вниз и жмем по ссылке «Использовать Защитник…».

Вскоре откроется окно приложения на домашней вкладке, где содержатся основные сведения: статус или состояние, версия продукта и время последнего сканирования. Здесь же, правее, расположен фрейм, отвечающий за проверку системы:

  • быстрое – проверяются самые подверженные заражению области (ОЗУ, объекты автозапуска, системный файлы);
  • полное – проверит все файлы Виндовс 10;
  • особое – предоставит возможность сделать выбор мест для проверки на вирусы.

Посмотрите ещё:  Как зарезервировать себе Windows 10

Выбираем последний вариант и жмем «Проверить сейчас». При помощи флажков отмечаем диски и каталоги, которые могут содержать вредоносное ПО и потенциально зараженные файлы.

По завершению проверки на вирусы ее результаты отобразятся в отдельной форме главного окна программы.

Во вкладке «Обновить» можно загрузить актуальную редакцию утилиты, а «Журнал» содержит данные о найденных и устраненных угрозах.

Средство устранения вредоносных программ

Кроме антивируса и файрвола, Майкрософт разработали приложение для удаления вредоносного ПО в Виндовс 10. Его отличие состоит в том, что софт работает не постоянно, а запускается пользователем с целью проверить систему на вирусы и/или обезвредить их в случае наличия.

  • Переходим на страницу загрузки программы и выбираем язык продукта.

Средство обновляется каждый месяц, потому для следующего сканирования компьютера с Виндовс 10 обязательно загружайте новую версию программы.

  • Запускаем загруженный файл и кликаем «Далее» для одноразового запуска проверки.

  • Выбираем удовлетворяющий вариант проверки, значение которого кратко поясняется выше, и жмем «Далее».

При выборе последнего варианта необходимо указать объекты для проверки.

  • Дожидаемся окончания операции, наблюдая за ее прогрессом, или свертываем окно и занимается своими делами.

  • По завершению выбираем, что необходимо сделать с обнаруженными угрозами или закрываем окно средства для устранения вредоносных программ в Виндовс 10.

Отключаем Защитник Виндовс

Если не доверяете программам от Майкрософт, они не удовлетворяют ваши запросы, не нравятся или по ряду других причин хотите отключить их, данный раздел поможет сделать это несколькими путями.

Через «Параметры»

  • Вызываем новое окно настроек Windows 10 при помощи пиктограммы в Пуске, его контекстного меню или комбинации клавиш «Win+I».
  • Идем в раздел «Обновление, безопасность» и кликаем по пункту «Защитник…».

Посмотрите ещё:  Запуск Windows 10 на слабом компьютере

  • Переносим требуемые переключатели в положение «Откл.» и закрываем окно.

Кроме защиты в реальном времени, приложение также отправляет Майкрософт массу информации о найденных угрозах, сканированных объектах.

При длительном отключении функции Windows 10 автоматически активирует защиту, поэтому с целью деактивации приложения на постоянной основе воспользуйтесь иными способами: через реестр и редактор групповых политик.

Через реестр

В Windows 10 практически все настройки хранятся в ее реестре. Потому изменить параметры защитника можно путем изменения значений соответствующих ключей.

  • Вводим «regedit.exe» в поисковой строке.
  • Переходим по пути: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender.
  • При наличии параметра «DisableAntiSpyware» изменяем его значение на «1» или создаем параметр DWORD32 с таким именем и значением.

Через редактор групповых политик

В целом, метод аналогичный предыдущему с тем лишь отличием, что значение ключа «DisableAntiSpyware» изменяется более понятным новичку образом.

  • Вводим «gpedit.msc» в поиск, жмем «Enter».
  • Переходим в каталог «Административные шаблоны» в конфигурации компьютера.
  • Открываем «Компоненты Windows».

  • Находим «Endpoint Protection», кликаем по нему дважды и перемещаем чекбокс к надписи «Включено».

После деактивации защитника обязательно установите антивирусную программу!

Включение Windows Defender осуществляется аналогичным с его отключением образом (в первом случае ставим «0» в качестве значения параметра, во втором – активируем пункт «Отключено»).

(Visited 6 650 times, 11 visits today)

windowsprofi.ru

Как легко избавиться от вирусов в реестре

Опубликовано: 2017-01-10 / Автор: Виктор Трунов

Что делать в случае, когда обычного метода проверки компьютера с помощью обычного антивирусного ПО бывает недостаточно? Казалось бы, проверили пк, полностью очистили от мусора и вредоносного ПО, но через определенное время,  угроза появилась снова.

Для начала необходимо понять, что вирусов в реестре не бывает, но в нем может храниться запись, содержащая ссылку на сам исполняемый зараженный файл.

А это значит, что наш защитник не полностью справился со своей задачей и отыскал не все угрозы.

Итак, как же найти и удалить вирусы в реестре? Давайте разберем 4 основных способа и остановимся на каждом более подробно.

Dr.Web CureIT

В первую очередь необходимо провести полное сканирование системы с помощью бесплатного сканера от веба. Очень эффективное решение, проверен временем и никогда меня не подводил, находит и удаляет практически все, не требует установки, не конфликтен по отношению к установленным антивирусным программам.

Microsoft Malicious Software

Эффективный, бесплатный сканер от компании Microsoft. Можно использовать как дополнительное средство для очистки реестра. Установка не требуется, работает на Виндовс.

Как пользоваться:

  1. Скачать с оф.сайта и произвести запуск;
  2. Выбрать тип проверки «Полная»;
  3. Дождаться ее окончания и удалить найденные угрозы;

Дополнительно можно использовать и другие утилиты, о которых я писал ранее в этой статье.

Используйте любой софт и не переживайте за свою «купленную» лицензию, она не слетит!

Поиск с помощью программы

После деинсталляции программ в реестре остаются от них следы и время от времени необходимо проводить полную проверку системы,  удалять неверные записи и исправлять ошибки.  В этом нам поможет программа Ccleaner.

Для этого:

  1. Скачиваем с оф.сайта, инсталлируем и запускаем;
  2. Переходим в раздел «Реестр» и производим Поиск;
  3. После, отобразится перечень ошибок и кликаем «Исправить»;
  4. И здесь нам предложат предварительно создать бэкап, соглашаемся и сохраняем. Чтобы в случае падения ОС, была возможность восстановить;
  5. Кликаем «Исправить отмеченные»;

Работает как на Windows 10, так и на Xp. После выполнения не сложных действий, реестр будет очищен от угроз. Способ эффективен так же и при удалении вирусов в браузере.

Самостоятельная проверка

Ручная проверка – это еще один способ эффективного поиска и очистки системы от рекламных и прочих угроз. В идеале, для борьбы с вирусами, нужны хотя-бы минимальные знания системы. Но справиться можно и без них.

Для того, чтобы произвести очистку реестра от вирусов , выполняем следующие шаги, на примере в Windows 7(64 bit):

Помните, что Все действия необходимо проделывать с особой осторожностью, дабы не повредить работоспособность ОС.

  1. Нажимаем и выполняем команду Regedit;
  2. Открываем раздел: HKEY_LOCAL_MACHINE, после чего идем в «Software\Microsoft\WindowsNT\CurrentVersion», далее в категории Winlogon находите запись с названием «Shell» и смотрим, чтобы значение для нее стояло «explorer.exe», если стоит еще что-то, то убираете лишнее;
  3. В этой же ветке находим пункт «Usernit» она должна ссылаться на свой исполняемый файл «Расположение/userinit.exe», если кроме этого, выставлено что-то еще, убираете лишнее;
  4. Следующим шагом будет перейти в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion»,  открываем раздел Run, отвечающий за автозагрузку, убрать можно все, например, кроме антивируса;
  5. В данной категории «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run» выполняем те же действия, что и в 4-ом пункте.

Для применения всех внесенных правок, следует выполнить перезагрузку компьютера.

Таким образом, мы проверили и почистили реестр компьютера от вирусов (баннеров, казино вулкан, маил), в том числе и от тех, которые размножают записи.

Для полноценной защиты пк, рекомендую использовать комплексные антивирусы. О их преимуществах было рассказано в предыдущей статье.

Для того, чтобы обезопасить свое устройство, независимо от того, что это пк, ноутбук, нетбук или обычный смартфон — лазия по всемирной паутине, скачивайте ПО только с оф.сайтов, а не с файлообменников или откуда либо еще.

Еще несколько способов разобраны в этом видео

Оцените статью:

Как легко избавиться от вирусов в реестре

Оцените статью:

onoutbukax.ru

Как проверить компьютер Windows 10 на вирусы

 Привет ! Сегодня я покажу вам как проверить свой компьютер Windows 10 на наличие вирусов. Многие забывают о том, что компьютер нуждается в постоянной защите и проверке на наличие вирусов и программ-шпионов. Если вы не проверяете свой компьютер, то вероятность того, что ваш компьютер может быть заражён, возрастает в разы.

В нижнем левом углу экрана откройте меню «Пуск». В открывшемся окне нажмите на вкладку или значок — Параметры.

Далее, на странице «Параметры» нажмите на вкладку — Обновление и безопасность.

Далее, на странице «Обновление и безопасность», слева в боковой панели, перейдите на вкладку — Защитник Windows. Вверху страницы нажмите на кнопку — Открыть Защитник Windows.

Далее, у вас откроется окно защитника. Обратите внимание, в окне должен отображаться зелёный цвет — это значит ваш компьютер защищён. Также должно быть включено:

— Защита в реальном времени.

— Определения вирусов и программ-шпионов.

Если у вас в окне отображается жёлтый или красный цвет, вам нужно срочно сделать проверку компьютера ! Вам доступно три типа проверки:

— Быстрая. При быстром сканировании проверяются области наиболее вероятного заражения вредоносным программным обеспечением, включая вирусы, шпионские и нежелательные программы.

— Полная. При полном сканировании проверяются все файлы на жёстком диске и все выполняющиеся программы. В зависимости от системы такое сканирование может занять больше часа.

— Особая. Проверяются только выбранные вами расположения и файлы.

После запуска, у вас начнётся процесс проверки компьютера на наличие вирусов и шпионских программ. Дождитесь окончания процесса.

Далее, на вкладке «Обновить» вы можете проверить обновления защитника. Для защиты вашего компьютера определения вирусов и программ-шпионов автоматически обновляются.

Обратите внимание ! Защитник Windows автоматически следит за всеми файлами, которые вы скачиваете из интернета. Если файл является угрозой, то защитник автоматически удалит его и заблокирует его загрузку на ваш компьютер.

 Защита системы Windows 10 !

Остались вопросы ? Напиши комментарий ! Удачи !

Как проверить компьютер Windows 10 на вирусы обновлено: Май 28, 2017 автором: Илья Журавлёв

info-effect.ru

Где прячутся вирусы

Как найти вирус

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они или их необходимая часть загружалась тоже. Для этого они вносят изменения в реестр Windows. В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Она позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как  msconfig можно использовать утилиту XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Приложение удаляет информацию сразу и в реестре.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например  RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и удаляется.

2. Вместо проводника

Это очень распространенный случай, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную ерунду.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного DVD или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить «ерунду» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска ОС. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вири могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных  по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими

Вирус может прописать себя например так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к зараженному файлу и удалить его!

После удаления нужно заменить  userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные  из дистрибутива ОС (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.

Где находятся вирусы

После нужно проверить hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

и

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с не присвоенным значением.

Вконтакте

Facebook

Twitter

Google+

Одноклассники

Мой мир

E-mail

increaseblog.ru


Смотрите также