В данной статье Вы найдёте подробная пошаговая инструкция: как удалить вручную компьютерный червь Net-Worm.Win32.Kido (также известный как W32.Downadup.B и Win32/Conficker.B).
-
Войдите в систему с локальной учетной записью
Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Благодаря этому Вредоносные программы могут распространяться.
-
2.1. В зависимости от системы выполните одно из описанных ниже действий:
— В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.
AT /Delete /Yes
— Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия:
как удалить вирус майнер за 1 минуту
Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра.
Это позволит восстановить реестр при возникновении неполадок.
- 4.1. Нажмите кнопку Пуск, введите значение regedit в поле Начать поиск и выберите пункт regedit.exe в списке Программы.
- 4.2. Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule - 4.3. В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить
- 4.4. В поле Значение введите 4 и нажмите кнопку ОК.
- 4.5. Закройте редактор реестра и перезагрузите компьютер.
Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен.
Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства.
Примечание. В приведенном ниже списке все записи являются допустимыми. Их не следует удалять. Запись, которую необходимо удалить, имеет случайным образом созданное имя и находится в конце списка:
КАК УДАЛИТЬ ВСЕ ВИРУСЫ НА КОМПЬЮТЕРЕ??? #shorts
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
EventSystem
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Sacsvr
Schedule
Seclogon
SENS
Sharedaccess
Themes
TrkWks
TrkSvr
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
WmdmPmSN
xmlprov
AeLookupSvc
helpsvc
axyczbfsetg
- 11.1. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost - 11.2. Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.
- 11.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
- 11.4. В диалоговом окне Дополнительно нажмите кнопку Добавить.
- 11.5. В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение все и выберите команду Проверить имена.
- 11.6. Нажмите кнопку ОК.
- 11.7. В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.
- 11.8. Дважды нажмите кнопку ОК.
- 11.9. На запрос системы безопасности ответьте Да.
- 11.10. Нажмите кнопку ОК.
- 12.1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBadServiceName
Например, найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgzqmiijz - 12.2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
- 12.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
- 12.4. В диалоговом окне Дополнительные параметры безопасности установите флажки:
- Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
- Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам
- 13.1. Дважды щелкните параметр ServiceDll.
- 13.2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
%SystemRoot%System32emzlqqd.dll
Измените ссылку, чтобы она выглядела следующим образом:
%SystemRoot%System32emzlqqd.old
- 14.1. В редакторе реестра найдите и выберите следующие подразделы:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun - 14.2. В обоих подразделах найдите параметр, имя которого начинается с rundll32.exe, обращающийся к вредоносной библиотеке DLL, которая загружается как ServiceDll, обнаруженной в действии 13.2. Удалите параметр.
- 14.3. Закройте редактор реестра и перезагрузите компьютер.
[autorun]
shellexecute=Serverssplash.hta *DVD*
icon=Serversautorun.ico
reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
- 19.1. В действии 13.2. нужно было запомнить путь к библиотеке DLL для вредоносной службы. Пусть, например, этот путь выглядит следующим образом:
%systemroot%System32emzlqqd.dll[/i]
В проводнике Windows откройте каталог %systemroot%System32[/i] или каталог, содержащий вредоносную программу. - 19.2. В меню Сервис выберите команду Свойства папки.
- 19.3. Перейдите на вкладку Вид.
- 19.4. Установите флажок Показывать скрытые файлы и папки.
- 19.5. Нажмите кнопку ОК.
- 21.1. Щелкните файл библиотеки DLL правой кнопкой мыши и выберите команду Свойства.
- 21.2. Перейдите на вкладку Безопасность.
- 21.3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.
- 21.4. Нажмите кнопку ОК.
-
24.1. В зависимости от системы установите одно из обновлений, перечисленных ниже.
— Если на компьютере установлена операционная система Windows 2000, Windows XP или Windows Server 2003, установите обновление 967715. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
http://support.microsoft.com/kb/967715/[/i]
— Если на компьютере установлена операционная система Windows Vista или Windows Server 2008, установите обновление для системы безопасности 950582. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
http://support.microsoft.com/kb/950582/[/i]
reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v «Windows Defender» /t REG_EXPAND_SZ /d «%ProgramFiles%Windows DefenderMSASCui.exe –hide» /f
netsh interface tcp set global autotuning=normal
- Одно из расположений автозапуска не было удалено. Например, не было удалено задание автозапуска или не был удален файл Autorun.inf.
- Неправильно установлено обновление для системы безопасности MS08-067.
Вредоносные программы могут изменять другие настройки, не описанные в данной статье базы знаний. Другие сведения о черве Conficker см. на следующей веб-странице: Net-Worm Kido.
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
источник:
microsoft.com
- Как остановить распространение червя Kido (aka Downadup и Conficker)?
- W32.Redlofs
- Как включить, блокировать и удалить все файлы cookies в Chrome, IE, Firefox .
- Блокировка всплывающих окон в Internet Explorer: вопросы и ответы
- Worm: Win32/Taterf.B
Источник: www.securrity.ru
Как удалить сетевого червя
Сетевой червь является разновидностью вредоносных программ. Его можно «подцепить» на компьютер, посещая различные интернет-ресурсы. Одним из основных признаков сетевого червя является блокировка антивирусной программы, а также невозможность посетить официальные сайты разработчиков антивирусного программного обеспечения. Это крайне неприятное вредоносное ПО. И конечно же, при первых симптомах заражения компьютера данным вирусом нужно предпринять меры, чтобы от него избавиться.
Статьи по теме:
- Как удалить сетевого червя
- Как удалить Win32
- Как убрать с компа Win32
Вам понадобится
- — компьютер;
- — утилита KKiller;
- — утилита доктора Зайцева.
Инструкция
Для удаления сетевого червя вам понадобится утилита KKiller. Она абсолютно бесплатная. Скачайте программку из интернета. Распакуйте архив с ней в любую папку. Инсталлировать утилиту не требуется, ее можно запустить прямо из папки.
Если к вашему компьютеру подключены флеш-накопители, то следует извлечь их. Также отключите на время антивирусную программу.
После этого запустите программку KKiller. Она начнет сканирование персонального компьютера. Утилита заблокирует активное заражение файлов, просканирует оперативную память ПК, а также очистит системный реестр. Во время процесса сканирования никаких других операций на компьютере лучше не совершать.
Когда сканирование будет завершено, то в окне будет написано «Нажмите любую клавишу». Соответственно, это и нужно сделать. После этого обязательно совершите перезагрузку ПК.
Следующая антивирусная программа, которая поможет решить проблему, называется утилита доктора Зайцева. Она также является бесплатной. Найдите ее в интернете, скачайте и распакуйте в любую папку. Эта утилита также не нуждается в установке. Запустите ее.
В основном меню программы найдите раздел «Методика лечения». В нем снимите флажок напротив строки «Выполнять лечение». Далее в этом же меню нажмите «Файл», после чего выберите «Запустить сканирование». Теперь вам необходимо дождаться завершения процесса сканирования. Его результаты отображаются в протоколе. Отчет о результате будет представлен в самом низу этого протокола.
Если утилите удастся обнаружить сетевого червя, то он будет удален из вашей системы.
Перезагрузите компьютер. После этого рекомендуется проверить систему с помощью обычной антивирусной программы.
Источник: www.kakprosto.ru
Удали Это
Удаление навязчивых программ и вирусов. Видео и текстовые инструкции.
Страницы
- Блог
- Рекомендуемые программы
четверг, 22 августа 2013 г.
Как удалить червя Win32.Dorkbot
Что же такое Win32.Dorkbot?
Win32.Dorkbot семейство IRC червей (черви распространяющиеся через протоколы мгновенных сообщений), которые распространяются через съемные диски, программы обмена мгновенными сообщениями и социальные сети.
Разновидности Win32.Dorkbot могут обнаруживать и похищать имена пользователей и пароли фильтруя интернет трафик, могут блокировать веб-сайты, связанные с обновлениями безопасности. Он также может запустить DoS-атаку с вашего компьютера.
Вредоносная деятельность Win32.Dorkbot
- Открывает доступ (бэкдор) к вашему компьютеру.
- Внедряет вредоносный код в explorer.exe.
- Соединяется с удалённым хостом.
- Модифицирует системные файлы (regsvr32.exe, cmd.exe, rundll32.exe, regedit.exe, verclsid.exe, ipconfig.exe)
- Крадет конфиденциальную информацию со следующих сайтов: (4shared AOL Alertpay Bcointernacional BigString Brazzers Depositfiles DynDNS Facebook Fastmail Fileserve Filesonic Freakshare GMX Gmail Godaddy Hackforums Hotfile IKnowThatGirl Letitbit LogMeIn Mediafire Megaupload Moneybookers Moniker Namecheap Netflix Netload NoIP OfficeBanking Oron PayPal Runescape Sendspace Sms4file Speedyshare Steam Thepiratebay Torrentleech Twitter Uploaded Uploading Vip-file Whatcd Yahoo YouPorn YouTube eBay)
- Блокирует доступ к большинству антивирусных сайтов.
Как удалить Win32.Dorkbot?
Бесплатные программы
С лечением Win32.Dorkbot должен справится любой антивирус средней руки, не говоря уже о более продвинутых. Если ваш антивирус ничего не находит читайте дальше. Здесь же я опишу бесплатные и платные специализированные средства удаления этого компьютерного червя от разных разработчиков.
1) ESET Dorkbot Cleaner — бесплатная утилита для удаления данного заражения. Скачать её можно здесь.
2) Kaspersky Virus Removal Tool — не совсем специализированное средство, но данный червь есть в базе данной утилиты. Скачать её можно здесь.
3) Microsoft Malicious Software Removal Tool — средство удаления вредоносных объектов от Microsoft. Также имеет в базе данное семейство червей. Большинство пользователей даже не подозревает, что уже имеют по рукой эту утилиту ведь для она устанавливается и обновляется вместе с обновлениями Windows. Для запуска достаточно набрать в поисковой строке (после нажатия кнопки Start (Пуск)) 3 буквы — mrt — найденный файл mrt.exe и запустит данную утилиту. Если же по каким то причинам она у вас не стоит скачайте её здесь.
Платные программы
Win32.Dorkbot Removal Tool — специализированное средство разработанное российской компанией Security Stronghold. Удаление в автоматическом режиме, оплата только в случае нахождения вредоносных файлов. Программа продаётся вместе с годовой тех. поддержкой и лицензией на антишпиона True Sword. Скачать можно здесь.
SpyHunter — сканер вредоносного ПО от американской компании Enigma Software Group. Удаление в автоматическом режиме, очень качественная полуавтоматическая система тех. поддержки (на английском). Находит и вычищает много дополнительных угроз которые не обнаруживаются классическими антивирусами. Скачать можно здесь.
Источник: udalieto.blogspot.com