N.B. Уважаемые пострадавшие! Я НЕ занимаюсь лечением "стрррашных вирусов", с которыми прекрасно справляются "мальчики за 300 рублей" в течение 5 минут. Убедительная просьба - НЕ обращайтесь, пожалуйста, с подобными мольбами о помощи! Я физически не смогу их выполнить. Если вы уверены, что ваша ситуация экстраординарна и вы при этом живете в Москве - пишите, договоримся. При этом выполнение ВСЕХ рекомендаций, перечисленных в статье, является обязательным.
Если вы хотите задать вопрос - пожалуйста, прочтите о том, как правильно задавать вопросы.
Спасибо за внимание.
Итак, на экране появилось окно, в котором тоном, не допускающим возражений, требуют отправить СМС на некий номер либо пополнить баланс неизвестного (а иногда - очень даже известного!) вам абонента. Или же не удается получить доступ к открывавшимся ранее сайтам (антивирусных компаний, социальных сетей и т.п.). Случается,что на экране возникают и картинки весьма фривольного содержания, а иногда можно заметить, как вдруг неизвестный "антивирус", о котором вы ничего не слышали, и который уж точно не устанавливали, начинает бойко сканировать вашу систему и сообщать о якобы найденных уязвимостях, которые (разумеется, за плату!) необходимо немедленно нейтрализовать. Проявления могут быть и иными - с фантазией у вирусописателей всё в порядке! Что же делать?
Во-первых, внимательно прочитать этот пост. Программы, перечисленные там, очень пригодятся в дальнейшем. И даже не думать отправлять кому-то СМС или деньги, тем самым стимулируя мошенников. Обещанный "код разблокировки", а также "антивирусную программу" вам никто не пришлет...
Во-вторых, выработать стратегию лечения. Здесь у нас несколько путей. Можно воспользоваться сайтами антивирусных компаний, где очень часто выкладываются соответствующие коды разблокировки:
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index
http://virusinfo.info/deblocker
Найдите там номер, по которому требуют отправить СМС или пополнить баланс - и код разблокировки у вас в кармане. Минусы - не всегда при заражении бывает полноценный доступ в Интернет (некоторые создатели троянов пытаются блокировать доступ на сайты антивирусных компаний), не всегда можно найти код разблокировки именно в вашем случае. Тогда перед нами возникает следующий путь, гораздо более увлекательный - вступить в интеллектуальное единоборство с автором зловреда, и победить его! Об этом более подробно - ниже.
В-третьих, выяснить, какие возможности нам доступны. Дело в том, что авторы многих троянов блокируют доступ к системным утилитам, облегчающим противостояние их детищу. Например, может оказаться заблокированным Диспетчер задач, чтобы нельзя было посмотреть список процессов и просто-напросто "убить" вирусный. Или редактор реестра (с той же целью), или даже они оба! Начнем рассмотрение с наилучшего для нас варианта: ничего не заблокировано, окно занимает часть видимого пространства, иконки рабочего стола видны.
Порядок действий: вызываем Диспетчер задач (комбинацией клавиш Ctrl+Alt+Del или Ctrl+Shift+Esc), щелкаем на вкладку "Процессы", желательно также включить отображение процессов всех пользователей. И начинаем внимательное изучение полученного списка. Зачастую вирусные процессы очень похожи своими названиями на "легальные", отличаются только последней буквой или другими незначительными деталями. Это делается намеренно, чтобы усложнить их поиск и замаскировать от неопытного пользователя. Поэтому повторюсь еще раз - будьте предельно внимательны! Желательно, конечно, заранее запомнить (а можно даже записать), какие процессы и приложения выполняются на компьютере в "здоровом" состоянии.
Итак, предположим, мы выявили "зловредный" процесс. Не торопитесь открывать шампанское! Ведь мы сделали с вами только половину работы... С этим процессом наверняка связан одноименный файл на вашем диске, причем очень вероятно, что вызов этого файла прописан в автозагрузку, т.е. при следующей загрузке компьютера вирус опять, как ни в чем не бывало, предстанет во всей своей красе. Чтобы свести вероятность такого развития событий к минимуму, необходимо убрать вызов этой программы из автозагрузки. Здесь 2 пути. Первый - очень легкий, второй - чуть сложнее. Начнем, как принято, с самого легкого.
В Диспетчере задач "убиваем" вирусный процесс.
Пуск - Выполнить (или сочетание клавиш Win+R) msconfig [Enter]. Клавиша Win обычно располагается в левом нижнем углу клавиатуры, на ней изображен флажок-эмблемка Microsoft. Идем на вкладку "Автозагрузка" и ищем там одноименный с процессом файл. Нашли? Прекрасно! Снимаем напротив него галочку, тем самым отменяя его загрузку. Смотрим, по какому пути он находится, идем туда и стираем сам файл.
Внимание! Файл может иметь атрибуты "скрытый", "системный" и не быть виден при обычных настройках Проводника. Поэтому нам нужно изменить настройки, чтобы скрытые и системные файлы отображались наряду со всеми остальными. Это делается в контекстном меню Проводника:
Сервис - Свойства папки - Вид. Ставим "галочку" напротив пункта "Отображать содержимое системных папок" (т.к. вирус может находиться и в них), снимаем ее же с пункта "Скрывать защищенные системные файлы", и выбираем пункт "Показывать скрытые файлы и папки". Всё! Теперь компьютер перед вами, как на ладони! Поэтому будьте осторожны, не сотрите чего-нибудь нужного! После уничтожения вирусного файла проделайте все операции в обратном порядке, в целях вашей же безопасности.
...Но зачастую в Автозагрузке вы ничего не найдете. На самом деле, автоматическое исполнение файлов происходит не только из автозагрузки, за это отвечают некоторые параметры и ветви реестра. Реестр - это своеобразная база данных, в которой операционная система хранит свои настройки. Поэтому при работе с ним будьте осторожны - ненужные изменения в реестре могут повлечь неработоспособность системы и необходимость ее переустановки. Итак, пришло время поговорить о чуть более сложном пути.
Запускаем редактор реестра. Пуск - Выполнить (Win+R) regedit [Enter]. И начинаем поиск (меню Правка - Найти) нашего файла. Нашли? Замечательно... Удаляем упоминания о нем из реестра (он может встретиться неоднократно, поэтому не прерывайте поиск после первого найденного вхождения).
На этом работу можно в целом считать законченной. В качестве дополнения упомяну, что чаще всего (но не обязательно) вирусы помещают себя в папку Windows\temp (или другую, если переменные окружения TMP или TEMP модифицированы соотвествующим образом). Поэтому время от времени заглядывайте в нее и проводите "генеральную уборку".
Но зачастую ситуация не столь благоприятна. Обычно диспетчер задач оказывается заблокирован, а вирусный баннер закрывает весь рабочий стол, лишая нас возможности хоть как-то контролировать поведение системы. Однако баннер, закрывающий ваш экран - это всего-навсего картинка, "заглянув" за которую, можно проверить и почистить компьютер при помощи онлайн-сканера или скачав утилиту для удаления вирусов (см. пост выше). Итак, что можно и нужно делать? В любом случае - искать обходные пути!
Иногда получается разблокировать рабочий стол так: нажимать клавишу Win и пытаться правой кнопкой мыши вызвать меню подозрительного приложения на мигающей внизу панели задач и выбрать пункт "Закрыть окно". Или нажимать комбинацию клавиш Ctrl+Shift+Esc, и в это же время пытаться мышкой снять подозрительную задачу в мигающем диспетчере. Иногда баннер можно закрыть так: при загрузке системы часто нажимать комбинацию Alt+F4. Пробовать всё и в безопасном режиме!
На некоторых клавиатурах есть дополнительные клавиши для вызова приложений и функций - пробуем и их!
Пробуем стандартные сочетания клавиш Windows:
жмем Win+M - Свернуть все окна.
жмем Win+D - Отображение рабочего стола.
жмем Win+стрелка вниз - Свертывание окна.
жмем Win+E - Открытие компонента "Компьютер".
жмем Win+F - Поиск файла или папки.
жмем Win+R - Открытие диалогового окна "Выполнить".
жмем Win+PAUSE - Открытие диалогового окна свойств системы.
жмем Alt+F4 - закрыть активное окно... да, и такое бывает срабатывает!
Далее - запускаем редактор реестра или восстановление системы. Еще один вариант - запуск диспетчера служебных программ.
Нажмите клавиши Win+U. Этим сочетанием вы запускаете диспетчер служебных программ. Он имеет очень высокий приоритет, поэтому часто "всплывает" поверх любых вирусных окон. В появившемся диалоге выбираем и запускаем Экранную лупу.
В следующем окне выбираем "Открыть веб-узел майкрософт".
Откроется Internet Explorer. Половина дела сделана! Мы вышли в Интернет. Теперь просканируйте компьютер любым онлайн-сканером или скачайте программу сканирования. Например, хорошо зарекомендовали себя утилиты AVZ и CureIT.
Если эти программы уже сохранены на диске, то добраться к ним можно из Internet Explorer'a, введя в адресной строке вместо привычного http:// префикс file:///. Обратите внимание на три слэша после file. Например, чтобы получить доступ к корневому каталогу диска C:, необходимо набрать file:///c:/.
C помощью AVZ можно попробовать восстановить функциональность системы (разблокировать диспетчер задач, редактор реестра, восстановить загрузку в безопасном режиме и т.д.) из меню Файл -> Восстановление системы.
Простейшие скрипты, делающие схожие манипуляции, можно увидеть прямо здесь. Вам необходимо скопировать их "как есть" со страницы и сохранить в редакторе (Блокноте), задав произвольное имя и расширение .vbs (Меню Файл -> Cохранить как..., Тип файла -> Все файлы). Например, 1.vbs
Помните, что запускать скрипты или вводить команды следует с правами Администратора. Для того, чтобы открыть консоль (cmd) с правами Администратора, необходимо НАЙТИ файл cmd.exe и запустить его от имени Администратора.
Итак, скрипт, разблокирующий диспетчер задач, редактор реестра и запускающий оболочку (explorer.exe):
'; Скрипт начался. Скопировать строки ниже
set WSHShell = CreateObject("WScript.Shell")
On Error Resume Next
WSHShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe"
WSHShell.RegDelete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\"
WSHShell.RegDelete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger"
WSHShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools"
WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools"
WSHShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr"
WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr"
WSHShell.Run "%windir%\explorer.exe"
'; Скрипт закончен
Следующий скрипт немного сложнее, но и функциональнее. Скрипт восстанавливает:
* Реестр:
- запуск командной строки (cmd.exe)
- редактирование реестра (regedit.exe)
- запуск диспетчера задач (taskmgr.exe)
- запуск службы TCP/IP (WinSock2)
- запуск оболочки (explorer.exe, userinit.exe, logonui.exe, sysdm.cpl)
- открытие файлов (.exe и т.д.)
- свойства папки (показать скрытые файлы и т.д.)
* Файловая система:
- открытие дисков (удаляет autorun.inf в корне всех дисков)
'; Cкрипт начался. Скопировать строки ниже.
On Error Resume Next
Dim objShell, objFSO, Sel, Drv, SysDrive
Set objShell = CreateObject("Wscript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
'; Удалить autorun.inf на всех дисках
For Each Drv In objFSO.Drives
If objFSO.fileexists(Drv & "\autorun.inf") Then
Sel = MsgBox("Удалить autorun.inf (автозапуск) на диске " & Drv & "?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
objFSO.deletefile Drv & "\autorun.inf", True
End If
End If
Next
'; Проверить целостность системных файлов
Sel = MsgBox("Проверить целостность системных файлов (может требоваться дистрибутив)?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
Sel = objShell.Run("sfc /scannow", 1, True)
Wscript.sleep 5000
MsgBox "После проверки целостности системных файлов нажмите OK!", 64, "Восстановление системы"
End If
'; Зарегистрировать shell32.dll
objShell.Run "regsvr32 /s /i shell32.dll"
'; Зарегистрировать ole32.dll
objShell.Run "regsvr32 /s /i ole32.dll"
'; Восстановить запуск CMD
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD", 0, "REG_DWORD"
'; Восстановить запуск RegEdit
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 0, "REG_DWORD"
'; Восстановить запуск TaskMgr
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", 0, "REG_DWORD"
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\DisableTaskMgr", 0, "REG_DWORD"
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose", 0, "REG_DWORD"
'; Восстановить запуск WinSock2
objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\LibraryPath", "%SystemRoot%\System32\mswsock.dll", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002\LibraryPath", "%SystemRoot%\System32\winrnr.dll", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003\LibraryPath", "%SystemRoot%\System32\mswsock.dll", "REG_SZ"
'; Восстановить запуск explorer.exe
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe", "REG_SZ"
objShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\"
'; Восстановить запуск userinit.exe
SysDrive = objShell.ExpandEnvironmentStrings("%systemdrive%")
If objFSO.fileexists(SysDrive & "\WINDOWS\system32\userinit.exe") Then
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", SysDrive & "\WINDOWS\system32\userinit.exe", "REG_SZ"
End If
'; Восстановить запуск logonui.exe
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost", "logonui.exe", "REG_SZ"
'; Восстановить запуск sysdm.cpl
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet", "rundll32 shell32,Control_RunDLL " & """sysdm.cpl""", "REG_SZ"
'; Восстановить параметры открытия файлов
Sel = MsgBox("Восстановить параметры открытия файлов?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
'; *.exe
objShell.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\", """%1" & """ %*", "REG_SZ"
'; *.com
objShell.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\", """%1" & """ %*", "REG_SZ"
'; *.bat
objShell.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\", """%1" & """ %*", "REG_SZ"
'; *.cmd
objShell.RegWrite "HKEY_CLASSES_ROOT\cmdfile\shell\open\command\", """%1" & """ %*", "REG_SZ"
'; *.pif
objShell.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\", """%1" & """ %*", "REG_SZ"
'; *.reg
objShell.RegWrite "HKEY_CLASSES_ROOT\regfile\shell\open\command\", "regedit.exe " & """%1""", "REG_SZ"
'; *.txt
objShell.RegWrite "HKEY_CLASSES_ROOT\txtfile\shell\open\command\", "NOTEPAD.EXE %1", "REG_SZ"
'; iexplore.exe
If objFSO.fileexists(SysDrive & "\Program Files\Internet Explorer\iexplore.exe") Then
objShell.RegWrite "HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command\", Chr(34) & SysDrive & "\Program Files\Internet Explorer\iexplore.exe" & """ %1", "REG_SZ"
End If
End If
'; Восстановить свойства папки
Sel = MsgBox("Восстановить свойства папки?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", 0, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", 0, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Type", "group", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\Type", "radio", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue", 2, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue", 2, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type", "radio", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue", 1, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue", 2, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type", "checkbox", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\CheckedValue", 0, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue", 1, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\DefaultValue", 0, "REG_DWORD"
objShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\Type", "checkbox", "REG_SZ"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\CheckedValue", 1, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue", 0, "REG_DWORD"
objShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\DefaultValue", 1, "REG_DWORD"
End If
'; Показать скрытые и системные файлы
Sel = MsgBox("Показать скрытые и системные файлы?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\Hidden", 1, "REG_DWORD"
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\ShowSuperHidden", 1, "REG_DWORD"
Else
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\Hidden", 0, "REG_DWORD"
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\ShowSuperHidden", 0, "REG_DWORD"
End If
'; Показать расширение файлов
Sel = MsgBox("Показать расширение файлов?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\HideFileExt", 0, "REG_DWORD"
Else
objShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\HideFileExt", 1, "REG_DWORD"
End If
MsgBox "Для внесения всех изменений нужна перезагрузка!", 64, "Восстановление системы"
'; Перезагрузка
Sel = MsgBox("Перезагрузить компьютер?", 4 + 32, "Восстановление системы")
If Sel = 6 Then
Dim OpSysSet, obj
Set OpSysSet = GetObject("winmgmts:{impersonationLevel=impersonate,(Shutdown)}//./root/cimv2").ExecQuery("SELECT * FROM Win32_OperatingSystem WHERE Primary=true")
For Each obj In OpSysSet
'; Flags Action
'; 0 Logoff
'; 1 Shutdown
'; 2 Reboot
'; 4 Force
'; 8 Power Off
'; 16 Force If Hung
obj.Win32Shutdown (6) '; Reboot + Force
'; obj.Win32Shutdown(16) '; Logoff + Force
Next
End If
Set objShell = Nothing
Set objFSO = Nothing
Set OpSysSet = Nothing
Set obj = Nothing
Set Sel = Nothing
Set Drv = Nothing
Set SysDrive = Nothing
Wscript.quit
'; Скрипт закончен
Для Windows 7 можно воспользоваться родной, встроенной средой восстановления Windows RE (загружается самостоятельно, без загрузки ОС!)
Пробуем "Восстановление запуска", если не помогло - запускаем "Восстановление системы".
Для Windows XP иногда есть возможность загрузиться в безопасном режиме с поддержкой командной строки.
Загружаемся и в консоли набираем команду %systemroot%\system32\restore\rstrui.exe
(или C:\WINDOWS\system32\Restore\rstrui.exe, если Windows установлена по умолчанию), жмем ввод - запустится Мастер восстановления. Для Windows 7 и Vista вводим %systemroot%\system32\rstrui.exe
Если восстановление не удалось, но командная строка работает - можно пробовать запустить Проводник (в консоли - %SystemRoot%\explorer.exe или C:\WINDOWS\explorer.exe) или Редактор реестра (в консоли - %SystemRoot%\regedit.exe или C:\WINDOWS\regedit.exe) и исправить нужные нам параметры.
Если все вышеперечисленное не удалось, но командная строка работает - прямо в ней вводим последовательно строчки (внимательно! каждая строка REG ADD.... или REG DELETE.... - это одна команда, независимо от возможных переносов длинных строк в окне вашего браузера):
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
После каждой строчки - жмем ввод (Enter)! Потом пробуем перезагрузиться в нормальном режиме (пробуйте после первых двух).
Иногда встречаются ситуации, при которых запуск исполняемых файлов (*.com, *.exe, *.cmd, *.bat, *.vbs) тоже оказывается блокирован. В этом случае можно попробовать воспользоваться INF-файлом, который приведен ниже. Алгоритм действий - скопировать, вставить в Блокнот, сохранить с расширением .inf (например, unlock.inf). Затем можно установить этот файл, кликнув на нем правой кнопкой мыши и выбрав пункт Установить из открывшегося контекстного меню.
; Файл предназначен для снятия блокировки запуска exe/bat/cmd,
; разблокирования системных утилит и настроек.
; Этот файл является частью дистрибутива uVS [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]
; Copyright (c) Кузнецов Д.М. 2010.
; "Установить" файл (внести изменения в реестр) можно с помощью контекстного меню.
; Установка возможна и в случае блокриовки regedit.exe.
; Скрипт начался. Скопировать строки ниже
[Version]
Signature=$CHICAGO$
; Версия файла: 3.33
[DefaultInstall]
AddReg=Add.Settings
DelReg=Del.Settings
[Add.Settings]
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x10001,0x00000000
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x10001,0x00000001
HKCR,exefile\shell\open\command,"",0x0,"""%%1""" %%*"
HKCR,batfile\shell\open\command,"",0x0,"""%%1""" %%*"
HKCR,cmdfile\shell\open\command,"",0x0,"""%%1""" %%*"
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,0x10001,0x00000000
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0x00000000
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0x00000000
[Del.Settings]
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\start.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\startf.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sfc.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bat
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cmd
HKU,.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig
; Скрипт закончен
При проблемах с доступом к сайтам, т.е. если не удается, в частности, зайти на одноклассники, вконтакте и прочие, любимые офисным планктоном, фейсбуки следует:
1. Обязательно проверить содержимое файла hosts на наличие несанкционированных изменений.
Откройте меню Пуск -> Выполнить, введите команду %SystemRoot%\system32\drivers\etc\hosts или вставьте команду прямо в адресную строку проводника и откройте файл в Блокноте.
Содержимое файла должно выглядеть так (все лишнее - удалить!)
Для Win XP:
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
Для Windows 7:
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Учтите, что вирус может изменить расположение файла hosts - проверьте ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePathДОЛЖНО быть значение
%SystemRoot%\System32\drivers\etc.
2. Если в hosts чисто, но на сайты НЕ заходит - нужно удалить постоянные (статические) маршруты. Для этого в консоли (cmd) с правами Администратора выполните команду
route -f, при этом текущее соединение (если оно установлено) может прерваться, а также может потребоваться перезагрузка.
3. Откройте планировщик заданий и удалите неизвестные и/или подозрительные задания!
Для WinXP: Панель управления -> Назначенные задания
или
%windir%\tasks - из адресной строки проводника.
Для Win7: Панель управления -> Все элементы панели управления -> Администрирование -> Планировщик заданий
или
%windir%\system32\taskschd.msc - из адресной строки проводника.
4. Проверьте в настройках IE (Internet Explorer):
Свойства обозревателя->Подключения->Настройка и Настройка сети: возможно присутствие "левых" прокси-серверов! Удалите. Если вы используете другой браузер - также проверьте отсутствие неизвестных прокси.
Позже я расскажу, как действовать, если ситуация не столь благоприятна. Пост будет редактироваться и дополняться, следите за изменениями!
Здоровья Вам и Вашему ПК, до встречи на просторах Сети!
