マルウェアとは、侵入的または危険なプログラムです。
あらゆる記憶メディアからのデータ回復に最適なプログラム....
AVZ ウイルス対策ユーティリティは、以下を検出して削除するように設計されています。
このユーティリティは、TrojanHunter および LavaSoft Ad-aware 6 プログラムの直接の類似物であり、このプログラムの主なタスクは、SpyWare およびトロイの木馬プログラムを削除することです。
AVZ ユーティリティの機能 (標準の署名スキャナーに加えて) は次のとおりです。
これは、コンピューターをさまざまな感染から守るためのかなり大規模なキットです。
ウイルス対策プログラムは、悪意のあるソフトウェアを検出して削除したとしても、必ずしもシステムの機能を完全に復元するとは限りません。 多くの場合、ウイルスを除去した後、コンピュータ ユーザーは空のデスクトップ、インターネットへのアクセスの完全な欠如 (または一部のサイトへのアクセスがブロック)、マウスの機能不全などを受け取ります。 これは通常、悪意のあるプログラムによって変更された一部のシステムまたはユーザー設定がそのまま残っていることが原因で発生します。
このユーティリティは無料で、インストールせずに動作し、驚くほど機能的で、さまざまな状況で私を助けてくれました。 通常、ウイルスはシステム レジストリに変更を加えます(スタートアップへの追加、プログラム起動パラメータの変更など)。 システムを深く掘り下げてウイルスの痕跡を手動で修正しないようにするには、AVZ で利用できる「システムの復元」操作を使用する価値があります (このユーティリティはウイルス対策として非常に優れていますが、ディスクをチェックするのは非常に役立ちます)ウイルスの場合はユーティリティを使用します)。
リカバリを開始するには、ユーティリティを実行します。 次に、「ファイル」→「システムの復元」をクリックします。
そしてそのような窓が私たちの前に開きます
必要なボックスにチェックを入れて、「選択した操作を実行」をクリックします
HijackThis ユーティリティは、多くの設定、特に例外のリストをレジストリに保存します。 したがって、悪意のあるプログラムが HijackThis から身を偽装するには、その実行可能ファイルを除外リストに登録するだけで済みます。 現在、この脆弱性を悪用する既知の悪意のあるプログラムが多数存在します。 AVZ ファームウェアが HijackThis ユーティリティ例外リストをクリアする
SPI 設定の分析を実行し、エラーが検出された場合は、検出されたエラーを自動的に修正します。 このファームウェアは無制限に再実行できます。 このファームウェアを実行した後、コンピュータを再起動することをお勧めします。
このファームウェアは XP、Windows 2003、および Vista でのみ動作します。 その動作原理は、Windows に含まれる標準の netsh ユーティリティを使用して SPI/LSP および TCP/IP 設定をリセットおよび再作成することに基づいています。 注記! 工場出荷時設定へのリセットは、マルウェアを削除した後にインターネット アクセスに回復不能な問題が発生した場合にのみ使用してください。
どのファームウェアも、システムに損傷を与えることなく、連続して数回実行できます。 例外は、「5.デスクトップ設定の復元」(このファームウェアを実行すると、すべてのデスクトップ設定がリセットされ、デスクトップの色と壁紙を再選択する必要があります)と「10.デスクトップ設定の復元」です。 セーフモードでのブート設定の復元」 (このファームウェアは、セーフ モードでのブートを担当するレジストリ キーを再作成します)。
のように
のように
つぶやき
スイスアーミーナイフと同じくらい普遍的なプログラムがあります。 私の記事の主人公はまさにそんな「ステーションワゴン」です。 彼の名前は AVZ(ザイツェフ アンチウイルス)。 これの助けを借りて 無料ウイルス対策ソフトやウイルスを捕捉し、システムを最適化し、問題を修正することができます。
これがウイルス対策プログラムであるという事実についてはすでに説明しました。 ワンタイム ウイルス対策 (より正確には、ルートキット対策) としての AVZ の機能については、ヘルプに詳しく説明されていますが、プログラムの別の側面、つまり設定の確認と復元について説明します。
AVZ で「修正」できるもの:
また、これを使用して Windows のセキュリティ設定をチェックしたり (ウイルスからの保護を強化するため)、スタートアップをクリーンアップしてシステムを最適化することもできます。
AVZ のダウンロード ページがあります。
プログラムは無料です。
AVZ プログラムには、 とても Windows の動作に影響を与える多くの機能。 これ 危険な、間違いがあると、災害が発生する可能性があるためです。 何かを行う前に、テキストをよく読んでヘルプを行ってください。 記事の著者はあなたの行動に対して責任を負いません。
AVZ でのいい加減な作業を「すべて元に戻す」ことができるように、この章を書きました。
これは必須の手順であり、基本的に不注意な行為があった場合に備えて「逃げ道」を作成します。復元ポイントのおかげで、設定と Windows レジストリを以前の状態に復元することができます。
Windows 回復システムは、Windows ME をはじめとするすべてのバージョンの Windows に必須のコンポーネントです。 数回クリックするだけですべての問題を回避できるにもかかわらず、通常はそのことを覚えておらず、Windows やプログラムの再インストールに時間を無駄にしているのは残念です。
損傷が深刻な場合 (たとえば、一部のシステム ファイルが削除されている場合)、システムの復元は役に立ちません。 その他の場合 - Windows の構成が間違っていた場合、レジストリをいじった場合、Windows の起動を妨げるプログラムをインストールした場合、または AVZ プログラムを誤って使用した場合 - システムの復元が役立ちます。
作業後、AVZ はそのフォルダー内にバックアップ コピーを含むサブフォルダーを作成します。
/バックアップ- レジストリのバックアップ コピーがそこに保存されます。
/感染した- 削除されたウイルスのコピー。
/検疫- 疑わしいファイルのコピー。
AVZ の実行後に問題が発生し (たとえば、AVZ システムの復元ツールを軽率に使用し、インターネットが動作しなくなった)、Windows システムの復元で加えられた変更がロールバックされなかった場合は、フォルダーからレジストリ バックアップを開くことができます。 バックアップ。
に行きましょう [スタート] - [コントロール パネル] - [システム] - [システム保護]:
「システム」ウィンドウの「システム保護」をクリックします。
「作成」ボタンをクリックします。
復元ポイントの作成プロセスには 10 分かかる場合があります。 次にウィンドウが表示されます。
復元ポイントが作成されます。 ちなみに、これらはプログラムやドライバーのインストール時に自動的に作成されますが、常に作成されるわけではありません。 したがって、危険な操作(システムのセットアップ、クリーニング)を行う前に、トラブルが発生した場合に自分の先見の明を称賛できるように、復元ポイントをもう一度作成することをお勧めします。
システムの復元を起動するには、実行中の Windows から起動する方法と、インストール ディスクを使用する方法の 2 つのオプションがあります。
に行きましょう スタート - すべてのプログラム - アクセサリ - システム ツール - システムの復元:
始まります 別の復元ポイントを選択してくださいそして押します さらに遠く。復元ポイントのリストが開きます。 必要なものを選択してください:
コンピュータが自動的に再起動します。 ダウンロード後、すべての設定、レジストリ、およびいくつかの重要なファイルが復元されます。
Windows 7 または Windows 8 では「インストール」ディスクが必要です。入手先 (またはダウンロード) を記載しました。
ディスクから起動し(起動ディスクから起動する方法は書かれています)、次を選択します。
Windowsをインストールする代わりに「システムの復元」を選択してください
すべての操作を行う前に、ウイルスを駆除するなどしてください。 そうしないと意味がありません。実行中のウイルスが修正された設定を再び「破壊」します。
ウイルスによってプログラムの起動がブロックされた場合は、AVZ が役立ちます。 もちろん、AVZ 自体を起動する必要がありますが、それは非常に簡単です。
まず最初に行きます コントロールパネル- カテゴリを除く任意の表示タイプを設定します - フォルダー設定 - ビュー- チェックを外します 登録されたファイルタイプの拡張子を非表示にする - OK。ファイルごとに確認できるようになりました 拡大- 名前の最後のドットの後の数文字。 これは通常、プログラムの場合に当てはまります。 。EXEそして .com。 プログラムの実行が禁止されているコンピューターで AVZ ウイルス対策を実行するには、拡張子の名前を cmd または pif に変更します。
するとAVZが起動します。 次に、プログラムウィンドウ自体で、 ファイル - :
注意点:
1. .exe、.com、.pif ファイルの起動パラメータの復元(実際には、プログラムの起動の問題は解決されます)
6. 現在のユーザーのすべてのポリシー (制限) を削除する(まれに、ウイルスが非常に有害な場合、この項目はプログラムの起動の問題を解決するのにも役立ちます)
9. システムプロセスデバッガの削除(ウイルス対策ソフトでシステムをチェックしたとしても、ウイルスが残っている可能性があるため、この点に注意することを強くお勧めします。システムの起動時にデスクトップが表示されない場合にも役に立ちます)
アクションを確認すると、「システムの復元が完了しました」というテキストが表示されたウィンドウが表示されます。 あとはコンピュータを再起動するだけです。プログラムの起動に関する問題は解決されます。
かなり一般的な問題は、システムの起動時にデスクトップが表示されないことです。
打ち上げ デスクトップこれを行うことができます: Ctrl+Alt+Del を押し、タスク マネージャーを起動し、そこで を押します。 ファイル - 新しいタスク (実行...) -入力 エクスプローラー.exe:
わかりました- デスクトップが起動します。 ただし、これは問題に対する一時的な解決策にすぎません。次にコンピュータの電源を入れるときに、すべてを再度繰り返す必要があります。毎回これを行わないようにするには、プログラム起動キーを復元する必要があります。 冒険者(「エクスプローラー」。フォルダーの内容の標準的な表示とデスクトップの操作を担当します)。 AVZ でクリック ファイル- アイテムにマークを付けます
マークされた操作を実行する、アクションを確認し、 を押します わかりました。これで、コンピュータを起動すると、デスクトップが通常どおり起動します。ウイルスによって上記 2 つのプログラムの起動がブロックされている場合は、AVZ プログラム ウィンドウから禁止を解除できます。 次の 2 点を確認してください。
11.タスクマネージャーのロックを解除する
17. レジストリエディタのロックを解除する
そして押します マークされた操作を実行します。
プログラム AVZコンピュータから不要なファイルをクリーンアップする方法を知っています。 コンピュータにハード ドライブ クリーニング プログラムがインストールされていない場合は、AVZ を使用できます。次のようなオプションがあります。
ポイントの詳細:
インストールされているプログラムによって項目数は異なります。 たとえば、Opera ブラウザがインストールされている場合は、そのキャッシュもクリアできます。
コンピュータの起動と速度を向上させる確実な方法は、スタートアップ リストをクリーンアップすることです。 不要なプログラムが起動しないと、バックグラウンドで実行されているプログラムに占有されないリソースが解放されるため、コンピュータの電源が早く入るだけでなく、動作も速くなります。
AVZ は、プログラムが起動される Windows のほぼすべての抜け穴を表示できます。 [ツール] - [自動実行マネージャー] メニューで自動実行リストを表示できます。
平均的なユーザーにはそのような強力な機能はまったく必要ありません。 すべてをオフにしないでください。 2 つの点だけを見れば十分です - 自動実行フォルダーそして 走る*.
AVZ は、ユーザーだけでなく、他のすべてのプロファイルに対しても自動実行を表示します。
章内 走る*セクションにあるプログラムを無効にしないほうがよいでしょう HKEY_USERS- これにより、他のユーザー プロファイルやオペレーティング システム自体の動作が中断される可能性があります。 章内 自動実行フォルダー必要のないものはすべてオフにすることができます。
ウイルス対策ソフトによって既知として識別された行は緑色でマークされます。 これには、Windows システム プログラムとデジタル署名のあるサードパーティ プログラムの両方が含まれます。
他のすべてのプログラムは黒でマークされます。 これは、そのようなプログラムがウイルスなどであるという意味ではなく、すべてのプログラムがデジタル署名されているわけではないということだけです。
プログラム名が見えるように、最初の列の幅を広くすることを忘れないでください。 チェックボックスのチェックを外すだけで、プログラムの自動実行が一時的に無効になります (その後、再度ボックスにチェックを入れることができます)。項目を強調表示して黒い十字のボタンを押すと、エントリが永久に (またはプログラムが自動実行に再度登録するまで) 削除されます。
何がオフにでき、何がオフにできないのかをどのように判断するかという疑問が生じます。 解決策は 2 つあります。
まず常識ですが、プログラムの .exe ファイルの名前に基づいて決定を下すことができます。 たとえば、Skype をインストールすると、コンピュータの電源を入れたときに自動的に起動するエントリが作成されます。 これが必要ない場合は、skype.exe で終わるボックスのチェックを外してください。 ちなみに、多くのプログラム (Skype を含む) は、プログラム自体の設定で対応する項目のチェックを外すだけで、それ自体をスタートアップから削除できます。
次に、インターネットでプログラムに関する情報を検索できます。 受信した情報に基づいて、自動実行から削除するかどうかを決定する必要があります。 AVZ を使用すると、アイテムに関する情報を簡単に見つけることができます。アイテムを右クリックして、お気に入りの検索エンジンを選択するだけです。
不要なプログラムを無効にすると、コンピューターの起動が大幅に高速化されます。 ただし、すべてを無効にすることはお勧めできません。これにより、レイアウト インジケーターが失われたり、ウイルス対策が無効になったりする危険があります。
確実にわかっているプログラムのみを無効にしてください。起動時には必要ありません。
原則として、この記事で私が書いたことは、顕微鏡で釘を打つようなものです。AVZ プログラムは Windows の最適化に適していますが、一般に、さまざまなタスクの実行に適した複雑で強力なツールです。 ただし、AVZ を最大限に活用するには、Windows について十分に理解している必要があるので、上で説明したことから始めてみましょう。
ご質問やコメントがございましたら、記事の下にコメント セクションがありますので、そこからお問い合わせください。 コメントを監視しており、できるだけ早く返信するよう努めます。
関連記事:
のように
のように
ウイルス、特に Windows 7 ユーザーのデスクトップをブロックするウイルス (Trojan.Winlock ウイルス ファミリ) を無力化する最も簡単な方法について説明します。 このようなウイルスは、システム内での存在を隠すのではなく、逆にそれを実証するという事実によって区別され、伝えられるところによれば、特別な「ロック解除コード」を取得するために入力する以外のアクションを実行することが非常に困難になります。 、SMSの送信または決済端末を介した携帯電話アカウントの補充によって、攻撃者に一定の金額を送金する必要があります。 ここでの目的は 1 つです。ユーザーに、場合によっては相当な金額の支払いを強制することです。 画面上にウィンドウが表示され、ライセンスのないソフトウェアの使用や望ましくないサイトへのアクセスのためにコンピュータをブロックするなどの脅迫的な警告が表示され、通常はユーザーを怖がらせる目的で表示されます。 さらに、このウイルスは、Windows の作業環境でいかなるアクションも実行することを許可しません。スタート ボタン メニュー、ファイル名を指定して実行コマンド、タスク マネージャーなどを呼び出すための特別なキーの組み合わせを押すことをブロックします。 マウス ポインタをウイルス ウィンドウの外に移動することはできません。 原則として、セーフ モードで Windows を読み込むときにも同じ画面が表示されます。 特に他のコンピュータがなく、別のオペレーティング システムを起動できない場合、またはリムーバブル メディア (LIVE CD、ERD Commander、ウイルス対策スキャナ) から起動できない場合には、この状況は絶望的であるように見えます。 しかし、それでも、ほとんどの場合、解決策はあります。
Windows Vista / Windows 7 に実装された新しいテクノロジにより、マルウェアが侵入してシステムを完全に制御することがはるかに困難になり、また、ウイルス対策ソフトウェア (ソフトウェアなし) がなくても、比較的簡単にマルウェアを駆除できる追加の機会がユーザーに提供されました。 )。 コマンドラインサポートを備えたセーフモードでシステムを起動し、そこから監視および回復ソフトウェアを起動する機能について話しています。 明らかに、習慣から、Windows ファミリの以前のバージョンのオペレーティング システムではこのモードの実装がかなり貧弱であったため、多くのユーザーは単純にこのモードを使用しませんでした。 しかし無駄だった。 Windows 7 のコマンド ラインには通常のデスクトップがありません (ウイルスによってブロックされる可能性があります) が、レジストリ エディター、タスク マネージャー、システム回復ユーティリティなど、ほとんどのプログラムを起動することができます。
システムを復元ポイントまでロールバックしてウイルスを削除する
ウイルスは通常のプログラムであり、コンピュータのハード ドライブ上に存在しても、システムの起動時やユーザー登録時に自動的に起動する機能がなくても、通常のテキスト ファイルなどと同じように無害です。 。 悪意のあるプログラムの自動起動をブロックする問題を解決できれば、マルウェアを除去するタスクは完了したと見なされます。 ウイルスが使用する自動起動の主な方法は、ウイルスがシステムに導入されたときに作成される、特別に作成されたレジストリ エントリを使用することです。 これらのエントリを削除すると、ウイルスは無力化されたと見なされます。 最も簡単な方法は、チェックポイント データを使用してシステムの復元を実行することです。 チェックポイントは重要なシステム ファイルのコピーであり、特別なディレクトリ (「システム ボリューム情報」) に保存され、特に Windows システム レジストリ ファイルのコピーが含まれています。 ウイルス感染よりも前の作成日である復元ポイントへのシステム ロールバックを実行すると、侵入ウイルスによって作成されたエントリなしでシステム レジストリの状態を取得できるため、ウイルスの自動起動を除外できます。 ウイルス対策ソフトを使用しなくても感染を取り除くことができます。 このようにして、Windows デスクトップをブロックするウイルスなど、システムに感染するウイルスの大部分を簡単かつ迅速に取り除くことができます。 当然のことながら、ハード ドライブのブート セクターの変更などを使用するブロック ウイルス (MBRLock ウイルス) は、この方法では削除できません。これは、システムを復元ポイントにロールバックしてもディスクのブート レコードに影響を与えないためです。ウイルスは Windows ブートローダーの前に読み込まれるため、コマンド ライン サポートを使用して Windows をセーフ モードで起動することはできません。 このような感染を取り除くには、別のメディアから起動し、感染したブート レコードを復元する必要があります。 ただし、そのようなウイルスは比較的少数であり、ほとんどの場合、システムを復元ポイントにロールバックすることで感染を取り除くことができます。
1. ロードの最初に、F8 ボタンを押します。 Windows ブート ローダー メニューが画面に表示され、システムを起動するためのオプションが表示されます。
2. Windows ブート オプション「セーフ モードとコマンド ライン サポート」を選択します。
ダウンロードが完了し、ユーザーが登録すると、通常の Windows デスクトップの代わりに、cmd.exe コマンド プロセッサ ウィンドウが表示されます。
3. コマンド ラインに rstrui.exe と入力し、Enter キーを押して、システムの復元ツールを実行します。
モードを「別の回復ポイントを選択」に切り替え、次のウィンドウで「他の回復ポイントを表示」チェックボックスをオンにします。
Windows 復元ポイントを選択すると、システムのロールバック中に影響を受けるプログラムのリストを表示できます。
影響を受けるプログラムのリストは、システムの復元ポイントの作成後にインストールされたプログラムのリストであり、関連するレジストリ エントリが欠落しているために再インストールが必要になる可能性があります。
「完了」ボタンをクリックすると、システムの回復プロセスが開始されます。 完了すると、Windows が再起動します。
再起動後、ロールバックの成功または失敗を示すメッセージが表示され、成功した場合、Windows は復元ポイントが作成された日付に対応する状態に戻ります。 デスクトップのロックが止まらない場合は、以下に示すより高度な方法を使用できます。
システムを復元ポイントにロールバックせずにウイルスを削除する
さまざまな理由でシステムにリカバリ ポイント データがない、リカバリ手順がエラーで終了した、またはロールバックで肯定的な結果が得られなかった可能性があります。 この場合、システム構成診断ユーティリティ MSCONFIG.EXE を使用できます。 前のケースと同様に、コマンド ライン サポートを備えたセーフ モードで Windows を起動し、cmd.exe コマンド ライン インタープリター ウィンドウで msconfig.exe と入力して Enter キーを押す必要があります。
[全般] タブでは、次の Windows 起動モードを選択できます。
システムが起動すると、必要最小限のシステムサービスとユーザープログラムのみが起動されます。
選択的起動- ブート プロセス中に起動されるシステム サービスとユーザー プログラムのリストを手動で指定できます。
ウイルスを排除する最も簡単な方法は、ユーティリティ自体が自動的に起動する一連のプログラムを決定する診断起動を使用することです。 このモードでウイルスがデスクトップのブロックを停止した場合は、次のステップに進む必要があります。どのプログラムがウイルスであるかを判断します。 これを行うには、選択的起動モードを使用します。これにより、個々のプログラムの起動を手動で有効または無効にすることができます。
「サービス」タブでは、スタートアップの種類が「自動」に設定されているシステム サービスの起動を有効または無効にできます。 サービス名の前にあるチェックボックスがオフの場合は、システムの起動中にそのサービスが起動されないことを意味します。 MSCONFIG ユーティリティ ウィンドウの下部には、「Microsoft サービスを表示しない」モードを設定するフィールドがあり、これを有効にすると、サードパーティのサービスのみが表示されます。
Windows Vista / Windows 7 の標準セキュリティ設定では、システム サービスとしてインストールされたウイルスにシステムが感染する可能性は非常に低いため、リストからウイルスの痕跡を探す必要があることに注意してください。自動的に起動されるユーザー プログラム ([スタートアップ] タブ)。
[サービス] タブと同様に、MSCONFIG によって表示されるリストに存在するプログラムの自動起動を有効または無効にできます。 特殊なレジストリ キーまたはスタートアップ フォルダーの内容を使用した自動起動によってシステム内でウイルスがアクティブになった場合、msconfig を使用するとウイルスを無力化できるだけでなく、感染したファイルのパスと名前を特定することもできます。
msconfig ユーティリティは、Windows ファミリのオペレーティング システムの標準的な方法で開始されるサービスとアプリケーションの自動起動を構成するためのシンプルで便利なツールです。 ただし、ウイルス作成者は、標準の自動実行ポイントを使用せずに悪意のあるプログラムを起動できる手法を使用することがよくあります。 ほとんどの場合、システムを復元ポイントにロールバックすることで、上記の方法を使用してこのようなウイルスを駆除できます。 ロールバックが不可能で、msconfig を使用しても良い結果が得られなかった場合は、レジストリを直接編集できます。
ウイルスと戦う過程で、ユーザーは多くの場合、リセット (リセット) または電源をオフにしてハード再起動を実行する必要があります。 そのため、システムは正常に起動するものの、ユーザー登録までは至らないという事態が発生する可能性があります。 不適切なシャットダウン中に発生する一部のシステム ファイルの論理データ構造の違反により、コンピューターがハングします。 この問題を解決するには、前のケースと同じように、コマンド ライン サポートを使用してセーフ モードで起動し、システム ディスクのチェック コマンドを実行します。
chkdsk C: /F - ドライブ C: をチェックし、検出されたエラーを修正します (キー /F)
chkdsk の実行時にはシステム ディスクがシステム サービスとアプリケーションによって占有されるため、chkdsk はテストを実行するためにシステム ディスクに排他的にアクセスできません。 したがって、ユーザーには警告メッセージが表示され、次回システムを再起動するときにテストを実行するように求められます。 「Y」と答えると、Windows の再起動時にディスク チェックが開始されるようにするための情報がレジストリに入力されます。 チェックが完了すると、この情報は削除され、ユーザーの介入なしに Windows が通常どおり再起動します。
レジストリ エディターを使用してウイルスが実行される可能性を排除します。
レジストリ エディターを起動するには、前の場合と同様に、コマンド ライン サポートを備えたセーフ モードで Windows を起動し、コマンド ライン インタープリター ウィンドウに regedit.exe と入力して Enter キーを押す必要があります。標準のシステム セキュリティ設定を備えた Windows 7 は、システムから保護されています。 Microsoft オペレーティング システムの以前のバージョンで使用されていた、悪意のあるプログラムを起動するさまざまな方法。 ウイルスは、独自のドライバーやサービスをインストールし、独自の実行可能モジュールを接続して WINLOGON サービスを再構成し、すべてのユーザーに関連するレジストリ キーを修正します。これらの方法はすべて、Windows 7 では機能しないか、または非常に深刻な人件費が必要です。を満たすことは事実上不可能です。 通常、ウイルスの実行を可能にするレジストリへの変更は、現在のユーザーに存在するアクセス許可のコンテキスト内でのみ行われます。 HKEY_CURRENT_USER セクション内
ユーザー シェル (シェル) の代替を使用してデスクトップをブロックする最も簡単なメカニズムと、ウイルスの検出と削除に MSCONFIG ユーティリティを使用できないことを実証するために、ウイルスの代わりに自分自身で次の実験を行うことができます。たとえば、デスクトップの代わりにコマンド ラインを取得するには、レジストリ データを修正します。 使い慣れたデスクトップは、ユーザーのシェルとして起動される Windows Explorer (Explorer.exe プログラム) によって作成されます。 これは、レジストリ キーの Shell パラメータの値によって保証されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - すべてのユーザー用。
- 現在のユーザーの場合。
Shell パラメータは、ユーザーがログインするときにシェルとして使用されるプログラムの名前を含む文字列です。 通常、現在のユーザーのセクション (HKEY_CURRENT_USER または HKCU と省略) では、Shell パラメーターが欠落しており、すべてのユーザーのレジストリ キーの値が使用されます (HKEY_LOCAL_MACHINE\ または HKLM と省略)
レジストリキーはこんな感じです HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon標準の Windows 7 インストールの場合
値「cmd.exe」を取るシェル文字列パラメータをこのセクションに追加すると、次回現在のユーザーがシステムにログインするときに、標準の Explorer ベースのユーザー シェルの代わりに cmd.exe シェルが起動され、通常の Windows デスクトップの代わりに、コマンド ライン ウィンドウが表示されます。
当然のことながら、この方法ではあらゆる悪意のあるプログラムが起動される可能性があり、ユーザーにはデスクトップの代わりにポルノ バナー、ブロッカー、その他の厄介なものが表示されます。
すべてのユーザーのキー (HKLM...) を変更するには管理者権限が必要なため、ウイルス プログラムは通常、現在のユーザーのレジストリ キー (HKCU...) の設定を変更します。
実験を続行するために msconfig ユーティリティを実行する場合は、自動的に起動されるプログラムのリストに cmd.exe がユーザー シェルとして含まれていないことを確認できます。 もちろん、システム ロールバックを使用すると、レジストリを元の状態に戻し、ウイルスの自動起動を取り除くことができますが、何らかの理由でこれが不可能な場合、残された唯一のオプションはレジストリを直接編集することです。 標準のデスクトップに戻すには、Shell パラメータを削除するか、その値を「cmd.exe」から「explorer.exe」に変更して、ユーザーを再登録するか (ログアウトして再度ログインする)、または再起動します。 レジストリを編集するには、コマンド ラインからレジストリ エディタ regedit.exe を実行するか、コンソール ユーティリティ REG.EXE を使用します。 Shell パラメータを削除するコマンド ラインの例:
REG 削除 "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v シェル
ユーザーのシェルを置き換える上記の例は、現在、Windows 7 オペレーティング システム環境でウイルスによって使用される最も一般的な手法の 1 つです。 標準のシステム設定ではかなり高いレベルのセキュリティが備えられており、Windows XP 以前のバージョンへの感染に使用されたレジストリ キーにマルウェアがアクセスするのを防ぎます。 現在のユーザーが管理者グループのメンバーであっても、感染に使用されるレジストリ設定の大部分にアクセスするには、プログラムを管理者として実行する必要があります。 マルウェアが現在のユーザーにアクセスを許可されているレジストリ キーを変更するのはこのためです (セクション HKCU...) 2 番目の重要な要素は、システム ディレクトリにプログラム ファイルを書き込むのが難しいことです。 このため、Windows 7 環境のほとんどのウイルスは、現在のユーザーの一時ファイル ディレクトリ (Temp) から実行可能ファイル (.exe) を起動します。 レジストリ内のプログラムの自動起動ポイントを分析するときは、まず、一時ファイル ディレクトリにあるプログラムに注意を払う必要があります。 通常、これはディレクトリです C:\USERS\ユーザー名\AppData\Local\Temp。 一時ファイル ディレクトリの正確なパスは、コントロール パネルのシステム プロパティの [環境変数] で確認できます。 またはコマンドラインで次のようにします。
設定温度
または
エコー %temp%
さらに、一時ファイルのディレクトリ名または %TEMP% 変数に対応する文字列をレジストリで検索することは、ウイルスを検出するための追加ツールとして使用できます。 正規のプログラムが TEMP ディレクトリから自動的に起動することはありません。
可能な自動開始ポイントの完全なリストを取得するには、SysinternalsSuite パッケージの特別な Autoruns プログラムを使用すると便利です。
MBRLock ファミリのブロッカーを削除する最も簡単な方法
悪意のあるプログラムは、オペレーティング システムに感染するだけでなく、ブートが実行されるディスクのブート セクタ レコードを変更することによってもコンピュータを制御する可能性があります。 このウイルスは、アクティブ パーティションのブート セクタ データをそのプログラム コードに置き換えます。これにより、Windows の代わりに単純なプログラムが読み込まれ、画面にランサムウェア メッセージが表示され、犯罪者に金銭を要求します。 ウイルスはシステムが起動する前に制御を獲得するため、ウイルスをバイパスする唯一の方法は、ブート セクタのプログラム コードを復元できるオペレーティング システムの別の媒体 (CD/DVD、外部ドライブなど) から起動することです。 。 最も簡単な方法は、Live CD / Live USB を使用することです。これらの製品は、通常、ほとんどのウイルス対策会社 (Dr Web Live CD、Kaspersky Rescue Disk、Avast! Rescue Disk など) によってユーザーに無料で提供されており、ブート セクターの回復に加えて、ファイル システムにマルウェアがないかチェックし、感染したファイルを削除または駆除することもできます。 この方法を使用できない場合は、通常のシステム起動を復元できる任意のバージョンの Windows PE (インストール ディスク、ERD Commander 緊急回復ディスク) をダウンロードするだけで対処できます。 通常は、コマンド ラインにアクセスしてコマンドを実行できるだけで十分です。
ブーツセクト /nt60 /mbr
bootsect /nt60 /mbr E:> - ドライブ E のブート セクタを復元します。 ここでは、ウイルスによって損傷したシステムのブート デバイスとして使用されるドライブの文字を使用する必要があります。
または Windows Vista より前の Windows の場合
ブーツセクト /nt52 /mbr
bootsect.exe ユーティリティは、システム ディレクトリだけでなく、任意のリムーバブル メディアにも配置でき、任意の Windows オペレーティング システムで実行でき、パーティション テーブルやファイル システムに影響を与えることなくブート セクタのプログラム コードを復元できます。 /mbr キーは、ウイルスによって変更されない (おそらくまだ変更されていない) MBR マスター ブート レコードのプログラム コードを復元するため、原則として必要ありません。
シンプルで便利な AVZ ユーティリティ。役立つだけでなく、システムを復元することもできます。 なぜこれが必要なのでしょうか?
事実は、ウイルスの侵入後(AVZが何千ものウイルスを駆除することが起こります)、一部のプログラムが動作を拒否し、設定がすべてどこかに消え、Windowsがどういうわけか正しく動作しなくなるということです。
ほとんどの場合、この場合、ユーザーはシステムを再インストールするだけです。 しかし、実際にやってみるとわかるように、同じ AVZ ユーティリティを使用すると、破損したプログラムやデータをほぼすべて復元できるため、これはまったく必要ありません。
より明確なイメージを提供するために、AVZ が復元できるものの完全なリストを提供します。
資料は参考書から引用 AVZ - http://www.z-oleg.com/secur/avz_doc/ (コピーしてブラウザのアドレス バーに貼り付けます)。
現在、データベースには次のファームウェアが含まれています。
1..exe、.com、.pif ファイルの起動パラメータの復元
このファームウェアは、exe、com、pif、scr ファイルに対するシステムの応答を復元します。
使用上の適応:ウイルスが除去されると、プログラムは実行を停止します。
2. Internet Explorer のプロトコル プレフィックス設定を標準にリセットします。
このファームウェアは Internet Explorer のプロトコル プレフィックス設定を復元します
使用上の適応: www.yandex.ru のようなアドレスを入力すると、www.seque.com/abcd.php?url=www.yandex.ru のようなアドレスに置き換えられます。
3.Internet Explorerのスタートページの復元
このファームウェアは Internet Explorer のスタート ページを復元します。
使用上の適応:スタートページを置き換える
4.Internet Explorerの検索設定を標準にリセットする
このファームウェアは Internet Explorer の検索設定を復元します
使用上の適応: IEで「検索」ボタンをクリックすると、サードパーティのサイトに移動します。
5.デスクトップ設定を復元する
このファームウェアはデスクトップ設定を復元します。
復元には、すべてのアクティブな ActiveDesctop 要素、壁紙を削除し、デスクトップ設定を担当するメニューのブロックを解除することが含まれます。
使用上の適応:「画面のプロパティ」ウィンドウのデスクトップ設定のブックマークがデスクトップに表示されなくなりました。
6.現在のユーザーのポリシー(制限)をすべて削除する
Windows には、ポリシーと呼ばれるユーザーの操作を制限するメカニズムが提供されています。 設定はレジストリに保存され、簡単に作成または変更できるため、多くのマルウェアがこのテクノロジーを使用しています。
使用上の適応:エクスプローラー機能またはその他のシステム機能がブロックされます。
7.WinLogon時に表示されるメッセージの削除
Windows NT およびそれ以降の NT 系システム (2000、XP) では、起動時に表示されるメッセージを設定できます。
多くの悪意のあるプログラムがこれを利用しており、悪意のあるプログラムを破壊してもこのメッセージは破壊されません。
使用上の適応:システムの起動中に無関係なメッセージが入力されました。
8.エクスプローラーの設定を復元する
このファームウェアは、エクスプローラーの多くの設定を標準にリセットします (マルウェアによって変更された設定が最初にリセットされます)。
使用上の適応:エクスプローラーの設定が変更されました
9.システムプロセスデバッガの削除
システム プロセス デバッガーを登録すると、多くの悪意のあるプログラムで使用される非表示のアプリケーションを起動できるようになります。
使用上の適応: AVZ は未確認のシステム プロセス デバッガーを検出し、システム コンポーネントの起動時に問題が発生します。特に、再起動後にデスクトップが消えます。
10.セーフモードでの起動設定の復元
一部のマルウェア、特に Bagle ワームは、保護モードでのシステムの起動設定を破壊します。
このファームウェアは、保護モードでのブート設定を復元します。 使用上の適応:コンピュータがセーフモードで起動しません。 このファームウェアを使用する必要があります プロテクトモードでの起動に問題が発生した場合のみ .
11.タスクマネージャーのロックを解除する
タスク マネージャーのブロックは、プロセスを検出や削除から保護するためにマルウェアによって使用されます。 したがって、このマイクロプログラムを実行するとロックが解除されます。
使用上の適応:タスク マネージャーがブロックされています。タスク マネージャーを呼び出そうとすると、「タスク マネージャーは管理者によってブロックされています」というメッセージが表示されます。
12.HijackThis ユーティリティの無視リストをクリアする
HijackThis ユーティリティは、多くの設定、特に例外のリストをレジストリに保存します。 したがって、悪意のあるプログラムが HijackThis から身を偽装するには、その実行可能ファイルを除外リストに登録するだけで済みます。
現在、この脆弱性を悪用する既知の悪意のあるプログラムが多数存在します。 AVZ ファームウェアが HijackThis ユーティリティ例外リストをクリアする
使用上の適応: HijackThis ユーティリティがシステムに関するすべての情報を表示していないのではないかという疑いがあります。
13. Hosts ファイルのクリーニング
Hosts ファイルのクリーンアップには、Hosts ファイルを見つけて、そのファイルから重要な行をすべて削除し、標準の「127.0.0.1 localhost」行を追加することが含まれます。
使用上の適応: Hosts ファイルがマルウェアによって変更された可能性があります。 典型的な症状は、ウイルス対策プログラムの更新をブロックすることです。
AVZ に組み込まれている Hosts ファイル マネージャーを使用して、Hosts ファイルの内容を制御できます。
14. SPl/LSP設定の自動修正
SPI 設定の分析を実行し、エラーが検出された場合は、検出されたエラーを自動的に修正します。
このファームウェアは無制限に再実行できます。 このファームウェアを実行した後、コンピュータを再起動することをお勧めします。 注記! このファームウェアはターミナル セッションからは実行できません
使用上の適応:悪意のあるプログラムを削除した後、インターネットにアクセスできなくなりました。
15. SPI/LSP および TCP/IP 設定をリセットします (XP+)
このファームウェアは XP、Windows 2003、および Vista でのみ動作します。 その動作原理は、Windows に含まれる標準の netsh ユーティリティを使用して SPI/LSP および TCP/IP 設定をリセットおよび再作成することに基づいています。
注記! 工場出荷時設定へのリセットは、マルウェアを削除した後にインターネット アクセスに回復不能な問題が発生した場合にのみ使用してください。
使用上の適応:悪意のあるプログラムを削除した後、インターネットにアクセスし、ファームウェア「14. SPI/LSP 設定の自動修正が機能しません。
16. Explorer 起動キーの回復
エクスプローラーの起動に関与するシステム レジストリ キーを復元します。
使用上の適応:システムの起動中、エクスプローラーは起動しませんが、explorer.exe を手動で起動することは可能です。
17. レジストリエディタのロックを解除する
レジストリ エディターの実行を妨げているポリシーを削除して、レジストリ エディターのブロックを解除します。
使用上の適応:レジストリ エディタを起動しようとすると、管理者によって起動がブロックされているというメッセージが表示され、起動できません。
18. SPI設定の完全な再作成
SPI/LSP 設定のバックアップ コピーを実行し、その後、SPI/LSP 設定を破棄し、標準に従って作成し、データベースに保存します。
使用上の適応: SPI 設定に重大な損傷があり、スクリプト 14 および 15 では修復できません。 必要な場合にのみ使用してください。
19. MountPoints データベースをクリアする
レジストリ内の MountPoints および MountPoints2 データベースをクリーンアップします。 この操作は、Flash ウイルスに感染した後、エクスプローラーでディスクが開かなくなった場合に役立つことがよくあります。
回復を実行するには、1 つ以上の項目を選択し、「選択した操作を実行」ボタンをクリックする必要があります。 「OK」ボタンをクリックするとウィンドウが閉じます。
メモ:
このような再構成を実行するトロイの木馬プログラムがシステムで実行されている場合、復元は役に立ちません。まず悪意のあるプログラムを削除してから、システム設定を復元する必要があります。
メモ:
ほとんどのハイジャッカーの痕跡を排除するには、「Internet Explorer の検索設定を標準にリセット」、「Internet Explorer のスタート ページを復元」、「Internet Explorer のプロトコル プレフィックス設定を標準にリセット」の 3 つのファームウェアを実行する必要があります。
メモ:
どのファームウェアも、システムに損傷を与えることなく、連続して数回実行できます。 例外 - 「5.
デスクトップ設定の復元」(このファームウェアを実行すると、すべてのデスクトップ設定がリセットされ、デスクトップの色と壁紙を再選択する必要があります)および「10.
セーフモードでのブート設定の復元」 (このファームウェアは、セーフ モードでのブートを担当するレジストリ キーを再作成します)。
リカバリを開始するには、まずダウンロードし、解凍して実行します。 ユーティリティ。 次に、「ファイル」→「システムの復元」をクリックします。 ちなみに、こんなこともできます
必要なボックスにチェックを入れて、「操作の開始」をクリックします。 以上です、完成を楽しみにしています:-)
次の記事では、avz システム リカバリ ファームウェアが解決に役立つ問題について詳しく説明します。 幸運を祈ります。
Kaspersky Lab テクニカル サポートに問い合わせる際に、AVZ ユーティリティの起動が必要になる場合があります。
AVZ ユーティリティを使用すると、次のことが可能になります。
AVZ ユーティリティは、統計情報を送信したり、情報を処理したり、Kaspersky Lab に送信したりすることはありません。 レポートは HTML および XML ファイルの形式でコンピュータに保存され、特別なプログラムを使用しなくても表示できます。
AVZ ユーティリティは自動的に隔離を作成し、疑わしいファイルとそのメタデータのコピーを隔離に配置できます。
隔離に置かれたオブジェクトは処理されず、Kaspersky Lab に転送されず、コンピューターに保存されます。 コンピュータに損害を与える可能性があるため、隔離からファイルを復元することはお勧めしません。
AVZ ユーティリティ レポートには次の内容が含まれます。
AVZ ユーティリティは、リクエストの一環として、Kapersky Lab テクニカル サポート スペシャリストの指導の下でのみ使用してください。 自分で行うと、オペレーティング システムが損傷し、データが失われる可能性があります。
AVZ は、ウイルスを検索して削除し、悪意のあるプログラムの動作後にシステム設定を復元するように設計された無料のユーティリティです。
1. AVZ ユーティリティを公式 Web サイトからダウンロードします: http://z-oleg.com/avz4.zip
2. アーカイブを解凍します。
3. アーカイブからファイルを実行します avz.exe
4. メニューに移動します ファイルそして選択してください データベースの更新
クリック 始める更新プロセスを開始するには :
ウイルス対策データベースが更新されています:
データベースが更新されると、このメッセージが表示されます。 クリック わかりました:
ウイルスをスキャンするには、左側のすべてのコンピュータ ドライブをチェックし、右側のボックスをオンにします。 治療を行うを選択し、下のボタンをクリックしてください 始める:
AVZ ユーティリティの非常に便利な機能は、システム リカバリです。 マルウェアを削除した後、その痕跡を排除するのに役立ちます。 システムの復元を開始するには、 をクリックします。 ファイル -> システムの復元:
必要なチェックボックスにチェックを入れてボタンをクリックしてください マークされた操作を実行する:
意図を確認してください:
メインメニューから選択します ファイル。
アイテムを一つ選べ トラブルシューティング ウィザード:
フィールド内 危険レベル選択する すべての問題。
クリック 始める。
次のチェックボックスをオンにします。
ボタンをクリックしてください フラグが立てられた問題を修正する.