Meniu
AcasăFoto și video

Scripturi pentru restaurarea Windows XP după o infecție cu virus. Procesul de restaurare a unui sistem de computer personal după un atac de viruși

Programele antivirus, chiar și atunci când detectează și elimină software rău intenționat, nu restabilesc întotdeauna funcționalitatea completă a sistemului. Adesea, după eliminarea unui virus, un utilizator de computer primește un desktop gol, o lipsă completă de acces la Internet (sau accesul la unele site-uri este blocat), un mouse nefuncțional etc. Acest lucru este cauzat de obicei de faptul că unele setări ale sistemului sau ale utilizatorului modificate de programul rău intenționat rămân neatinse.

Utilitarul este gratuit, funcționează fără instalare, este surprinzător de funcțional și m-a ajutat într-o varietate de situații. Un virus, de regulă, face modificări în registrul sistemului (adăugarea la pornire, modificarea parametrilor de lansare a programului etc.). Pentru a nu pătrunde în sistem, corectând manual urmele virusului, merită să folosiți operația de „restaurare a sistemului” disponibilă în AVZ (deși utilitarul este foarte, foarte bun ca antivirus, este foarte bine să verificați discurile pentru viruși cu utilitate).

Pentru a începe recuperarea, rulați utilitarul.

Apoi faceți clic pe fișier - restaurare sistem

și o astfel de fereastră se va deschide înaintea noastră

bifați casetele de care avem nevoie și faceți clic pe „Efectuați operațiunile selectate”
1.Restabilirea parametrilor de pornire ai fișierelor .exe, .com, .pif
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Indicatii de utilizare:
După eliminarea virusului, programele nu mai rulează.
2. Resetați setările prefixului protocolului Internet Explorer la standard
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Acest firmware restabilește setările de prefix de protocol în Internet Explorer
când introduceți o adresă precum www.yandex.ru, aceasta este înlocuită cu ceva de genul www.seque.com/abcd.php?url=www.yandex.ru
3.Restaurarea paginii de pornire a Internet Explorer
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Acest firmware restaurează pagina de pornire în Internet Explorer
înlocuind pagina de pornire
4.Resetați setările de căutare din Internet Explorer la standard
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Acest firmware restabilește setările de căutare în Internet Explorer
Când faceți clic pe butonul „Căutare” în IE, sunteți direcționat către un site terță parte
Acest firmware restabilește setările desktopului. Restaurarea implică ștergerea tuturor elementelor active ActiveDesctop, a imaginii de fundal și deblocarea meniului responsabil pentru setările desktopului.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Marcajele de setări desktop din fereastra „Proprietăți afișare” au dispărut pe desktop;
6.Ștergerea tuturor politicilor (restricțiilor) utilizatorului curent
Windows oferă un mecanism de restricționare a acțiunilor utilizatorului numit Politici. Multe programe malware folosesc această tehnologie deoarece setările sunt stocate în registru și sunt ușor de creat sau modificat.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Funcțiile Explorer sau alte funcții ale sistemului sunt blocate.
7.Ștergerea mesajului afișat în timpul WinLogon
Windows NT și sistemele ulterioare din linia NT (2000, XP) vă permit să setați mesajul afișat în timpul pornirii. Un număr de programe rău intenționate profită de acest lucru, iar distrugerea programului rău intenționat nu duce la distrugerea acestui mesaj.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr.În timpul pornirii sistemului, este introdus un mesaj străin.
8.Restabilirea setărilor Explorer
Acest firmware resetează un număr de setări ale Explorer la standard (setările modificate de malware sunt resetate mai întâi).
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Setările Explorer au fost modificate
9.Eliminarea sistemelor de depanare a proceselor
Înregistrarea unui depanator de procese de sistem vă va permite să lansați o aplicație ascunsă, care este folosită de o serie de programe rău intenționate
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. AVZ detectează depanatoarele de procese ale sistemului neidentificate, apar probleme cu lansarea componentelor sistemului, în special, desktop-ul dispare după o repornire.
10.Restabilirea setărilor de pornire în SafeMode
Unele programe malware, în special viermele Bagle, corupă setările de pornire ale sistemului în modul protejat. Acest firmware restabilește setările de pornire în modul protejat.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Computerul nu pornește în SafeMode. Acest firmware ar trebui folosit numai în caz de probleme la bootarea în modul protejat .
11.Deblocați managerul de activități
Blocarea Task Manager este folosită de programele malware pentru a proteja procesele de detectare și eliminare. În consecință, executarea acestui microprogram elimină blocarea.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Managerul de activități este blocat atunci când încercați să apelați managerul de activități, este afișat mesajul „Managerul de activități este blocat de administrator”.
12.Ștergerea listei de ignorare a utilitarului HijackThis

Utilitarul HijackThis stochează o serie de setări în registru, în special o listă de excepții. Prin urmare, pentru a se camufla de HijackThis, programul rău intenționat trebuie doar să-și înregistreze fișierele executabile în lista de excludere. În prezent, există o serie de programe rău intenționate cunoscute care exploatează această vulnerabilitate. Firmware-ul AVZ șterge lista de excepții a utilitarului HijackThis

Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Există suspiciuni că utilitarul HijackThis nu afișează toate informațiile despre sistem.
13. Curățarea fișierului Hosts
Curățarea fișierului Hosts implică găsirea fișierului Hosts, eliminarea tuturor liniilor semnificative din acesta și adăugarea liniei standard „127.0.0.1 localhost”.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Se suspectează că fișierul Hosts a fost modificat de malware. Simptomele tipice sunt blocarea actualizării programelor antivirus. Puteți controla conținutul fișierului Hosts folosind managerul de fișiere Hosts încorporat în AVZ.
14. Corecția automată a setărilor SPl/LSP

Efectuează analiza setărilor SPI și, dacă sunt detectate erori, corectează automat erorile găsite. Acest firmware poate fi reluat de un număr nelimitat de ori. După rularea acestui firmware, se recomandă să reporniți computerul. Fiţi atenți! Acest firmware nu poate fi rulat dintr-o sesiune de terminal

Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. După eliminarea programului rău intenționat, am pierdut accesul la Internet.
15. Resetați setările SPI/LSP și TCP/IP (XP+)

Acest firmware funcționează numai pe XP, Windows 2003 și Vista. Principiul său de funcționare se bazează pe resetarea și re-crearea setărilor SPI/LSP și TCP/IP folosind utilitarul netsh standard inclus în Windows.Fiţi atenți! Ar trebui să utilizați o resetare din fabrică numai dacă este necesar dacă aveți probleme irecuperabile cu accesul la Internet după eliminarea programelor malware!

Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. După eliminarea programului rău intenționat, accesul la Internet și execuția firmware-ului „14. Corectarea automată a setărilor SPl/LSP nu funcționează.
16. Recuperarea cheii de lansare a Explorer
Restaurează cheile de registry de sistem responsabile pentru lansarea Explorer.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr.În timpul pornirii sistemului, Explorer nu pornește, dar este posibil să lansați explorer.exe manual.
17. Deblocarea editorului de registry
Deblochează Editorul de registry prin eliminarea politicii care îl împiedică să ruleze.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Este imposibil să porniți Editorul de registru atunci când încercați, se afișează un mesaj care spune că lansarea acestuia este blocată de administrator;
18. Recrearea completă a setărilor SPI
Efectuează o copie de rezervă a setărilor SPI/LSP, după care le distruge și le creează conform standardului, care este stocat în baza de date.
Acest firmware restabilește răspunsul sistemului la fișierele exe, com, pif, scr. Deteriorări grave ale setărilor SPI care nu pot fi reparate prin scripturile 14 și 15. Folosiți doar dacă este necesar!
19. Ștergeți baza de date MountPoints
Curăță baza de date MountPoints și MountPoints2 din registru. Această operațiune ajută adesea atunci când, după infectarea cu un virus Flash, discurile nu se deschid în Explorer
Pentru a efectua o recuperare, trebuie să selectați unul sau mai multe elemente și să faceți clic pe butonul „Efectuați operațiunile selectate”. Făcând clic pe butonul „OK” se închide fereastra.
Nota:
Restaurarea este inutilă dacă sistemul rulează un troian care efectuează astfel de reconfigurari - trebuie mai întâi să eliminați programul rău intenționat și apoi să restabiliți setările sistemului
Nota:
Pentru a elimina urmele majorității piratatorilor, trebuie să rulați trei firmware - „Resetați setările de căutare în Internet Explorer la standard”, „Restabiliți pagina de pornire a Internet Explorer”, „Resetați setările prefixului protocolului Internet Explorer la standard”
Nota:

Orice firmware poate fi executat de mai multe ori la rând fără a deteriora sistemul. Excepțiile sunt „5.Restaurarea setărilor desktopului” (executarea acestui firmware va reseta toate setările desktopului și va trebui să reselectați colorarea desktopului și imaginea de fundal) și „10. Restaurarea setărilor de pornire în SafeMode" (acest firmware recreează cheile de registry responsabile pentru pornirea în modul sigur).

:: Introducere

După eliminarea virușilor, sistemul poate să funcționeze defectuos (sau să nu pornească deloc), accesul la Internet sau la anumite site-uri se poate pierde, deci după ce antivirusul a raportat " Toți virușii sunt distruși„Utilizatorul rămâne singur cu un sistem defect. Problemele pot fi cauzate și de erori de program sau de incompatibilitatea acestora cu sistemul dumneavoastră. Să ne uităm la opțiunile de rezolvare a problemelor.

:: Internetul nu funcționează

Cauza problemelor cu rețeaua poate fi fie o consecință a unui virus, fie funcționarea unui software strâmb. Există mai multe opțiuni pentru a rezolva această problemă. Să ne uităm la unul aici - Utilitar AntiSMS.

Rulați cu drepturi de administrator și efectuați o restaurare completă a setărilor de rețea. Funcționarea utilitarului este simplă: un clic și gata.

:: Recuperare standard de sistem Windows

Dacă recuperarea sistemului nu a fost dezactivată în sistem, atunci utilizați această funcționalitate standard Windows pentru a rezolva problemele. De asemenea, această metodă de recuperare a sistemului este eficientă dacă deteriorarea sistemului a fost cauzată de acțiunile utilizatorilor neexperimentați sau de erori de program.

Windows XP: Început -> Toate programele -> Standard -> Serviciu -> Restaurare sistem. Și selectați un punct de restaurare cu câteva zile înainte de apariția problemelor.
: Deschideți System Restore făcând clic pe butonul Start. În caseta de căutare, tastați restaurare sistem, apoi selectați Restaurare sistem din lista de rezultate. Introduceți parola de administrator sau confirmați parola dacă vi se solicită. Urmați instrucțiunile expertului pentru a selecta un punct de restaurare și a restabili computerul.

Dacă computerul nu pornește, apoi încercați să mergeți la Modul sigur Windows. Pentru a-l selecta, trebuie să accesați meniul de servicii - pentru a-l apela, apăsați tasta de mai multe ori F8(sau F5) imediat după pornirea computerului. În modul sigur, utilizați și „ Început" pentru a restabili sistemul, așa cum este scris mai sus.

Bine de știut: în Windows 7, Recuperarea poate fi invocată folosind elementul „Depanați computerul”.

Meniul Opțiuni avansate de pornire Windows XP:

Meniul Opțiuni avansate de pornire Windows 7:

Dacă modul sigur nu funcționează, apoi încercați să mergeți la Modul sigur cu suport pentru linia de comandă. În acest mod, nu va mai exista un buton Start, așa că va trebui să apelați System Restore prin linia de comandă pentru a face acest lucru, tastați linia în linia de comandă:

%SystemRoot%\system32\restore\rstrui.exe

și apăsați tasta Intră. Acesta este pentru Windows XP!

Pentru versiunile Windows Vista/7/8, trebuie doar să introduceți comanda rstrui.exeși apăsați Intră.

Dacă nu funcționează și aveți un disc de pornire Windows, apoi puteți porni de pe acesta și puteți încerca să restaurați sistemul. Să luăm Windows 7 ca exemplu:

Introduceți discul de pornire în computer și porniți de pe acesta.

Selectați " Restaurare sistem".

Se va deschide o fereastră cu opțiuni de acțiune.

Selectați " Recuperare la pornire", apoi încercați să porniți în modul obișnuit. Dacă acest lucru nu ajută, selectați " Restaurare sistem" (acesta este un analog al restabilirii sistemului, care este discutat mai sus) și selectați un punct de restaurare în momentul funcționării normale a sistemului. Încercați să porniți în mod obișnuit. Dacă acest lucru nu ajută, selectați " Linia de comandă" și tastați pe linia de comandă chkdsk c: /f /rși apăsați Intră- se va lansa o verificare pentru erori de hard disk, poate că această verificare va da un rezultat pozitiv.

:: Restaurarea fișierelor de sistem cu comanda sfc

Dacă, după tratament, Windows funcționează defectuos, atunci Start -> Run, introduceți comanda:

sfc /scannow

și apăsați Intră- Windows va verifica integritatea fișierelor protejate de pe computer. Poate fi necesar un disc de instalare a sistemului de operare pentru recuperare.

Dacă nu găsiți butonul „Run”, îl puteți apela cu comanda rapidă de la tastatură [ Câştiga] + [R]. Dacă sistemul nu pornește în modul normal, atunci utilizați Modul sigur.

În continuare, vom analiza o serie de programe terțe pentru restaurarea sistemului după un virus. Vă recomand folosiți-le în modul sigur Windows. Nu uitați de drepturile de administrator.

:: Recuperare folosind Windows Repair (All In One)

Reparații Windows (Totul într-unul) este un utilitar care va ajuta la remedierea erorilor din registrul sistemului, la restabilirea setărilor originale modificate atunci când computerul a fost infectat sau la instalarea programelor, la restabilirea funcționării stabile a browserului Internet Explorer, a serviciului Windows Update, a Windows Firewall și a altor servicii și componente ale sistemului de operare.

Dezarhivați arhiva descărcată, apoi rulați programul. Neapărat actualizați-l: Fișier -> Actualizare baze de date.

alerga" Expert de depanare" (în meniu " Fişier").

Faceți clic pe " Început„. Dacă AVZ a găsit probleme, bifați casetele pentru acestea și faceți clic pe „ Remediați problemele semnalate".

Apoi, în meniu " Fişier"selecteaza" Restaurare sistem". Bifați toate casetele, CU EXCEPŢIA aceste:

  • Corecția automată a setărilor SPl/LSP;
  • Resetați setările SPI/LSP și TCP/IP (XP+);
  • Recrearea completă a setărilor SPI;
  • Înlocuiți DNS-ul tuturor conexiunilor cu Google DNS

Apoi faceți clic pe " Efectuați operațiuni marcate", așteptați puțin, închideți programul și reporniți computerul.

Dacă, după infectarea computerului, apar probleme cu accesul la unele site-uri, de exemplu, rețelele sociale raportează în mod fals blocarea sau apare o reclamă falsă, atunci există posibilitatea ca DNS-ul să fie înlocuit cu unul rău intenționat - în acest caz, poți folosi „ Înlocuiți DNS-ul tuturor conexiunilor cu Google DNS„Dar faceți acest lucru numai după ce vă verificați computerul cu scanere antivirus (dacă acestea nu au ajutat). Puteți încerca și acest articol dacă nu puteți recupera internetul după infecție.

Paragraful " Corecția automată a setărilor SPl/LSP" poate fi folosit dacă accesul la Internet este pierdut după virus (după aplicare, reporniți computerul). Element " Resetarea setărilor SPI/LSP și TCP/IP (XP+)" este, de asemenea, destinat să restabilească accesul la rețea, dar acest element poate fi utilizat numai dacă nimic altceva nu ajută (după aplicare, reporniți computerul). Dacă ambele puncte de mai sus nu au ajutat la restabilirea internetului, atunci există un alt element " Recrearea completă a setărilor SPI„ - aplicați doar dacă nimic altceva nu ajută. Vă rugăm să rețineți în ceea ce privește aceste trei puncte că vorbim despre faptul că nu există deloc acces la rețea.

:: Verificarea hard diskului (chkdsk)

Acesta este un program standard Windows pentru verificarea erorilor pe hard disk. Deschide " Computerul meu" (în Windows "7 pur și simplu" Calculator") pe Desktop sau prin meniu " Început". Selectați partiția sau discul dorit, faceți clic dreapta pe el, faceți clic pe " Proprietăți", selectați fila " Serviciu" și faceți clic pe " Rulați verificarea", bifați casetele pentru " Remediați automat erorile de sistem" Și " Scanați și reparați sectoarele defecte". Dacă verificați partiția de sistem, va trebui să programați scanarea pentru următoarea pornire (va trebui să reporniți computerul pentru a verifica).

Exemplu de lansare prin linia de comandă: chkdsk c: /f /r

:: Windows nu pornește în niciun mod

Cauza eșecului Windows poate fi deteriorarea registrului sau a fișierelor de sistem. Va trebui să utilizați un LiveCD - acesta este un disc sau o unitate flash care ocolește sistemul instalat pe computer. Va trebui să descărcați imaginea (un fișier cu extensia iso) pe un computer sănătos și să o montați pe un disc sau pe o unitate flash, apoi de pe acesta.

Vom folosi LiveCD AntiSMS: descărcare pagina de descărcare. Există un program special pentru înregistrarea pe o unitate flash pe pagina de descărcare.

După ce porniți de pe LiveCD pe computerul cu probleme, veți vedea desktop-ul normal. Faceți clic pe comanda rapidă " AntiSMS". După ce utilitarul AntiSMS raportează că totul este în regulă, scoateți LiveCD-ul și porniți în mod obișnuit. Utilitarul AntiSMS restaurează unele ramuri de registry și fișiere de sistem care sunt necesare pentru funcționarea corectă a Windows - poate că acest lucru va fi suficient pentru a restabili sistem.

Dacă acest lucru nu ajută, încercați să restaurați registry dintr-o copie de rezervă:

Pentru Windows"7 : Porniți de pe LiveCD AntiSMS și rulați Total Commander, care este disponibil pe acest LiveCD. Accesați folderul Windows\System32\Config(acesta este folderul Windows instalat pe computerul cu probleme). Fișiere SISTEMŞi SOFTWARE redenumiți în SISTEM.prostŞi SOFTWARE.prostîn consecinţă. Apoi copiați fișierele din folder SISTEMŞi SOFTWAREîntr-un folder Windows\System32\Config Acest lucru ar trebui să vă ajute, încercați să porniți computerul ca de obicei.

Pentru Windows XP : mergi la folder windows\system32\config, fișiere sistemŞi software redenumiți în sistem.proastăŞi software.proastăîn consecinţă. Apoi copiați fișierele sistemŞi software din folder windows\reparareîntr-un folder windows\system32\config

Pentru referință:într-un folder Windows\System32\Config\RegBack sunt stocate copii de rezervă ale stupilor de registry. Le creează Programator de locuri de muncă la fiecare zece zile.

A trecut deja o săptămână de când Petya a aterizat în Ucraina. În general, peste cincizeci de țări din întreaga lume au fost afectate de acest virus de criptare, dar 75% din atacul cibernetic masiv a lovit Ucraina. Instituțiile guvernamentale și financiare din întreaga țară au fost afectate Ukrenergo și Kyivenergo au fost printre primii care au raportat că sistemele lor au fost piratate. Pentru a pătrunde și a bloca, virusul Petya.A a folosit programul de contabilitate M.E.Doc. Acest software este foarte popular în rândul diferitelor instituții din Ucraina, care a devenit fatal. Drept urmare, pentru unele companii a durat mult timp pentru a-și restabili sistemul după virusul Petya. Unii au reușit să își reia activitatea abia ieri, la 6 zile după virusul ransomware.

Scopul virusului Petya

Scopul majorității virușilor ransomware este extorcarea. Ei criptează informațiile de pe computerul victimei și îi cer bani pentru a obține o cheie care va restabili accesul la datele criptate. Dar escrocii nu se țin întotdeauna de cuvânt. Unele ransomware pur și simplu nu sunt concepute pentru a fi decriptate, iar virusul Petya este unul dintre ele.

Această veste tristă a fost raportată de specialiștii de la Kaspersky Lab. Pentru a recupera datele după un virus ransomware, aveți nevoie de un identificator unic de instalare a virusului. Dar în situația cu un nou virus, acesta nu generează deloc un identificator, adică creatorii malware-ului nici măcar nu au luat în considerare opțiunea de restaurare a unui PC după virusul Petya.

Dar, în același timp, victimele au primit un mesaj în care au denumit adresa unde să transfere 300 de dolari în bitcoini pentru a restabili sistemul. În astfel de cazuri, experții nu recomandă asistența hackerilor, dar, cu toate acestea, creatorii Petya au reușit să câștige peste 10.000 de dolari în 2 zile după un atac cibernetic masiv. Dar experții sunt încrezători că extorcarea nu a fost scopul lor principal, deoarece acest mecanism a fost prost gândit, spre deosebire de alte mecanisme ale virusului. Din aceasta se poate presupune că scopul virusului Petya a fost de a destabiliza activitatea întreprinderilor globale. De asemenea, este cu totul posibil ca hackerii să fi fost pur și simplu grăbiți și să nu se gândească bine la partea de a obține bani.

Restaurarea unui PC după virusul Petya

Din păcate, odată ce Petya este complet infectat, datele de pe computer nu pot fi restaurate. Dar, cu toate acestea, există o modalitate de a debloca un computer după virusul Petya dacă ransomware-ul nu a avut timp să cripteze complet datele. A fost publicat pe site-ul oficial al Poliției Cibernetice pe 2 iulie.

Există trei opțiuni pentru infectarea cu virusul Petya

— toate informațiile de pe PC sunt complet criptate, pe ecran este afișată o fereastră cu extorcare de bani;
— Datele PC sunt parțial criptate. Procesul de criptare a fost întrerupt de factori externi (inclusiv sursa de alimentare);
— PC-ul este infectat, dar procesul de criptare a tabelelor MFT nu a fost început.

În primul caz, totul este rău - sistemul nu poate fi restaurat. Cel puțin deocamdată.
În ultimele două opțiuni, situația este remediabilă.
Pentru a recupera datele care au fost parțial criptate, se recomandă să descărcați discul de instalare Windows:

Dacă hard diskul nu a fost deteriorat de un virus ransomware, sistemul de operare de pornire va vedea fișierele și va începe recuperarea MBR:

Pentru fiecare versiune de Windows, acest proces are propriile sale nuanțe.

Windows XP

După încărcarea discului de instalare, pe ecran apare fereastra „Windows XP Professional Settings”, unde trebuie să selectați „pentru a restaura Windows XP folosind consola de recuperare, apăsați R”. După ce apăsați R, consola de recuperare va începe să se încarce.

Dacă dispozitivele au un sistem de operare instalat și acesta se află pe unitatea C, va apărea o notificare:
„1: C:\WINDOWS ce copie de Windows ar trebui să folosesc pentru a mă autentifica?” În consecință, trebuie să apăsați tasta „1” și „Enter”.
Apoi va apărea următorul mesaj: „Introduceți parola de administrator”. Introduceți parola și apăsați „Enter” (dacă nu aveți o parolă, apăsați „Enter”).
Ar trebui să apară un prompt de sistem: C:\WINDOWS>, introduceți fixmbr.

Apoi va apărea un „AVERTISMENT”.
Pentru a confirma noua intrare MBR, apăsați „y”.
Apoi va apărea notificarea „Se creează o nouă înregistrare de pornire master pe discul fizic\Dispozitiv\Harddisk0\Partition0”.
Și: „Noua înregistrare master boot a fost creată cu succes.”

Windows Vista:

Aici situatia este mai simpla. Încărcați sistemul de operare, selectați limba și aspectul tastaturii. Apoi va apărea „Restabiliți computerul la normal” pe ecran va apărea un meniu în care trebuie să selectați „Următorul”. Va apărea o fereastră cu parametrii sistemului restaurat, unde trebuie să faceți clic pe linia de comandă, în care trebuie să introduceți bootrec /FixMbr.
După aceasta, trebuie să așteptați finalizarea procesului, dacă totul a mers bine, va apărea un mesaj de confirmare - apăsați „Enter” și computerul va începe să repornească. Toate.

Windows 7:

Procesul de recuperare este similar cu Vista. După ce ați selectat limba și aspectul tastaturii, selectați sistemul de operare, apoi faceți clic pe „Următorul”. În noua fereastră, selectați „Utilizați instrumente de recuperare care pot ajuta la rezolvarea problemelor la pornirea Windows”.
Toate celelalte acțiuni sunt similare cu Vista.

Windows 8 și 10:

Porniți sistemul de operare, în fereastra care apare, selectați Restore your computer>troubleshooting, unde făcând clic pe linia de comandă, introduceți bootrec /FixMbr. După finalizarea procesului, apăsați „Enter” și reporniți dispozitivul.

După ce procesul de recuperare a MBR s-a încheiat cu succes (indiferent de versiunea Windows), trebuie să scanați discul cu un antivirus.
Dacă procesul de criptare a fost pornit de un virus, puteți utiliza un software de recuperare a fișierelor, cum ar fi Rstudio. După ce le copiați pe un suport amovibil, trebuie să reinstalați sistemul.
Dacă utilizați programe de recuperare a datelor scrise în sectorul de pornire, de exemplu Acronis True Image, atunci puteți fi sigur că „Petya” nu a afectat acest sector. Aceasta înseamnă că puteți readuce sistemul la starea de funcționare fără reinstalare.

Dacă găsiți o eroare, evidențiați o bucată de text și faceți clic Ctrl+Enter.

Astăzi voi vorbi despre cum să localizați un virus dacă acesta pătrunde în computerul dvs., despre cum să învingeți troienii și despre cum să restabiliți sistemul după o infecție cu rootkit dacă totul a mers prea departe.

Deci, dacă bănuiți că computerul dvs. este infectat, primul lucru pe care ar trebui să-l faceți este să urmați acești pași:

  • deconectați computerul de la Internet (deconectați cablul UTP, opriți Wi-Fi);
  • deconectați toate dispozitivele externe de la computer (hard disk-uri externe, unități flash, telefoane etc.).

Toate acestea trebuie făcute pentru a izola computerul infectat de lumea exterioară. Este imperativ să vă deconectați computerul de la accesul la lumea exterioară prin Internet și de la rețeaua internă locală, deoarece programul rău intenționat va încerca aproape sigur să se răspândească în întregul segment accesibil acestuia.

În plus, dacă malware-ul face parte dintr-o rețea de botnet sau conține componente, atunci va fi inactiv și activat în momentul în care se primește o comandă de control de la o rețea externă. Acest lucru ne va asigura, de asemenea, împotriva scurgerii de date locale în rețea, de exemplu, prin tunelul DNS sau lucruri similare pentru hackeri.

Restaurarea registrului

Registrul Windows, începând de la primele versiuni ale sistemului de operare, rămâne o componentă critică a sistemului, reprezentând în esență o bază de date pentru stocarea diferiților parametri și setări ale mediului de lucru, software-ul instalat și Windows însuși. Este logic că întreruperea registrului sau deteriorarea acestuia amenință să facă sistemul de operare inoperabil.

Registrul în sine, care este deschis de utilitarul standard regedit, este reprezentat fizic de mai multe fișiere stocate pe calea %SystemRoot%\System32\config\. Acestea sunt fișiere cu numele SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT fără extensii și accesibile numai proceselor de sistem NT AUTHORITY\SYSTEM, LocalSystem. Dar dacă deschideți registry printr-un editor obișnuit, atunci aceste fișiere vor apărea sub forma unui arbore ierarhic mare.

Primul lucru care vă vine în minte este, desigur, să faceți copii de siguranță ale acestor fișiere și, dacă este necesar, să înlocuiți pur și simplu pe cele stricate cu copii de rezervă. Dar sub un sistem de operare încărcat, simpla copiere a acestui lucru nu va fi posibilă, iar exportul datelor folosind regedit se poate dovedi incomplet. Prin urmare, să ne uităm la instrumentele care ne vor ajuta în această problemă.

Instrumente standard Windows pentru repararea registrului

Din nefericire, Windows nu are un instrument separat care vă permite să faceți copii de rezervă ale registrului. Tot ceea ce poate oferi sistemul este funcționalitatea învechitului NTBackUp originar din epoca Windows XP / 2003 Server sau în noile sisteme de operare Windows 7, 8, 10 reîncarnarea sa sub formă de „”, care oferă crearea unui întreg. imaginea sistemului (întregul sistem - nu registry! ). Prin urmare, vom lua în considerare doar un mic exemplu de acțiuni din consola de recuperare care vă permit să restaurați manual registrul. În esență, acestea sunt operațiuni de înlocuire a fișierelor rupte de pe un sistem infectat cu fișiere de registry originale dintr-o copie de rezervă făcută anterior.

Interfața utilitarului NTBackUp

După ce porniți în modul Live CD de pe discul de instalare sau de pe o consolă de recuperare instalată local (pentru XP/2003), trebuie să rulați următoarele comenzi, descrise chiar de Microsoft:

// Creați copii de rezervă ale registrului de sistem
md tmp
copiați c:\windows\system32\config\system c:\windows\tmp\system.bak
copiați c:\windows\system32\config\software c:\windows\tmp\software.bak
copiați c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copiați c:\windows\system32\config\security c:\windows\tmp\security.bak
copiați c:\windows\system32\config\default c:\windows\tmp\default.bak

// Eliminați fișierele rupte din directorul de sistem al sistemului de operare
ștergeți c:\windows\system32\config\system
ștergeți c:\windows\system32\config\software
ștergeți c:\windows\system32\config\sam
ștergeți c:\windows\system32\config\security
ștergeți c:\windows\system32\config\default

// Copiați fișierele de registry sănătoase din copia shadow
copiați c:\windows\repair\system c:\windows\system32\config\system
copiați c:\windows\repair\software c:\windows\system32\config\software
copiați c:\windows\repair\sam c:\windows\system32\config\sam
copiați c:\windows\repair\security c:\windows\system32\config\security
copiați c:\windows\repair\default c:\windows\system32\config\default

Gata, reporniți mașina și uitați-vă la rezultat!

Metode avansate de reparare a registrului

După cum am aflat, Windows nu are un instrument decent de gestionare a registrului. Prin urmare, să vedem ce ne pot oferi producătorii terți.


Fereastra utilitarului TCPView

Lista serviciilor de rețea și porturile rezervate corespunzătoare pentru sistemele NT pot fi vizualizate în fișierul %SystemRoot%\system32\drivers\etc\services - acesta este, în esență, un fișier text fără extensie, care poate fi vizualizat cu orice bloc de note.

Fereastra utilitarului Nirsoft CurrPorts

Și, în sfârșit, pentru tot ceea ce este descris mai sus pe care l-am făcut manual, puteți folosi instrumente, de exemplu. Acest utilitar restabilește cheile de registry pentru setările rețelei sistemului la valorile implicite. În plus, ea:

  • verifică fișierul hosts pentru corectitudinea pointerului localhost (trebuie să se refere la adresa 127.0.0.1);
  • creează o copie de rezervă a setărilor curente ale sistemului (la cererea utilizatorului);
  • dezactivează toate adaptoarele de rețea și resetează setările acestora.
Fereastra utilitarului WinSock XP Fix

Instrumentul GUI nativ despre care am vorbit face același lucru ca și comenzile netsh int ip reset și netsh winsock reset. Instrumentul Reset-TCPIP este similar cu acesta, care execută toate combinațiile descrise de comenzi de consolă sub o singură GUI.

Fereastra utilitarului Reset-TCPIP

Un alt instrument gratuit bun este conceput pentru a remedia o varietate de erori legate de funcționarea rețelei și a internetului în Windows. O scurtă listă a caracteristicilor sale:

  • curățați și reparați fișierul hosts;
  • activați adaptoarele de rețea Ethernet și wireless;
  • resetează Winsock și protocolul TCP/IP;
  • ștergeți memoria cache DNS, tabelele de rutare, ștergeți conexiunile IP statice;
  • reporniți NetBIOS.

Fereastra utilitarului NetAdapter Repair

CD live ca un colac de salvare

Și, continuând subiectul nostru, pur și simplu nu am putut ignora povestea despre ansamblurile Live CD concepute pentru a restaura sistemul. Inițial, Live CD a fost poziționat ca un instrument pentru efectuarea sarcinilor administrative: pregătirea unui hard disk, obținerea rapidă a accesului la datele stocate pe discuri și așa mai departe. Acum CD-urile live sunt mai mult ca un salvator universal pentru resuscitarea sistemului în cazul diverselor căderi, inclusiv după un atac de virus. Principalul lor avantaj este că toate uneltele sunt adunate sub o singură hotă și pot funcționa în paralel. Dar există și un dezavantaj: pentru a porni în modul Live CD, trebuie să reporniți mașina, ceea ce în unele cazuri este inacceptabil pentru noi.

Toți dezvoltatorii antivirus bine-cunoscuți au discuri de recuperare a sistemului de pornire gratuite. Le vom trece pe scurt, dar nu vom intra în detalii - am convenit la începutul materialului nostru că vom folosi doar acele instrumente care nu sunt software antivirus în forma sa pură.

Dacă pe computer apare un mesaj text care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea deoarece programul se bazează de obicei pe un utilitar de criptare gratuit inofensiv. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii cunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa numai cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Internet Security și Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computerul dvs., atunci chiar și după efectul unui virus ransomware există șansa de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc acest lucru din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

  1. Deschide Proprietăți computer.
  2. Din meniul din stânga, selectați Protecție sistem.
  3. Selectați unitatea C și faceți clic pe „Configurare”.
  4. Alegeți să restabiliți setările și versiunile anterioare ale fișierelor. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția virusului de criptare a fișierelor, atunci după curățarea computerului de codul rău intenționat, veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

  1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
  2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați într-un folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.