Как удалить троян Win32/Spy.Shiz.NCF

Категория: Безопасность / Антивирусы
Добавил: access_timeОпубликовано: 25-10-2012 visibilityПросмотров: 53 453 chat_bubble_outlineКомментариев: 4

Содержание:



  • У меня что-то происходит с компьютером, скачал в интернете фильм, который только вышел в кинотеатрах, в глубине души понимал, что-то тут не так, но очень хотелось посмотреть новинку. Не обратил внимания даже на то, что скачанный видеофайл весит очень мало – 137 КБ, при попытке посмотреть фильм, мой компьютер завис. Установленный в системе антивирус стал выводить сообщение о том, что в папке C:\Windows\AppPatch найден вирус и предлагает его удалить, я соглашаюсь, через некоторое время опять возникает это же сообщение. Пытался эту странную папку C:\Windows\AppPatch удалить совсем, но ничего не получается и что интересно, даже в безопасном режиме она не удаляется, всё заканчивается ошибкой. При этом система стала очень долго загружаться, так же не могу войти на некоторые сайты, к примеру в одноклассники - говорят неправильный логин или пароль, рассчитываю на вашу помощь.
  • Письмо № 2 Здравствуйте, скажите пожалуйста как мне быть, сегодня с утра на довольно странном сайте скачал всё же нужную для моей учёбы книгу, которая сейчас продаётся в книжных магазинах за довольно дорогую цену и попытался её открыть. Вдруг мой антивирус ругнулся на папку C:\Windows\AppPatch и что-то там удалил, теперь при загрузке операционной системы Windows 7, выходит сообщение: Windows не удалось найти C:\Windows\AppPatch\hsgpxjt.exe. Операционная система тормозит и зависает, скриншот экрана с данной ошибкой посылаю вам по почте. В интернете нашёл информацию, что данная папка содержит вирусы и её нужно удалить, но удалить не получается даже в безопасном режиме, выходит ошибка. А на вашем сайте говорят, что удалять данную папку нельзя, так как она принадлежит операционной системе, разъясните всё пожалуйста.  

Как удалить троян Win32/Spy.Shiz.NCF

Содержание статьи:
  • Как удалить из системной папки C:\Windows\AppPatch вирус или троянскую программу, имеющую своё название по классификации антивирусной компании ESET - Win32/Spy.Shiz.NCF, ворующую пароли и информацию с вашего компьютера, кстати имя вирусного файла генерируется в операционной системе случайным образом и оно может быть таким: hsgpxjt.exe или к примеру таким matadd.exe и так далее. Сама папка AppPatch является системной и её удалять не нужно. 
  • Как вирус попадает к нам на компьютер.

Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.
Итак друзья в первую очередь при таких проблемах вы можете применить Восстановление системы или загрузить компьютер с антивирусного диска и просканировать всю вашу систему на вирусы, о том как скачать такой диск, прожечь на болванку и удалить вирусы из системы Windows, у нас есть несколько пошаговых статей: Как проверить компьютер на вирусы бесплатно, антивирусными дисками трёх различных производителей.
Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
  C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 

Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig, идём Пуск->Выполнить, набираем msconfig

и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,

исполняемый файл находится по адресу

C:\Windows\AppPatch\matadd.exe.



Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit,

то есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:\Windows\AppPatch нам удалить не удалось.

Для успешной борьбы с вирусом нам нужен помощник, который:

  • Во-первых сможет нам показать файл вируса находящийся в автозагрузке
  • Во-вторых покажет нам изменения внесённые вирусом в реестр
Для того что бы увидеть всё что у вас творится в Автозагрузке нужна специальная программа AnVir Task Manager или другая, например AutoRuns от Марка Руссиновича, обе они бесплатны, предлагаю воспользоваться утилитой AnVir Task Manager, так как я давно заметил начинающим пользователям она нравится больше. Скачиваем её здесь
http://www.anvir.net/ и устанавливаем.

Полное описание работы с утилитой можно прочесть вот в этой нашей статье Автозагрузка программ в Windows 7 
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров и снимите галочки со всего, что вам не нужно, оставьте только на пункте Запустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол.

После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.

Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load, щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике



 и сразу попадаем в нашу папку с вирусным файлом C:\Windows\AppPatch\matadd.exe.

Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем.
Щёлкаем правой мышью на созданном вирусом ключе Load и выбираем в меню Перейти->Открыть расположение записи в реестре. 


Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Добавлено два ключа, удаляем их
Load REG_SZ C:\WINDOWS\apppatch\matadd.exe
Run REG_SZ C:\WINDOWS\apppatch\matadd.exe 


Щёлкаем правой мышью на созданном вирусом ключе userinit и выбираем в меню Перейти->Открыть расположение записи в реестре 


Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 Добавлен ключ, так же удаляем его
userinit REG_SZ C:\Windows\apppatch\matadd.exe  

При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалитьи защитим реестр.

Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.

Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe, щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти, вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее

и такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы - Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system и userinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры:
System REG_SZ C:\WINDOWS\apppatch\matadd.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,C:\WINDOWS\apppatch\matadd.exe 

 


Должно быть, вот так
System REG_SZ
 Userinit REG_SZ C:\Windows\system32\userinit.exe,

 остальное удаляем и два наши параметра реестра должны выглядеть вот так. 

После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папки C:\WINDOWS\apppatch.

Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.

C:\USERS\имя пользователя\AppData\Local\Temp, кстати из папки Temp удалите всё.

Корень системного диска, обычно (С:). Ну и конечно нужно проверить всю систему своим антивирусом. Или скачать антивирусную утилиту Dr.Web CureIt или антивирусными утилитами от Microsoft. 

Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:\Windows\AppPatch, значит вы не полностью очистили реестр, что то пропустили.
Так же можно всё сделать проще, удалить вирус из папки C:\Windows\AppPatch загрузившись с любого Live CD, а затем почистить реестр.

Всё это хорошо, но многие пользователи зададут вопрос: Как вирус попал в папку C:\Windows\AppPatch?
Друзья почти все вирусы приходят к нам из интернета, поэтому скачивая что-либо, будьте очень осторожны, не выключайте никогда свою голову. Возьмём например два письма, содержание которых я привёл в начале статьи, наши читатели почти были уверены, что скачивают не то, что нужно, но всё равно довели дело до конца и словили вирус. Бесплатный сыр только в мышеловке.

Если Вам нужна какая-нибудь книга для учёбы, подумайте об её авторе, ведь что бы написать её для Вас, писатель оторвал время у себя и у своей семьи и может всё-таки её купить. 
Ну и под конец несколько пожеланий. Не выключайте никогда восстановление системы. Во вторых всегда имейте нормальную антивирусную программу на вашем компьютере, конечно с последними обновлениями антивирусных баз. Создавайте периодически бэкапы операционной системы. Не работайте под учетной записью администратора компьютера, создайте себе учётную запись с ограниченными правами.
tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (4)

  1. img
    2 апреля 2013 20:56 admin
    Администратор
    Его у вас и не должно быть в автозагрузке, так как это вирус.
    Цитировать replyОтветить
  2. img
    2 апреля 2013 20:39 Masha
    Гость
    У меня не показывает в автозагрузке файла userinit? что делать?
    Цитировать replyОтветить
  3. img
    29 марта 2013 08:54 admin
    Администратор
    Если система долго загружается, то проверьте диск (C:) на вирусы утилитой Dr.Web CureIt
    http://remontcompa.ru/222-kak-proverit-kompyuter-na-virusy.html

    и исключите из автозагрузки только знакомые программы: скайп, аську торрент, дональд мастер, Mail.Ru Агент и так далее.
    Цитировать replyОтветить
  4. img
    29 марта 2013 06:09 ...
    Гость
    Здравствуйте. В автозагрузке очень много файлов. В основном они производител Майкрософт и те программы, которые я загрузила сама....
    Цитировать replyОтветить