Навигация



<

Как Удалить Программу - шпиона Вручную

, Вы пробежали все традиционные шаги, которые попробовали Осведомленный об объявлении и Spybot и HijackThis, и у Вас все еще есть программа - шпион. Что теперь? Хорошо, Вы можете попробовать после этого ручного гида удаления. Это не для слабого из сердца, и это может фактически быть меньше усилия просто поддержать Ваши файлы, переформатировать Ваш двигатель, и повторно установить Windows. Пожалуйста отмечают, что Вы будете нуждаться в полном доступе к чистому компьютеру, чтобы восстановить Ваш зараженный компьютер!

Шаги

  • Выключают зараженный компьютер. Откройте случай и удалите его главный жесткий диск (тот, содержащий разделение OS).
  • , Если у Вас есть вложение внешнего дисковода USB/IEEE1394, Вы можете соединить зараженный двигатель с этим вместо того, чтобы закончить следующие два шага.
  • Выключают чистый компьютер. Откройте случай и соедините зараженный двигатель.
  • Включают чистый компьютер. Сделайте абсолютно уверенным, что это загружает в чистый OS, не от зараженного двигателя! У большинства PC есть отборное меню ботинка, к которому можно получить доступ через F11 или КЛАВИШУ ESC вскоре после власти на.
  • Однажды OS чистого компьютера загрузил, Вы собираетесь хотеть вычистить файлы временного секретаря от зараженного двигателя, чтобы облегчить искать. Но сначала, Вы хотите видеть все файлы, даже скрытые и файлы системы. Пойдите в " Контроль Panel"-> " Папка Options" и нажмите на " View" счет наверху " Папка Options" окно. Вы собираетесь хотеть изменить следующие варианты:
    • Включают: Покажите содержание Папок Системы
    • , Включите: Покажите скрытые файлы, и папки
    • Выключают: Скройте расширения для известных типов файла.
    • Выключают: Скройтесь защищенные файлы операционной системы (Рекомендуемые)
, # Принимают во внимание букву диска Вашего зараженного двигателя. Это вероятно собирается быть E: или F: В зависимости от числа жестких дисков разделения, и двигателей компакт-диска/DVD Вы имеете в своем чистом компьютере. Я собираюсь предположить, что мы имеем дело с F: двигатель для этой статьи.
  • Файлы временного секретаря хранятся в следующих местоположениях. Некоторые из этих местоположений, возможно, не существуют, некоторые могут быть в немного различных местах. Важно, что Вы находите и очищаете тайник для всех Ваших браузеров (IE/Netscape/Firefox/Opera) и что Вы очищаете это для каждого отдельного пользователя! Проверьте следующие папки и удалите их содержание, но не справочники непосредственно.
    • F:\TEMP
    • F:\Windows\TEMP или F:\WINNT\Temp (Только NT4 и Windows 2000 используют " WinNT")
    • F:\WINNT\Profiles\UserName\Local Settings\Temp
    • F:\WINNT\Profiles\UserName\Local Settings\Temporary интернет-Файлы
    • F:\WINNT\Profiles\UserName\Local Settings\Application Data\Mozilla\Firefox\Profiles\SomeRandomName.default\Cache
    • F:\Documents и Settings\UserName\Local Settings\Temp
    • F:\Documents и Settings\UserName\Local Settings\Temporary интернет-Файлы
    • F:\Documents и Settings\UserName\Local Settings\Application Data\Mozilla\Firefox\Profiles\SomeRandomName.default\Cache
  • В этом пункте, удостоверьтесь Ваш перерабатывать мусорное ведро, пусто от всех файлов.
  • Теперь, когда Ваши временные папки файлов были очищены, есть много меньше файлов, чтобы перерыть. Это должно сделать следующие немного шагов немного менее утомительными.
  • Хороший, Вы урезали часть раздувания, теперь попытайтесь поддержать зараженный двигатель к папке на чистом компьютере, если Вы имеете пространство. Если Вы можете возможно поддержать весь двигатель, сделайте это. Иначе, Вы должны быть в состоянии избежать неприятностей только с " Документы и Settings" папка (" Profiles" под NT4 и Win2K) и возможно несколько из папок игр (Некоторые игры хранят свои спасенные игры, карты, высокое множество, и т.д в их папке программы).
  • Теперь Вы должны выполнить полный антивирус и просмотры программы - шпиона Вашего компьютера. Это, мы надеемся, найдет некоторые вещи на зараженном F: ведите и удалите их.
    • Загрузка и устанавливают и Spybot Поиск и Разрушить и Lavasoft Adaware. Важно, что Вы используете обе из этих утилит, поскольку они будут часто находить больше malware вместе.
    • файлы определения Обновления когда вызвано.
    • Просмотр Ваша машина (это могло требовать времени).
    • Удаляют любую программу - шпиона, которая найдена.
    • Удостоверяются, что Вам устанавливали программу антивируса и современный. Выполните полный просмотр системы и удалите любые вирусы, trojans, и червей, которых это находит.
  • , Когда все просмотры полны, пойдите в " C:\Program Files" (на двигателе Вашего чистого PC) и копия все справочники программы для Spybot, Осведомленного об объявлении, и Ваш антивирус к новому справочнику на Вашем зараженном двигателе, названном " F:\Cleaners". Также копируют инсталляторы для этих программ к " F:\Cleaners" папка. Вы, возможно, нуждаетесь в них позже.
  • Хит WindowsKey+F, чтобы поднять окно файлов находки. Если Вы видите глупую небольшую оживляемую собаку, Вы можете хотеть выключить его, потому что он делает поиск намного более раздражающим.
  • варианты поиска, которые Вы будете хотеть использовать для поисков, которые мы выполним, являются " Поиск Всех файлов и folders" со следующим " Передовой Options" включенный:
    • папки системы Поиска
    • Поиск скрытые файлы и папки
    • подпапки Поиска
  • Для Вашего первого поиска, я хочу, чтобы Вы смотрели только в двигателе F:\для имен файла, соответствующих " *.exe" и которые были изменены на прошлой неделе. Просто войдите в " *.exe": " период звездочки exe" и определите " в течение прошлой недели. & quot; Вы можете хотеть попытаться искать " мимо month" также, в зависимости от того, как долго Вы были заражены.
    • Запущенный поиск. Позвольте этому бежать к завершению.
    • Исследуют файлы, которые это нашло. Некоторые из них, которых Вы можете признать, особенно если Вы недавно установили некоторые программы. Например, если Вы недавно модернизировали или устанавливали Lavasoft Осведомленный об объявлении, Вы можете видеть " F:\Program Files\Lavasoft\Ad-осведомленный SE Personal\Ad-Aware.exe" в этом списке. Проигнорируйте этот вид файла. Вид файла, который Вы ищете, обычно находится в F:\Windows\system32, меньше чем 100 КБ в размере, и имеет забавное название как " lkaljya.exe"
    • Любые файлы Вы находка должна быть перемещена во временный справочник, пока Вы не можете проверить, что они законны. Например, Вы можете создать папку " F:\quarantine" и переместите их в подпапку " F:\quarantine\Windows\system32" в там.
    • , Если у Вас есть программа антивируса на доступе, это может фактически начать жаловаться, что это нашло троянское вторым, Вы выбираете подозрительный файл. Если это делает, то не потрудитесь изолировать это, только позвольте антивирусу удалять это.
    • Обращают Особое внимание на *.exe файлы или со случайными или с претенциозными названиями. Претенциозные названия пытаются казаться важными, будучи очень близко к фактическим полезным программам. Например, полезная программа - " svchost.exe" в то время как подозрительная программа была бы " scvhost.exe"
    • Иначе идентификации хороших продуктов от плохого является щелчком права выполнимым и выбирающим " Properties" затем выбирая " Version" счет (если есть один). Если файл будет в цифровой форме подписан компанией, то у него будет " Компания Name" собственность на этом счете, таком как " Microsoft Corporation" или " Компьютер Apple Inc" или " Logitech" и т.д. Эти файлы вероятно хороши. Если файл не подписан, то Вы должны заняться расследованиями далее.
    • , Когда в сомнении, пойдите в google и напечатайте полное имя выполнимого подозреваемого: " scvhost.exe" например. Исследуйте результаты поиска. Часто Вы будете видеть связи как " scvhost.exe, хороший или плохой? " или " Что делает этот файл? " и Вы можете видеть, является ли это необходимым файлом или троянским.
    • Обращают Особое внимание на любые *.exe файлы, которые Вы находите в F:\windows\system32 и (особенно) где-нибудь в F:\Documents и Параметрах настройки. В " действительно не должно быть многих/любых executables; Документы и Settings" папка.
  • Повторение предыдущий шаг, но поиск имен файла, соответствующих образцу " *.dll" вместо этого.
  • Повторите предыдущий шаг, но ищите имена файла, соответствующие образцу " *.sys" вместо этого.
  • Этот последний шаг справедливо сложен, но обычно успешен при избавлении от большинства самых упрямых червей и trojans. Обратите пристальное внимание и не вворачивайте.
  • Идут, чтобы Начаться-> Пробег и напечатать " regedit" и хит вступает.
  • Груз " SOFTWARE" улей от зараженного компьютера и удаляет немного плохо " управляемый на login" записи.
    • Выбирают HKEY_LOCAL_MACHINE, лево-щелкая этим.
    • Идут в меню File и выбирают " Груз Hive".
    • Проводят к F:\Windows\System32\Config и выбирают файл, названный " SOFTWARE".
    • Это спросит у Вас ключевое название. Напечатайте " INFECTED_SOFTWARE" и хит вступает.
    • Щелчок плюс знак рядом с HKEY_LOCAL_MACHINE, чтобы показать ключ " INFECTED_SOFTWARE".
    • Проводят к HKEY_LOCAL_MACHINE\INFECTED_SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
    • Назад это! Правильный щелчок на " Run" и выберите " Экспортный Data" и сохраните файл как " INFECTED_SOFTWARE, Пробег reg" в карантийной папке. Отметьте, что, если Вы должны восстановить эту резервную копию позже, в то время как зараженный компьютер бежит, Вы должны будете открыть reg файл в редакторе текста и немного изменить ключевой путь. HKEY_LOCAL_MACHINE\INFECTED_SOFTWARE должен был бы быть изменен на HKEY_LOCAL_MACHINE\SOFTWARE, например. Если Вы просто хотите немедленно восстановить reg файл при управлении на чистом компьютере, Вы не должны отредактировать файл; только удостоверьтесь, что улей все еще загружен и щелкать два раза reg файлом, чтобы повторно вставить его ключи/ценности в соответствующие места.
    • В правильном стекле Вы должны видеть список записей. Некоторые из них могут включать Явское Обновление, Посыльного Момента AOL, Посыльного MSN / Windows Live Messenger, ICQ, Trillian, nVidia / водители ATI, Звуковые водители, Клавиатура / водители Мыши, Антивирус, программное обеспечение Брандмауэра, и т.д.Снова, используйте свое лучшее суждение и методы, описанные ранее для того, чтобы дифференцироваться хороший от плохо. Если Вы решаете, что кое-что плохо, захватите файл EXE, на который указывает ключ, и бросьте это в карантийную папку, и удалите ключ. Вы можете всегда восстанавливать это позже использование резервной копии регистрации.
    • Выполняют те же самые шаги в " RunOnce" и " RunOnceEx" прямо рядом с " Run" ключ. Они могут или, возможно, не имеют записей в них.
    • , Когда Вы сделаны, важно, что Вы нажимаете на " INFECTED_SOFTWARE" и затем пойдите в меню File и выберите " Разгрузите Hive".
  • Груз " DEFAULT" улей от зараженного компьютера (F:\Windows\System32\Config\DEFAULT) и удаляет немного плохо " управляемый на login" записи. Используйте те же самые шаги как в " SOFTWARE" шаг. Отметьте: " DEFAULT" у улья, возможно, даже нет " Run" ключ. Если это имеет место, пропустите это. Убедитесь, что разгрузили " INFECTED_DEFAULT" когда Вы сделаны.
  • Груз улей каждого пользователя от зараженного двигателя. Вы найдете улей в F:\Documents, и Settings\UserName\NTUSER.DAT - загружают это как " INFECTED_USERNAME" и затем пройдите его " Run/RunOnce/RunOnceEx" ключи для плохих записей. Вы знаете тренировку к настоящему времени, правильно? Убедитесь, что разгрузили каждый улей, когда Вы сделаны.
  • , Если Вы используете внешнее вложение жесткого диска, используйте " Благополучно Удалите Hardware" чтобы удалить это из Вашего PC, выключите это, и удалите (мы надеемся, к настоящему времени) убранный двигатель. Иначе, Вы должны привести в действие вниз свой чистый PC и удалить убранный двигатель из случая.
  • Повторно устанавливают убранный двигатель в его собственном случае и власти на Вашем убранном PC.
  • , Если Ваш PC абсолютно отказывается загрузить в этом пункте, у Вас не может быть никакого выбора, кроме как вытереть двигатель чистят и повторно устанавливают Windows. Удостоверьтесь, что Вам поддержали все и все Ваш повторно устанавливающего компакт-диски и лицензируете ключи, удобные прежде, чем Вы сделаете это.
  • Если Ваш PC загружает, Вы должны немедленно управлять программами антипрограммы - шпиона в " Cleaners" папка. Если есть какая-нибудь программа - шпион, оставленная на Вашем PC, это находится вероятно в ослабленном государстве в этом пункте и может уступить теперь. Также управляйте своей в настоящее время устанавливаемой программой антивируса, или попытайтесь управлять Вашей программой антивируса от " Cleaners" папка; это может или, возможно, не работает.
  • , Если Вы уверенны, что Вы удалили весь malware, Вы можете продолжить использовать свой Windows, устанавливают. Однако, если работа недопустима, у Вас не может быть никакого выбора, кроме как повторно устанавливать. Некоторый malware является настолько постоянным, что это - меньше усилия просто начаться с чистого сланца.

Подсказки

  • Windows NT и Windows 2000 используют " WINNT" папка вместо " WINDOWS" папка.
  • Windows 95/98/ME являются вероятно не стоящими восстановление. Только сделайте копию, вычистите их и повторно установите, или переформатируйте и установите Windows XP. Если Ваш компьютер не может поддержать XP, пойдите покупка новый.
  • Много старших компьютеров могут легко управлять Linux, который безопасен и может сделать большинство задач.

Предупреждения

  • не удаляет файлы, если Вы не уверены, что они плохи. Поместите их в специальную карантийную папку.
  • Быть осторожным, нажимая на файлы. Не щелкайте два раза, Вы не хотите заражать свой чистый PC! Если Вам включали файл единственного щелчка, открывающийся, выключаете его!

Вещи Вы будете Нуждаться в

  • Другой компьютер. Этот процесс не будет действительно работать, если Вы не сможете убить программу - шпиона, в то время как это является бездействующим.
  • Вы можете также использовать живой компакт-диск как Winternals. Это позволило бы Вам воздействовать на жесткий диск без другого компьютера.

Связанный wikiHows

Источники и Цитаты

Автор: Translate