Сегодня я расскажу о том, как локализовать вирус, если он все-таки проник на ваш компьютер, как победить трояны и как восстановить систему после заражения руткитами, если все зашло слишком далеко.

Итак, если у вас есть подозрение на то, что компьютер заражен, первым делом вы должны выполнить следующие действия:

• отключить компьютер от сети интернет (вытащить UTP-кабель, погасить Wi-Fi);
• отключить от компьютера все внешние устройства (внешние жесткие диски, флешки, телефоны и прочее).

Все это необходимо сделать для изоляции зараженного компьютер от внешнего мира. Отключать компьютер нужно обязательно от доступа во внешний мир через интернет и от локальной внутренней сети, поскольку вредоносная программа практически со стопроцентной вероятностью попытается распространить себя на весь доступный ей сегмент.

К тому же если зловред является частью сети ботнет или содержит компоненты , то он будет бездействовать и активируется в тот момент когда поступит управляющая команда из внешней сети. Это застрахует нас и от утечки локальных данных в сеть, на пример, через DNS-туннелированные или подобные хакерские штуки.

Восстанавление реестра

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС.

Сам реестр, который открывается штатной утилитой regedit, физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\. Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде « », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

Интерфейс утилиты NTBackUp

Загрузившись в Live CD режиме с установочного диска или с локально установленной консоли восстановления (для XP/2003), необходимо выполнить следующие команды, описанные самой Microsoft:

// Создаем резервные копии реестра системы
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

// Удаляем битые файлы из системной директории ОС
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

// Копируем работоспособные файлы реестра из теневой копии
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

Все, перезагружаем машину и смотрим на результат!

Продвинутые методы восстановления реестра

Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.

Окно утилиты TCPView

Список сетевых служб и соотносящихся с ними резервированных портов для NT-шных систем можно посмотреть в файле %SystemRoot%\system32\drivers\etc\services - это тоже по сути текстовый файл без расширения, который доступен к просмотру любым блокнотом.

Окно утилиты Nirsoft CurrPorts

И напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру . Данная утилита восстанавливает ключи реестра сетевых настроек системы со значениями по умолчанию. Помимо этого, она также:

• проверяет файл hosts на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1);
• создает бэкап текущих системных установок (по желанию пользователя);
• отключает все сетевые адаптеры и переустанавливает их параметры.

Окно утилиты WinSock XP Fix

Нативная тулза с графическим интерфейсом , о которой мы говорили, выполняет то же самое, что и команды netsh int ip reset и netsh winsock reset. Аналогична ей тулза Reset-TCPIP, которая выполняет все описанные комбинации консольных команд под одним GUI.

Окно утилиты Reset-TCPIP

Еще одна хорошая бесплатная тулза предназначена для исправления самых разных ошибок, связанных с работой сети и интернета в Windows. Краткий список ее возможностей:

• очистить и исправить файл hosts;
• включить Ethernet и беспроводные адаптеры сети;
• сбросить Winsock и протокол TCP/IP;
• очистить кеш DNS, таблицы маршрутизации, очистить статические IP подключений;
• перезагрузить NetBIOS.

Окно утилиты NetAdapter Repair

Live CD как спасательный круг

И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально Livе CD позиционировался как инструмент для выполнения административных задач: подготовки жесткого диска, оперативного получения доступа к данным, хранящимся на дисках, и так далее. Сейчас же Live CD напоминают скорее универсальный спасательный круг для реанимации системы в случае различных падений, в том числе и после вирусной атаки. Главное их достоинство заключается в том, что все инструменты собраны под одним капотом и могут работать параллельно. Но есть и недостаток: чтобы загрузиться в Live CD режиме, нужно перезагружать машину, что в некоторых случаях для нас недопустимо.

Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем - мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.

    Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.

    Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.

Удаление вируса с помощью отката системы на точку восстановления

    Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .

Переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.

После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.

Удаление вируса без отката системы на точку восстановления

    Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

На вкладке "Общие" можно выбрать следующие режимы запуска Windows:

Обычный запуск - обычная загрузка системы.
Диагностический запуск - при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск - позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").

Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

    В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)

Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.

Устранение возможности запуска вируса с помощью редактора реестра.

    Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER     Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт. Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)

Так выглядит раздел реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки.

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . .) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий. Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . .) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:

set temp
или
echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite.

Простейшие способы удаления блокировщиков семейства MBRLock

Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE (установочный диск, диск аварийного восстановления ERD Commander), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:

bootsect /nt60 /mbr буква системного диска:

bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна быть буква того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

Или для Windows, предшествующих Windows Vista

bootsect /nt52 /mbr буква системного диска:

Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).

Вирусы-шифровальщики и новые проблемы спасения пользовательских данных.

Кроме блокировки компьютера, вирусы вымогатели ипользуют шифрование пользовательских файлов, потеря которых может иметь серьезные последствия, и для восстановления которых жертва готова заплатить. Подобные вирусы-шифровальщики, как правило, используют серьезные технологии шифрования данных, делающие невозможным восстановление информации без ключей шифрования, которые злоумышленники предлагают купить за довольно крупные суммы. Правда, гарантий никаких. И здесь у пострадавшего есть несколько вариантов - забыть о своих данных навсегда, заплатить вымогателям без гарантии восстановления или обратиться к профессионалам, занимающимся восстановлением. Можно восстановить данные самостоятельно, если у вас достаточно знаний и навыков, либо потеря данныж не столь значима при неудаче. Полное восстановление всего и вся не получится, но при некотором везении, значительную часть информации можно вернуть. Некоторые примеры:

Восстановление данных из теневых копий томов - о теневом копировании и возможности восстановления файлов из теневых копий томов.

Recuva - использоваие бесплатной программы Recuva от Piriform для восстановления удаленных файлов, и файлов из теневых копий томов.

С появлением вирусов шифровальщиков нового поколения, проблема сохранности пользовательских данных стала значительно острее. Вирусы не только выполняют шифрование документов, архивов, фото, видео и прочих файлов, но и делают все возможное, чтобы не допустить хотя бы частичное восстановление данных пострадавшим от заражения пользователем. Так, например, вирусы-шифровальщики выполняют попытку удаления теневых копий томов с помощью команды vssadmin , что при отключенном контроле учетных записей (UAC), происходит незаметно и гарантированно приводит к невозможности восстановления предыдущих копий файлов или использования программного обеспечения, позволяющего извлекать данные из теневых копий (Recuva, стандартные средства Windows и т.п.). С учетом применения алгоритмов стойкого шифрования, восстановление зашифрованных данных, даже частичное, становится очень непростой задачей, посильной разве что для профессионалам в данной области. На сегодняшний день, существует пожалуй единственный способ обезопасить себя от полной потери данных - это использовать автоматическое резервное копирование с хранением копий в недоступном для вирусов месте или использовать программное обеспечения типа "машина времени", позволяющее создавать мгновенные копии файловой системы (снимки) и выполнять откат на их содержимое в любой момент времени. Такое программное обеспечение не использует стандартную файловую систему, имеет свой собственный загрузчик и средства управления, работающие автономно, без необходимости загрузки Windows, что не позволяет вредоносным программам полностью взять под контроль средства восстановления файловой системы. Кроме того, это ПО практически не влияет на быстродействие Windows. Примером такого ПО могут быть некоторые коммерческие продукты компании Horizon DataSys и бесплатные Comodo Time Machine и Rollback RX Home

Comodo Time Machine - отдельная статья о Comodo Time Machine и ссылки для скачивания бесплатной версии.

Rollback Rx Home - отдельная статья о Rollback Rx Home Edition компании Horizon DataSys и ссылки для скачивания бесплатной версии.

Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: «вымогатели». Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки. Лечение вышло не совсем тривиальным, и я подумал, что возможно эта история сбережёт кому-нибудь немного нервных клеток. Я постарался приводить ссылки на все сайты и утилиты, которые понадобились в ходе лечения.

В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа «вымогателям»: support.kaspersky.ru/viruses/deblocker

Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:

Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Также дело осложняло то, что пароли на все учётные записи администраторов были пустые, а вход на компьютер по сети для администраторов с пустым паролем по умолчанию закрыт политикой.
Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.

Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ , CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far . Перезагружаем нетбук, в BIOS выставляем загрузку с USB.

Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка - сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.

Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.

После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна:)

После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС. Другу было сделано строгое внушение о том, как важно пользоваться антивирусами, тем более что, есть много бесплатных (

Отличная программа для удаления вирусов и восстановления системы - AVZ (Антивирус Зайцева). Скачать AVZ вы можете нажав по оранжевой кнопке после генерации ссылок. А если вирус блокирует загрузку, то пробуйте скачать весь антивирусный набор!

Основные возможности AVZ - обнаружение и удаление вирусов.

Антивирусная утилита AVZ предназначена для обнаружения и удаления:

• SpyWare и AdWare модулей - это основное назначение утилиты
• Dialer (Trojan.Dialer)
• Троянских программ
• BackDoor модулей
• Сетевых и почтовых червей
• TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

• Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
• Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
• Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
• Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
• Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
• Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
• Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
• Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
• Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
• Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
• Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
• Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
• Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
• Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
• Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
• Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
• Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
• Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
• Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
• Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
• Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
• Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

Восстановление системных параметров.

• Восстановление параметров запуска.exe .com .pif
• Сброс настроек IE
• Восстановление настроек рабочего стола
• Удаление всех ограничений пользователя
• Удаление сообщения в Winlogon
• Восстановление настроек проводника
• Удаление отладчиков системных процессов
• Восстановление настроек загрузки Безопасного режима
• Разблокирование диспетчера задач
• Очистка файла хост
• Исправление настроек SPI/LSP
• Сброс настроек SPI/LSP и TCP/IP
• Разблокирование редактора реестра
• Очистка ключей MountPoints
• Замена DNS серверов
• Удаление настройки proxy для сервера IE/EDGE
• Удаление ограничений Google

Инструменты программы:

• Диспетчер процессов
• Диспетчер служб и драйверов
• Модули пространства ядра
• Менеджер внутренних DLL
• Поиск в реестре
• Поиск файлов
• Поиск по Coocie
• Менеджер автозагрузки
  
• Менеджер расширений браузеров
• Менеджер апgлетов панели управления (cpl)
• Менеджер расширений проводника
• Менеджер расширений печати
• Менеджер планировщика задач
• Менеджер протоколов и обработчиков
• Менеджер DPF
• Менеджер Active Setup
• Менеджер Winsock SPI
• Менеджер файла Hosts
• Менеджер портов TCP/UDP
• Менеджер общих сетевых ресурсов и сетевых подключений
• Набор системных утилит
• Проверка файла по базе безопасных файлов
• Проверка файла по каталогу безопасности Microsoft
• Вычисление MD5 сумм файлов
  

Вот такой вот немаленький набор для спасения вашего компьютера от различной заразы!

Лайкнуть

Лайкнуть

Твитнуть

Существуют универсальные как швейцарский нож программы. Герой моей статьи - как раз такой «универсал». Зовут его AVZ (Антивирус Зайцева). С помощью этого бесплатного антивируса и вирусы выловить можно, и систему оптимизировать, и проблемы исправить.

Возможности AVZ

О том, что это антивирусная программа, я уже рассказывал в . О работе AVZ в качестве одноразового антивируса (точнее, антируткита) хорошо рассказано в справке к ней, я же покажу вам иную сторону программы: проверка и восстановление настроек.

Что можно «починить» с помощью AVZ:

• Восстановить запуск программ (.exe, .com, .pif файлов)
• Сбросить настройки Internet Explorer на стандартные
• Восстановить настройки рабочего стола
• Снять ограничения прав (например, если вирус заблокировал запуск программ)
• Удалить баннер или окно, появляющееся до входа в систему
• Удалить вирусы, которые умеют запускаться вместе с любой программой
• Разблокировать диспетчер задач и редактор реестра (если вирус запретил их запуск)
• Очистить файл
• Запретить автозапуск программ с флешек и дисков
• Удалить ненужные файлы с жесткого диска
• Исправить проблемы с Рабочим столом
• И многое другое

Также с ее помощью можно проверить на безопасность настройки Windows (дабы лучше защитить от вирусов), а также оптимизировать систему, почистив автозагрузку.

Страница загрузки AVZ находится .

Программа бесплатна.

Сначала обезопасим свою Windows от неосторожных действий

Программа AVZ имеет очень много функций, затрагивающих работу Windows. Это опасно , потому что в случае ошибки может случиться беда. Просьба внимательно читать текст и справку, прежде чем что-то делать. Автор статьи не несет ответственности за ваши действия.

Чтобы иметь возможность все «вернуть как было» после неосторожной работы с AVZ, я написал эту главу.

Это обязательный шаг, по сути создание «пути отхода» в случае неосторожных действий - благодаря точке восстановления можно будет восстановить настройки, реестр Windows до более раннего состояния.

Система восстановления Windows - обязательный компонент всех версий Windows, начиная с Windows ME. Жаль, что о нем обычно не вспоминают и теряют время, переустанавливая Windows и программы, хотя можно было всего лишь пару раз кликнуть мышкой и избежать всех проблем.

Если повреждения серьезные (например, удалена часть системных файлов), то «Восстановление системы» не поможет. В остальных случаях - если вы неправильно настроили Windows, «намудрили» с реестром, поставили программу, от которой Windows не загружается, неправильно воспользовались программой AVZ - «Восстановление системы» должно помочь.

После работы AVZ создает в своей папке подпапки с резервными копиями:

/Backup - там хранятся резервные копии реестра.

/Infected - копии удаленных вирусов.

/Quarantine - копии подозрительных файлов.

Если после работы AVZ начались проблемы (например, вы бездумно воспользовались инструментом AVZ «Восстановлением системы» и Интернет перестал работать) и Восстановление системы Windows не откатило сделанные изменения, можно пооткрывать резервные копии реестра из папки Backup.

Как создать точку восстановления

Идем в Пуск - Панель управления - Система - Защита системы:

Нажимаем «Защита системы» в окне «Система».

Нажимаем кнопку «Создать».

Процесс создания точки восстановления может занять с десяток минут. Затем появится окно:

Точка восстановления будет создана. Кстати, они автоматически создаются при установке программ и драйверов, но не всегда. Поэтому перед опасными действиями (настройкой, чисткой системы) лучше лишний раз создать точку восстановления, чтобы в случае беды хвалить себя за предусмотрительность.

Как восстановить компьютер с помощью точки восстановления

Существует два варианта запуска Восстановления системы - из-под запущенной Windows и с помощью диска с установкой.

Вариант 1 - если Windows запускается

Идем в Пуск - Все программы - Стандартные - Служебные - Восстановление системы:

Запустится Выбрать другую точку восстановления и нажимаем Далее. Откроется список точек восстановления. Выбираем ту, которая нужна:

Компьютер автоматически перезагрузится. После загрузки все настройки, его реестр и часть важных файлов будут восстановлены.

Вариант 2 - если Windows не загружается

Нужен «установочный» диск с Windows 7 или Windows 8. Где его достать (или скачать), я написал в .

Загружаемся с диска (как загружаться с загрузочных дисков, написано ) и выбираем :

Выбираем «Восстановление системы» вместо установки Windows

Починка системы после вирусов или неумелых действий с компьютером

До всех действий избавьтесь от вирусов, например, с помощью . В противном случае толку не будет - исправленные настройки запущенный вирус снова «поломает».

Восстановление запуска программ

Если вирус заблокировал запуск каких-либо программ, то AVZ вам поможет. Конечно, надо еще запустить сам AVZ, но это довольно легко:

Сначала идем в Панель управления - ставим любой вид просмотра, кроме Категории - Параметры папок - Вид - снять галку с Скрывать расширения для зарегистрированных типов файлов - OK. Теперь у каждого файла видно расширение - несколько символов после последней точки в имени. У программ это обычно .exe и .com . Чтобы запустить антивирус AVZ на компьютере, где запрещен запуск программ, переименуйте расширение в cmd или pif:

Тогда AVZ запустится. Затем в самом окне программы нажимаем Файл - :

Надо отметить пункты:

1. Восстановление параметров запуска.exe, .com, .pif файлов (собственно, решает проблему запуска программ)

6. Удаление всех Policies (ограничений) текущего пользователя (в некоторых редких случаях этот пункт также помогает решить проблему запуска программ, если вирус попался очень вредный)

9. Удаление отладчиков системных процессов (очень желательно отметить и этот пункт, потому что даже если вы проверили систему антивирусом, от вируса что-то могло остаться. Также помогает в случае, если Рабочий стол не появляется при запуске системы)

, подтверждаем действие, появляется окно с текстом «Восстановление системы выполнено». После остается перезагрузить компьютер - проблема с запуском программ будет решена!

Восстановление запуска Рабочего стола

Достаточно частая проблема - при запуске системы не появляется Рабочий стол.

Запустить Рабочий стол можно так: нажимаем Ctrl+Alt+Del, запускаем Диспетчер задач, там нажимаем Файл - Новая задача (Выполнить…) - вводим explorer.exe :

ОК - Рабочий стол запустится. Но это только временное решение проблемы - при следующем включении компьютера придется все повторить заново.

Чтобы не делать так каждый раз, надо восстановить ключ запуска программы explorer («Проводник», который отвечает за стандартный просмотр содержимого папок и работу Рабочего стола). В AVZ нажимаем Файл - и отмечаем пункт

Выполнить отмеченные операции , подтверждаем действие, нажимаем OK. Теперь при запуске компьютера рабочий стол будет запускаться нормально.

Разблокировка Диспетчера задач и Редактора реестра

Если вирус заблокировал запуск двух вышеупомянутых программ, через окно программы AVZ можно запрет убрать. Просто отметьте два пункта:

11. Разблокировка диспетчера задач

17. Разблокировка редактора реестра

И нажмите Выполнить отмеченные операции.

Проблемы с интернетом (не открываются сайты Вконтакте, Одноклассники и сайты антивирусов)

Чистка системы от ненужных файлов

Программы AVZ умеет чистить компьютер от ненужных файлов. Если на компьютере не установлена программа очистки жесткого диска , то сойдет и AVZ, благо возможностей много:

Подробнее о пунктах:

1. Очистить кеш системы Prefetch - очистка папки с информацией о том, какие файлы подгружать заранее для быстрого запуска программ. Опция бесполезная, потому что Windows сама вполне успешно следит за папкой Prefetch и чистит ее, когда требуется.
2. Удалить файлы журналов Windows - можно очистить разнообразные базы данных и файлы, хранящие в себе различные записи о происходящих в операционной системе событиях. Опция полезна, если надо освободить с десяток-другой мегабайт места на жестком диске. То есть выгода от использования мизерна, опция бесполезная.
3. Удалить файлы дампов памяти - при возникновении критических ошибок Windows прерывает свою работу и показывает BSOD (синий экран смерти), заодно сохраняя информацию о запущенных программах и драйверах в файл для последующего анализа специальными программами, чтобы выявить виновника сбоя. Опция почти бесполезна, так как позволяет выиграть всего лишь десяток мегабайт свободного места. Очистка файлов дампов памяти системе не вредит.
4. Очистить список Недавние документы - как ни странно, опция очищает список Недавние документы. Этот список находится в меню Пуск. Очистку списка можно произвести и вручную, нажав правой кнопкой по этому пункту в меню Пуск и выбрав «Очистить список последних элементов». Опция полезная: мной было замечено, что очистка списка недавних документов позволяет меню Пуск отображать свои меню чуть-чуть быстрее. Системе не повредит.
5. Очистка папки TEMP - Святой Грааль для тех, кто ищет причину исчезновения свободного места на диске C:. Дело в том, что в папке TEMP многие программы складируют файлы для временного использования, забывая потом «убрать за собой». Типичный пример - архиваторы. Распакуют туда файлы и забудут удалить. Очистка папки TEMP системе не вредит, места может освободить много (в особо запущенных случаях выигрыш свободного места достигает полусотни гигабайт!).
6. Adobe Flash Player - очистка временных файлов - «флеш-плеер» может сохранять файлы для временного использования. Их можно удалить. Иногда (редко) опция помогает в борьбе с глюками Flash Player. Например, с проблемами воспроизведения видео и аудио на сайте Вконтакте. Вреда от использования нет.
7. Очистка кеша терминального клиента - насколько я знаю, эта опция очищает временные файлы компонента Windows под названием «Подключение к удаленному рабочему столу» (удаленный доступ к компьютерам по протоколу RDP). Опция вроде бы вреда не наносит, места освобождает с десяток мегабайт в лучшем случае. Смысла использовать нет.
8. IIS - удаление журнала ошибок HTTP - долго объяснять, что это такое. Скажу лишь, что опцию очистки журнала IIS лучше не включать. В любом случае вреда не наносит, пользы тоже.
9. Macromedia Flash Player - пункт дублирует «Adobe Flash Player - очистка временных файлов» , но затрагивает довольно древние версии Флеш Плеера.
10. Java - очистка кеша - дает выигрыш в пару мегабайт на жестком диске. Я не пользуюсь программами на Java, поэтому последствия включения опции не проверял. Не советую включать.
11. Очистка корзины - назначение этого пункта абсолютно понятно из его названия.
12. Удалить протоколы установки обновлений системы - Windows ведет журнал установленных обновлений. Включение этой опции очищает журнал. Опция бесполезна, потому что выигрыша свободного места никакого.
13. Удалить протокол Windows Update - аналогично предыдущему пункту, но удаляются другие файлы. Тоже бесполезная опция.
14. Очистить базу MountPoints - если при подключении флешки или жесткого диска не создаются значки с ними в окне Компьютер, эта опция может помочь. Советую включать только в том случае, если у вас проблемы с подключением флешек и дисков.
15. Internet Explorer - очистка кеша - очищает временные файлы Internet Explorer. Опция безопасна и полезна.
16. Microsoft Office - очистка кеша - очищает временные файлы программ Microsoft Office - Word, Excel, PowerPoint и других. Проверить безопасности опции не могу, потому что у меня нет Microsoft Office.
17. Очистка кеша системы записи на компакт-диск - полезная опция, позволяющая удалить файлы, которые вы подготовили для записи на диски.
18. Очистка системной папки TEMP - в отличии от пользовательской папки TEMP (см. пункт 5) очистка этой папки не всегда безопасна, да и места обычно освобождается немного. Включать не советую.
19. MSI - очистка папки Config.Msi - в этой папки хранятся различные файлы, созданные инсталляторами программ. Папка имеет большой объем, если программы установки некорректно завершали свою работу, поэтому очистка папки Config.Msi оправданна. Тем не менее, предупреждаю - могут возникнуть проблемы с удалением программ, использующих.msi-инсталляторы (например, Microsoft Office).
20. Очистить протоколы планировщика задач - Планировщик задач Windows хранит журнал, где записывает информацию о выполненных заданиях. Не рекомендую включать этот пункт, потому что выгоды нет, зато проблем прибавит - Планировщик заданий Windows довольно глючный компонент.
21. Удалить протоколы установки Windows - выигрыш места несущественен, смысла удалять нет.
22. Windows - очистка кеша иконок - полезно, если у вас проблемы с ярлыками. Например, при появлении Рабочего стола значки появляются не сразу. Включение опции на стабильность системы не повлияет.
23. Google Chrome - очистка кеша - очень полезная опция. Google Chrome хранит копии страниц в отведенной для этого папке, чтобы быстрее открывать сайты (страницы подгружаются с жесткого диска вместо загрузки через интернет). Иногда размер этой папки достигает полугигабайта. Очистка полезна ввиду освобождения места на жестком диске, на стабильность ни Windows, ни Google Chrome не влияет.
24. Mozilla Firefox - очистка папки CrashReports - каждый раз, когда с браузером Firefox случается проблема и он аварийно закрывается, создаются файлы отчета. Эта опция удаляет файлы отчетов. Выигрыш свободного места достигает пару десятком мегабайт, то есть толку от опции мало, но есть. На стабильность Windows и Mozilla Firefox не влияет.

В зависимости от установленных программ, количество пунктов будет отличаться. Например, если установлен браузер Opera, можно будет очистить и его кеш тоже.

Чистка списка автозапуска программ

Верный способ ускорить включение компьютера и скорость его работы - чистка списка автозапуска. Если ненужные программы не будут запускаться, то компьютер не только будет включаться быстрее, но и работать быстрее тоже - за счет освободившихся ресурсов, которые не будут забирать запущенные в фоне программы.

AVZ умеет просматривать практически все лазейки в Windows, через которые запускаются программы. Просмотреть список автозапуска можно в меню Сервис - Менеджер автозапуска:

Рядовому пользователю столь мощный функционал абсолютно ни к чему, поэтому я призываю не отключать все подряд . Достаточно посмотреть только два пункта - Папки автозапуска и Run* .

AVZ отображает автозапуск не только вашего пользователя, но и всех остальных профилей:

В разделе Run* лучше не отключать программы, находящиеся в разделе HKEY_USERS - это может нарушить работу других профилей пользователей и самой операционной системы. В разделе Папки автозапуска можно отключать все, что вам не нужно.

Зеленым отмечены строчки, опознанные антивирусом как известные. Сюда входят как системные программы Windows, так и посторонние программы, имеющие цифровую подпись.

Черным отмечены все остальные программы. Это не значит, что такие программы являются вирусами или чем-то подобным, просто не все программы имеют цифровую подпись.

Не забудьте растянуть первую колонку пошире, чтобы было видно название программы. Обычное снятие галочки временно отключит автозапуск программы (можно будет потом поставить галку снова), выделение пункта и нажатие кнопки с черным крестиком удалит запись навсегда (или до того момента, как программа снова себя пропишет в автозапуск).

Возникает вопрос: как определить, что можно отключать, а что нет? Есть два пути решения:

Во-первых, есть здравый смысл: по названию.exe файла программы можно принять решение. Например, программа Skype при установке создает запись для автоматического запуска при включении компьютера. Если вам это не нужно - снимайте галочку с пункта, заканчивающегося на skype.exe. Кстати, многие программы (и Скайп в их числе) умеют сами убирать себя из автозагрузки, достаточно снять галку с соответствующего пункта в настройках самой программы.

Во-вторых, можно поискать в интернете информацию о программе. На основе полученных сведений остается принять решение: удалять ее из автозапуска или нет. AVZ упрощает поиск информации о пунктах: достаточно лишь нажать правой кнопкой мыши по пункту и выбрать ваш любимый поисковик:

Отключив ненужные программы, вы ощутимо ускорите запуск компьютера. Однако все подряд отключать нежелательно - это чревато тем, что вы потеряете индикатор раскладки, отключите антивирус и т.д.

Отключайте только те программы, о которых вы знаете точно - они вам в автозапуске не нужны.

Итог

В принципе, то, о чем я написал в статье, сродни забиванию гвоздей микроскопом - программа AVZ подходит для оптимизации Windows, но вообще-то это сложный и мощный инструмент, подходящий для выполнения самых разных задач. Однако, чтобы использовать AVZ на полную катушку, нужно досконально знать Windows, поэтому можно начать с малого - а именно с того, о чем я рассказал выше.

Если у вас есть какие-либо вопросы или замечания - под статей есть блок комментариев, где можно написать мне. Я слежу за комментариями и постараюсь как можно быстрее вам ответить.

Похожие записи:

Лайкнуть

Лайкнуть