Як видалити троян Win32 / Spy.Shiz.NCF (Безпека)

У мене щось відбувається з комп'ютером, скачав в інтернеті фільм, який тільки вийшов в кінотеатрах, в глибині душі розумів, що щось тут не так, але дуже хотілося подивитися новинку. Чи не звернув уваги навіть на те, що скачаний відеофайл важить дуже мало - 137 КБ, при спробі подивитися фільм, мій комп'ютер завис. Встановлений в системі антивірус став виводити повідомлення про те, що в папці C: \ Windows \ AppPatch знайдений вірус і пропонує його видалити, я погоджуюся, через деякий час знову виникає це ж повідомлення. Намагався цю дивну папку C: \ Windows \ AppPatch видалити зовсім, але нічого не виходить і що цікаво, навіть в безпечному режимі вона не видаляється, все закінчується помилкою. При цьому система стала дуже довго завантажуватися, так само не можу увійти на деякі сайти, наприклад в однокласники - кажуть неправильний логін або пароль, розраховую на вашу допомогу.
Лист № 2 Здрастуйте, скажіть будь ласка як мені бути, сьогодні з ранку на досить дивному сайті скачав все ж потрібну для мого навчання книгу, яка зараз продається в книжкових магазинах за досить дорогу ціну і спробував її відкрити. Раптом мій антивірус вилаявся на папку C: \ Windows \ AppPatch і щось там видалив, тепер при завантаженні операційної системи Windows 7, виходить повідомлення: Windows не вдалося знайти C: \ Windows \ AppPatch \ hsgpxjt.exe. Операційна система гальмує і зависає, скріншот екрану з даної помилкою посилаю вам поштою. В інтернеті знайшов інформацію, що дана папка містить віруси і її потрібно видалити, але видалити не виходить навіть у безпечному режимі, виходить помилка. А на вашому сайті кажуть, що видаляти папки можна, так як вона належить операційній системі, роз'ясніть все ласка.

Як видалити троян Win32 / Spy.Shiz.NCF

Зміст статті:

Як видалити з системної папки C: \ Windows \ AppPatch вірус або троянську програму, що має свою назву по класифікації антивірусної компанії ESET - Win32 / Spy.Shiz.NCF, краде паролі та інформацію з вашого комп'ютера, до речі ім'я вірусного файлу генерується в операційній системі випадковим чином і воно може бути таким: hsgpxjt.exe або до наприклад таким matadd.exe і так далі. Сама папка AppPatch є системною і її видаляти не потрібно.
Як вірус потрапляє до нас на комп'ютер.

Буквально вчора, один мій знайомий попросив мене допомогти йому вирішити аналогічну проблему. Windows 7 мого приятеля по-перше довго завантажується, а по-друге працює з сильними зависаннями, встановлений антивірус не оновлювався вже рік, так як моєму другові просто лінь продовжити передплату. Останнім аргументом для звернення мого приятеля до мене стало те, що його дружина не змогла потрапити на сайт однокласники.
Отже друзі в першу чергу при таких проблемах ви можете застосувати відновлення системи або завантажити комп'ютер з антивірусного диска і просканувати всю вашу систему на віруси, про те як скачати такий диск, пропалити на болванку і видалити віруси з системи Windows, у нас є кілька покрокових статей : Як перевірити комп'ютер на віруси безкоштовно, антивірусними дисками трьох різних виробників.
Ми ж з вами спробуємо видалити вірус вручну, так цікавіше. Включаємо комп'ютер мого друга, завантаження операційної системи насправді відбувається досить довго, згадаємо перше правило вірусу потрапити в автозавантаження, а потім вже робити свої деструктивні дії, мені здається йому це вдалося.
В першу чергу перевіряємо папку Автозавантаження, але в ній нічого немає
C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

Далі перевіряємо автозагрузку за допомогою вбудованої в Windows утиліти для управління автозапускаемой програмами, яка називається MSConfig, йдемо Пуск->виконати, набираємо msconfig

і ось будь ласка невідомий елемент з дивною назвою userinit знаходиться в Автозавантаженні,

виконуваний файл знаходиться за адресою

C: \ Windows \ AppPatch \ matadd.exe.

Дана назва вірусу matadd.exe випадково сгенерированное системою, можете не звертати на нього увагу, в вашому випадку воно буде обов'язково іншим, але знайте, називається вірус насправді Win32 / Spy.Shiz.NCF і являє собою троянську програму. Пройдемо в дану папку і спробуємо його видалити, але на жаль поки вірус активний у нас нічого не вийде або вірусний файл вам видалити вдасться, але він через пару секунд відтворить себе знову.
У вікні утиліти msconfig знімемо галочку з даного елемента userinit,

тобто виключимо його з автозавантаження. На жаль в більшості випадків це не означатиме те, що вірус при наступному завантаженні операційної системи не завантажить свої файли знову, так як вірусний файл з папки C: \ Windows \ AppPatch нам видалити не вдалося.

Для успішної боротьби з вірусом нам потрібен помічник, який:

По-перше зможе нам показати файл вірусу знаходиться в автозавантаження
По-друге покаже нам зміни внесені вірусом в реєстр

Для того що б побачити все що у вас діється в Автозавантаженні потрібна спеціальна програма AnVir Task Manager або інша, наприклад AutoRuns від Марка Руссиновича, обидві вони безкоштовні, пропоную скористатися утилітою AnVir Task Manager, так як я давно помітив початківцям користувачам вона подобається більше. Викачуємо її здесьhttp: //www.anvir.net/ і встановлюємо.

Повний опис роботи з утилітою можна прочитати ось в цій нашій статті Автозавантаження програм в Windows 7
Єдине застереження, на самому початку установки НЕ вибирайте повну установку, як рекомендується, а виберіть Налаштування параметрів і зніміть галочки з усього, що вам не потрібно, залиште тільки на пункті Запустити AnVir Task Manager (рекомендується) і Додати іконку на робочий стіл.

Після установки програми запускаємо її і бачимо таку картину, вірусом в реєстр внесено цілих п'ять змін. Зняти галочки і тим самим видалити зміни зроблені вірусом в реєстрі не виходить.

Давайте дізнаємося наскільки вірус проник в нашу систему. Наводимо миша на ім'я вірусного ключа Load, клацаємо правою мишею і вибираємо в меню Перейті-> Показати файл в провіднику

і відразу потрапляємо в нашу папку з вірусним файлом C: \ Windows \ AppPatch \ matadd.exe.

Так само дивимося розташування записів вірусу в реєстрі. Бачимо вірусна програма внесла свої зміни в два розділи реєстру, дивимося детально і відразу видаляємо.
Клацаємо правою мишею на створеному вірусом ключі Load і вибираємо в меню Перейті-> Відкрити розташування записи в реєстрі.

розділ
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Додано два ключа, видаляємо їх
Load REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Run REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe

Клацаємо правою мишею на створеному вірусом ключі userinit і вибираємо в меню Перейті-> Відкрити розташування записи в реєстрі

розділ
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Доданий ключ, так само видаляємо його
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

При видаленні створених вірусної програмою ключів реєстру, вірус тут же спробує створити їх знову, про що нас відразу попередить наш AnVir Task Manager таким ось вікном, натиснемо вилучитиі захистимо реєстр.

Не будь у нас програми AnVir або подібної їй, ми б ніяк не змогли перешкодити створенню нових вірусних ключів в реєстрі.
Після видалення даних записів в реєстрі, зверніть увагу як виглядає наша Автозавантаження, в ній нічого крім нашої програми AnVir Task Manager немає.

Але це ще не все друзі, зараз нам потрібно перевірити весь реєстр на назву нашого вірусу matadd.exe, клацаємо на розділі реєстру, який ми ще не дивилися HKEY_LOCAL_MACHINE правою кнопкою миші і вибираємо Знайти, вставляємо поле пошуку назви нашого вірусу matadd.exe і тиснемо Знайти далі

і такі ключі знаходяться в розділі реєстру, відповідального за параметри завантаження операційної системи - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Примітка: Вірусом змінені ключі відповідальні за завантаження системи, але зовсім ключі system і userinit з реєстру видаляти як в попередніх випадках не можна, з них потрібно видалити невірні параметри:

System REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe

Повинно бути, ось так
System REG_SZ
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,
інше видаляємо і два наші параметра реєстру повинні виглядати ось так.

Після очищення реєстру обов'язково перезавантажуємося і запросто видаляємо вірусний файл matadd.exe з папки C: \ WINDOWS \ apppatch.

Так само переглядаємо папки тимчасових файлів, звідки дуже часто запускають виконувані файли віруси.

C: \ USERS \ ім'я користувача \ AppData \ Local \ Temp, до речі з папки Temp видаліть все.

Корінь системного диска, зазвичай (С :). Ну і звичайно потрібно перевірити всю систему своїм антивірусом. Або завантажити антивірусну утиліту Dr.Web CureIt або антивірусними утилітами від Microsoft.

Тепер, можна сказати ми позбавили нашу операційну систему від вірусу, навіть не вдаючись до безпечного режиму. Якщо у вас не вийде видалити вірусний файл з папки C: \ Windows \ AppPatch, значить ви не повністю очистили реєстр, що то пропустили.
Так само можна все зробити простіше, видалити вірус з папки C: \ Windows \ AppPatch завантажившись з будь-якого Live CD, а потім почистити реєстр.
Все це добре, але багато користувачів поставлять запитання: Як вірус потрапив в папку C: \ Windows \ AppPatch?
Друзі майже всі віруси приходять до нас з інтернету, тому завантажуючи що-небудь, будьте дуже обережні, не вимикайте ніколи свою голову. Візьмемо наприклад два листи, зміст яких я привів на початку статті, наші читачі майже були впевнені, що скачують не те, що потрібно, але все одно довели справу до кінця і зловили вірус. Безкоштовний сир тільки в мишоловці.
Якщо Вам потрібна якась книга для навчання, подумайте про її автора, адже що б написати її для Вас, письменник відірвав час у себе і у своїй сім'ї і може все-таки її купити.
Ну і під кінець кілька побажань. Не вимикайте ніколи відновлення системи. По-друге завжди майте нормальну антивірусну програму на вашому комп'ютері, звичайно з останніми оновленнями антивірусних баз. Створюйте періодично бекапи операційної системи. Не користуйтеся під обліковим записом адміністратора комп'ютера, створіть собі обліковий запис з обмеженими правами.