Содержание
    Антивирусные программы, даже при обнаружении и удалении вредоносного программного обеспечения, далеко не всегда восстанавливают полную работоспособность системы. Нередко, после удаления вируса, пользователь компьютера получает пустой рабочий стол, полное отсутствие доступа в Интернет (или блокировку доступа к некоторым сайтам), неработающую мышку и т.п. Вызвано это, как правило, тем, что остались нетронутыми некоторые системные или пользовательские настройки, измененные вредоносной программой под свои нужды.
Восстановление системы, в случае, когда загрузка или вход в систему невозможны.
    Самым простым и действенным способом восстановления поврежденной вредоносным программным обеспечением системы является откат на точку восстановления (Restore Point) когда система еще была в работоспособном состоянии. Кстати, этот же прием можно использовать и для нейтрализации вируса. Откат выполняется таким образом, что изменяются только системные файлы Windows и содержимое реестра. Естественно, восстанавливаются и те элементы, которые, после заражения, позволяют вредоносной программе выполнять свой запуск. Другими словами, откат системы на момент до возникновения вирусного заражения дает возможность изолировать исполняемые файлы вируса и даже, если они остаются в системе, их автоматический запуск не производится, и они никоим образом не могут влиять на работу ОС. Откат на точку восстановления выполняется в среде самой Windows XP (Меню Пуск – Программы – Стандартные – Служебные – Восстановление системы )и в случаях, когда вход в систему невозможен, становится также невыполнимым. Однако, существует инструмент под названием ERD Commander (ERDC) , позволяющий выполнить восстановление системы, даже в случае невозможности запуска штатных средств. Подробное описание ERD Commander и примеры практической работы с ним найдете в статье Инструкция по использованию ERD Commander (Microsoft DaRT).
А в общих чертах, восстановление выполняется с помощью средства ERDC под названием System Restore Wizard . Сначала выполняется загрузка ERD Commander, который представляет собой усеченный вариант Windows (WinPE – Windows Preinstall Edition) и набор специальных программных инструментов для работы с ОС установленной на жестком диске. Затем запускается инструмент System Restore Wizard , с помощью которого состояние системы восстанавливается на созданную ранее ( вручную или автоматически ) точку восстановления. При наличии кондиционных данных точки восстановления, в подавляющем большинстве случаев, система возвращается к работоспособному состоянию.
Восстановление работоспособности с помощью антивирусной утилиты AVZ.
    Это самый простой, не требующий особой квалификации, способ. Антивирусная утилита AVZ Олега Зайцева, кроме основных функций обнаружения и удаления вредоносного ПО, имеет и дополнительную – восстановление работоспособности системы, с помощью специальных подпрограмм, или, по терминологии AVZ – микропрограмм. Утилита AVZ позволяет легко восстановить некоторые системные настройки, поврежденные вирусами. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет и т.п.
    Для запуска процедур восстановления выбираем меню Файл – Восстановление системы и отмечаем галочкой нужную микропрограмму восстановления:
. 
1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
Показания к применению:
после удаления вируса перестают запускаться программы.
2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
Показания к применению:
при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru
3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
Показания к применению:
подмена стартовой страницы
4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
Показания к применению:
При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту
5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению:
Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки
6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Показания к применению:
Заблокированы функции проводника или иные функции системы.
7.Удаление сообщения, выводимого в ходе WinLogon
Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
Показания к применению:
В ходе загрузки системы вводится постороннее сообщение.
8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Показания к применению:
Изменены настройки проводника
9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Показания к применению:
AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.
10.Восстановление настроек загрузки в безопасном режиме (SafeMode)
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению:
Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.
11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Показания к применению:
Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором".
12.Очистка списка игнорирования утилиты HijackThis
Утилита HijackThis хранит в реестре ряд своих настроек, в частности – список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению:
Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.
13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".
Показания к применению:
Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы – блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.
14. Автоматическое исправление настроек SPl/LSP
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Внимание ! Данную микропрограмму нельзя запускать из терминальной сессии
Показания к применению:
После удаления вредоносной программы пропал доступ в Интернет.
15. Сброс настроек SPI/LSP и TCP/IP (XP+)
Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft – http://support.microsoft.com/kb/299357 Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Показания к применению:
После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.
16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
Показания к применению:
В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.
17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
Показания к применению:
Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором.
18. Полное пересоздание настроек SPI
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Показания к применению:
Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости !
19. Очистить базу MountPoints
Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.
На заметку:
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки – необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
На заметку:
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы – "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"
На заметку:
Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения – "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).
Если не работают некоторые устройства после лечения системы от вирусов.
    Клавиатурные шпионы и вирусы, использующие руткит-технологии для маскировки своего присутствия в зараженной системе, нередко устанавливают свой драйвер как дополнение к реальному драйверу, обслуживающему какое-либо устройство (чаще всего клавиатуру или мышь). Простое удаление файла "вирусного" драйвера без удаления из реестра записи, ссылающейся на него, приведет к неработоспособности "обслуживаемого" устройства.
    Подобное же явление имеет место при неудачном удалении антивируса Касперского, кода перестает работать мышь, и в диспетчере устройств она отображается как устройство с ошибкой, для которого не были загружены все драйверы. Проблема возникает по причине использования антивирусом дополнительного драйвера klmouflt, который устанавливался при инсталляции антивируса. При деинсталляции файл драйвера был удален, но ссылка в реестре на драйвер klmouflt, осталась.
Подобное явление наблюдается и при удалении файла драйвера руткита и оставшейся в реестре ссылке на него. Для устранения проблемы нужно сделать поиск в реестре по строке UpperFilters.
Везде, где в ключах реестра встретится значение
klmouflt – для драйвера от антивируса Касперского
или другое название – для драйвера руткита
mouclass
удалить ненужное klmouflt и перезагрузиться.
Обычно при неработающей клавиатуре и мыши нужно чтобы были восстановлены ключи реестра
Клавиатура:
HKLMSYSTEMCurrentControlSetControlClass<4D36E96B-E325-11CE-BFC1-08002BE10318>
UpperFilters=kbdclass
Мышь:
HKLMSYSTEMCurrentControlSetControlClass<4D36E96F-E325-11CE-BFC1-08002BE10318>
UpperFilters=mouclass
Если проблема осталась, можно поискать аналогичные значения в LowerFilters
Острые респираторные вирусные инфекции характеризуются поражением различных отделов верхних дыхательных путей. К их числу относятся грипп, парагрипп, респираторно-синцитиальные инфекции, риновирусная болезнь, аденовирусные болезни. Практически каждый человек хотя бы раз в году болеет ОРВИ. Ежегодно в холодное время, благоприятное для его распространения, грипп носит характер эпидемий. Болезнь опасна серьезными осложнениями: острый гнойный гайморит, острый неврит слухового нерва, заболевания легочной системы – пневмония, трахеит, бронхит… Большинство людей после гриппа чувствуют слабость, сниженный аппетит и низкую работоспособность, так как вирусная атака обессилила организм и иммунитет. Данная книга расскажет о том, как в максимально короткие сроки восстановиться после перенесенной инфекции. Рецепты народной медицины и правильное питание в этот период облегчат течение болезни и ускорят выздоровление.
Оглавление
- Предисловие
- Образ жизни после гриппа и ОРВИ
- Сущность борьбы с инфекцией
- Витамины в период ремиссии после гриппа и ОРВИ
- Чеснок
Из серии: ЗдОрОво живешь
Приведённый ознакомительный фрагмент книги Восстановление после вирусных инфекций (Л. И. Абрикосова, 2015) предоставлен нашим книжным партнёром — компанией ЛитРес.
Образ жизни после гриппа и ОРВИ
Большое значение имеет поведение выздоравливающего и его настрой на улучшение самочувствия. Для этого нужно соблюдать несложные правила.
1. Психологическое спокойствие. Для успокоения нервной системы желательно не переутомляться и по возможности окружить себя только позитивными людьми, почаще быть с родными и близкими, избегать контактов с теми, кто вам не приятен. Чаще делать перерывы на работе. Постараться спокойнее относиться к стрессовым ситуациям. Медитировать, не стесняясь.
2. Сон. Старайтесь высыпаться, ложитесь спать не позднее 10 часов вечера. Крепкий, здоровый сон хорошо восстанавливает организм
3. Массаж стоп. На стопах человека находятся биологические точки всех органов и систем, множество нервных окончаний. Если делать массаж стоп в течение 10 дней, эффект вы обязательно почувствуете.
4. Аффирмации. Сформулируйте самостоятельно недлинные фразы о том, какое у вас прекрасное здоровье, настроение и состояние. Это положительно повлияет на ваше самочувствие и поможет быстро восстановиться после гриппа, успокоит нервную систему и придаст уверенности в себе.
– Моя иммунная система быстро восстанавливается после гриппа.
– Я спокоен, уравновешен, с крепкой иммунной системой.
– Сегодня и всегда я нахожусь в прекрасном настроении, у меня все замечательно получается, все дела идут прекрасно.
– Вокруг меня всегда находятся люди, которые меня любят и которых люблю я.
– У меня крепкое здоровье, и организм быстро восстанавливается после гриппа.
5. Водные процедуры. Вода способна расслаблять, успокаивать, приводить организм в порядок. Если есть возможность, посещайте бассейн. Нет – принимайте ванны с морской солью, контрастный душ, если нет противопоказаний, то посещайте баню.
6. Вынужденный покой ослабляет сердечно-сосудистую систему и легкие, истощается мускулатура. Еще в постели нужно готовиться к первому подъему, чтобы в ответственный момент не задрожали колени и не потемнело в глазах. Едва тело привыкло к горизонтальному положению, сосуды тотчас начинают работать в экономичном режиме, поэтому при внезапном вставании они не могут достаточно быстро сжаться, и кровь задерживается в венах. В результате на несколько мгновений нарушается питание мозга кровью, и у человека «темнеет в глазах», может случиться обморок. Сердце начинает работать интенсивнее, чтобы улучшить кровоснабжение, что часто ощущается как сильное сердцебиение. При резком вставании может возникнуть также интенсивное потоотделение и головокружение. Всех этих неприятностей вполне можно избежать, если заранее подготовить систему кровообращения к первому поднятию с кровати.
Это могут быть пассивные и активные двигательные упражнения, укладывание ног на возвышение, дыхательная гимнастика. Интенсивные вдохи и выдохи растягивают грудную клетку, кровь как под действием насоса начинает двигаться интенсивнее.
7. Обтирания всего тела активизируют кровообращение и обеспечивают помимо чувства свежести и комфорта закаливание организма.
8. Физическая активность. Не сразу после гриппа, а спустя 1–2 недели старайтесь вести более активный образ жизни, совершайте больше пеших прогулок, начните или продолжите ваши занятия в спортивных клубах, очень хорошо заниматься йогой, танцами. Самый верный способ повышения иммунитета – это физический труд на свежем воздухе.
9. Пейте побольше воды. Не просто жидкости, а именно чистой воды. Чтобы восстановиться после гриппа, необходимо вывести из организма токсины, которые выделяются при интоксикации вирусом, выпивайте по полному стакану чистой воды за 30 минут до каждого приема пищи.
Внутренние органы, ткани и структуры нуждаются в очистке. Пить следует чистую воду, или бутылированную или не кипяченую, но отфильтрованную через современные фильтры (Аквафор, Барьер). Утром натощак выпивается 2 стакана холодной некипяченой воды в течение получаса. Через 2 часа следует выпить еще 2 стакана воды с добавлением 1 чайной ложки меда (при отсутствии аллергии, поллиноза). Далее допустим легкий перекус из овощей и фруктов. Обедать и ужинать можно как обычно. Чай и кофе следует исключить на эти дни.
Процедура повторяется в течение недели. Очищаться можно 1 раз в 3 месяца.
В первой половине дня все обменные процессы организма идут быстрее, нежели вечером. Более того, жидкости, выпитые на ночь, всасываются тканями и приводят к отекам. Холодная вода плохо всасывается кишечником. Поэтому вся выпитая вода будет действовать именно как очиститель.
10. Очищение организма активированным углем. Для проведения угольного очищения необходимо рассчитать собственную норму «очистителя» из расчета 1 таблетка на 10 кг массы. Суточная доза разделяется на утренний и вечерний прием – за полчаса до еды утром и через 1–2 часа после еды вечером. Уголь запивают 2 стаканами воды.
Очищение длится 7 дней. Допустимо повторение процедуры 2 раза в год.
Нельзя увеличивать дозу и длительность приема угля. Поскольку он не обладает избирательностью, то есть адсорбирует и витамины, и полезную флору. Во время всего времени приема угля нужно соблюдать легкую диету без жирного и сладкого, пить много жидкости.
11. Питание и витамины. Питание играет решающую роль в восстановлении здоровья после любых болезней. Обилие фруктов, свежих овощей, зелени и качественной белковой пищи значительно улучшают состояние здоровья. Свежевыжатые овощные и фруктовые соки, отварные мясо и рыба, кисломолочные продукты, зеленый качественный чай – должны присутствовать в вашем рационе. Нужно заменить мучные изделия хлебцами, выпечкой с цельным зерном, хлебом с отрубями.
Все поведение человека должно быть направлено на то, чтобы избежать осложнений.
Вирусы гриппа могут оказать токсическое воздействие на любой орган и систему человеческого организма. В зависимости от этого, выделяют следующие осложнения и последствия гриппа:
– Легочные: пневмонии, эмпиема плевры, абсцесс легкого.
– Сердечно-сосудистые: перикардиты, миокардиты.
– Со стороны ЛОР-органов: синусит, ринит, отит, трахеит.
– Со стороны нервной системы: менингит, энцефалит, менингоэнцефалит, неврит, невралгии, полирадикулоневриты.
– Синдром Рейе, гломерулонефрит, токсико-аллергический шок и другие.
– Последствием заболевания может быть обострение неврологических и сосудистых заболеваний, которые протекали бессимптомно.
Пневмония относится к самым частым осложнениям гриппа. Обычно это вторичная бактериальная инфекция, вызванная Streptococcus pneumoniae, Staphylococcus aureus или Haemophilus influenzae. Реже встречается комбинированная пневмония, вызванная и вирусами, и бактериями.
Еще более редкое осложнение – первичная вирусная пневмония, для нее характерна высокая смертность. Ее вызывает вирус высокой степени патогенности. Чаще всего такая пневмония встречается у людей с хроническими заболеваниями сердца и легких и развивается за 3–4 дня. Нарушение целостности и проницаемости стенок легочных сосудов, вследствие которого происходит легочное кровотечение, приводит к смерти.
К сердечно-сосудистым осложнениям может привести инфекционно-токсический шок. При крайней степени интоксикации учащаются сердечные сокращения, критически падает артериальное давление. Особенно часто эти осложнения встречаются у пожилых людей. Реже встречаются такие осложнения гриппа как миокардит и перикардит. Последний может привести к сердечной недостаточности.
Осложнения со стороны ЛОР-органов. Размножаясь в респираторном тракте, вирус гриппа нарушает процесс очищения дыхательных путей от пыли и бактерий. После гриппа часто возникают такие вторичные бактериальные инфекции как ринит, синусит, гайморит, трахеит, бронхит, отит. В свою очередь, возникшие как осложнение гайморит или отит могут спровоцировать воспалительные заболевания мозга.
Миозиты. Одним из симптомов гриппа является ломота в мышцах. Это состояние может продолжаться некоторое время после выздоровления и является проявлением миозита – воспаления скелетных мышц. Миозит и другие мышечные заболевания представляют собой мышечные осложнения после гриппа типа В, и чаще встречаются у детей. При этом в моче повышается концентрация глобулярного белка миоглобина, что чревато острым нарушением функции почек.
Осложнения со стороны нервной системы. Грипп обостряет неврологические заболевания, ранее протекавшие бессимптомно. Поэтому на его фоне может развиться первый гипертонический или гипотонический криз, впервые заявить о себе радикулит или нервно-психические расстройства. Поскольку вирус гриппа способен проникнуть через гематоэнцефалический барьер, то он может поражать стенки сосудов мозга и мозговые оболочки. Особенно этому подвержены люди, ранее перенесшие сотрясение мозга или черепно-мозговую травму, а также те, кто злоупотребляет алкоголем. В результате могут развиться менингит, энцефалит, арахноидит.
Исследования, проведенные в Институте мозга, показали, что при проникновении вирусов гриппа в мозг нарушается проницаемость сосудов мозга и работа клеток-макрофагов, которые крайне важны для иммунитета. В норме они убирают бактерии, остатки погибших клеток и другие чужеродные частицы. Но под воздействием вируса макрофаги меняют поведение и на 9–10-й день после начала заболевания атакуют живую нервную ткань.
Чтобы предотвратить такой сценарий, важно как можно больше отдыхать. Даже чтение книг, компьютерные игры, интернет-серфинг, телевизор – все это при гриппе нужно свести к минимуму, особенно в первые дни.
Синдром Рейе. Это редкое осложнение, как правило, встречается у детей (чаще – после гриппа типа В) в результате неправильного лечения препаратами, содержащими ацетилсалициловую кислоту. Синдром Рейе представляет собой острую энцефалопатию с отеком мозга и жировой инфильтрацией печени. Чтобы избежать этого осложнения, для снижения высокой температуры у детей используют препараты на основе парацетамола.
Оглавление
- Предисловие
- Образ жизни после гриппа и ОРВИ
- Сущность борьбы с инфекцией
- Витамины в период ремиссии после гриппа и ОРВИ
- Чеснок
Из серии: ЗдОрОво живешь
Приведённый ознакомительный фрагмент книги Восстановление после вирусных инфекций (Л. И. Абрикосова, 2015) предоставлен нашим книжным партнёром — компанией ЛитРес.
Алексей Комолов (С.-Петернбург)
Если Windows не может найти файл csrcs.exe
Представьте себе, что во время загрузки операционной системы Windows XP у вас выскочит окно с сообщением об ошибке следующего содержания:
Windows не удалось найти ‘csrcs.exe’. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку «Пуск», а затем выберите команду «Найти».
Такое сообщение может выскочить вследствие заражения вашего компьютера троянским вирусом Trojan-Downloader.Win32.AutoIt.fn, который также известен под именем Win32.HLLW.Autoruner.2815 (цифры в конце могут отличаться). Однако чаще всего называют именем своего исполняемого тела, которое лежит в папке C: > Windows > System — csrcs.exe.
Данный троянец нарушает работоспособность компьютера и написан в виде приложения Windows (PE EXE-файл). После заражения компьютера, вирус стремится распространиться через локальную сеть, стараясь размножить себя по всем доступным сетевым ресурсам, что делает его особенно опасным для крупных организаций с большими локальными сетями.
Троянец, записывая себя в папку с полным доступом сетевого компьютера, часто создает файлы с “нулевым” размером и с именем khq или khs.
Также троянец присваивает файлу csrcs.exe атрибуты “скрытый” и “только для чтения”, что делает его более скрытым и дает ему возможность не показываться в стандартном проводнике Windows. В добавок троянец, изменив свой атрибут на скрытый, правит в редакторе реестра некоторые ключи, полностью блокируя отображение скрытых файлов в системе.
Вирус успешно лечится Антивирусом Касперского и Dr Web, но после лечения вируса и при последующей перезагрузке системы как раз и выскакивает описанное выше сообщение о невозможности запустить csrcs.exe. Такое бывает в том случае, если антивирус засек троянца слишком поздно с момента заражения компьютера и вирус успел основательно “окопаться в системе”.
В принципе, в Интернете описано множество методов борьбы с данным вирусом и его последствиями. Один из самых простых и действенных методов борьбы – это скачать и установить программу CSRCS Remove (скачать можно с: http://aysan.ru/poleznye-programmy/csrcs-remove-utilita-dlya-udaleniya-virusa-w32-harakit.html), которая предназначена для поиска, обнаружения и удаления данного вируса. CSRCS Remove не только удаляет сам вирус, но так же избавляется и от неактивных частей вируса, которые часто остаются после лечения некоторыми антивирусами.
Самопроизвольное завершение сеанса при входе в Windows
Представьте себе такую ситуацию: у вас установлена ОС Windows с несколькими пользователями. И вот в один день вы подхватываете вирус-баннер, блокирующий вашу систему. После успешного лечения компьютера вы перезагружаете компьютер, в процессе загрузки появляется окно выбора пользователей, вы выбираете нужного вам, и… сеанс связи автоматически завершается, снова возвращаясь к окну выбора пользователей. То же самое происходит и при попытке войти в систему под любым другим зарегистрированным пользователем.
Возникает один из двух извечных вопросов: “Что делать?”. Ниже я опишу вам способ восстановления работоспособности Windows.
Вам понадобится любой LiveCD, желательно с комплектом ERD Commander.
Вставьте LiveCD в привод дисков, перезагрузитесь и войдите в BIOS, где вам необходимо выставить загрузку с CD и вновь перезагрузиться теперь ваш компьютер запустится с диска.
Теперь приступим к восстановлению системы.
Сначала необходимо отключить восстановление системы, чтобы после запуска ПК на нем не смог восстановиться и удаленный вирус. Для этого необходимо удалить все содержимое папки C: > System Volume Information.
Теперь идите в C: > WINDOWS > system32 > dllcache, найдите там файлы userinit.exe и explorer.exe и удалите их. В принципе вы можете полностью очистить эту папку – ни чего страшного не произойдет, так как в этой папке ОС Windows хранит копии системных файлов на случай сбоя системы.
Затем проверьте в С: > WINDOWS > system32 наличие файлов: winlogon.exe, userinit.exe и logonui.exe. А так же наличие в C: > WINDOWS файла explorer.exe. Если у вас будет возможность, то постарайтесь скопировать эти файлы с другого, не зараженного, компьютера и заменить ими существующие. Просто довольнее часто бывает, что вирусы подменяют собой эти файлы, поэтому их нужно заменить.
В том случае, если вы по какой-либо причине нигде не нашли эти файлы, то вы можете скачать их с http://depositfiles.com/files/r7kt6ow82, где в архиве лежат системные файлы для Windows XP и Vista.
Теперь займемся редактором реестра, в котором необходимо найти все записи, которые могли остаться после вируса и мешающие нормальной загрузке вашего компьютера.
С LiveCD добраться до реестра компьютера с рухнувшей системой не так просто. Тут есть два выхода:
- если в загрузочный диск уже встроены утилиты для работы с удаленным реестром, то проблем не возникнет, так как достаточно просто запустить такую программу и начать работу;
- если таких программ на вашем LiveCD, то можно воспользоваться стандартным редактором реестра, применив функцию загрузки куста.
Об этом поподробнее ниже.
Надеюсь, что на вашем LiveCD найдутся программы из комплекта ERD Commander для редактирования реестра. На любом диске их можно найти обычно здесь:
Идите в Пуск > Администрирование (Инструменты администрирования (Administrative Tools)) > Редактор реестра (Regedit) — должно открыться стандартное окно редактора реестра, в котором уже будет доступно редактирование Windows.
В реестре идите в ветку HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon
В правой части окна реестра ищите параметры:
Shell – дважды кликните левой кнопкой мыши — откроется окно с цифровым значением данного параметра – оно должно быть – Explorer.exe. Если оно другое – то поменяйте его на это.
UIHost – значение данного параметра должно быть logonui.exe (при необходимости – поменяйте ваше на это).
Userinit – значение данного параметра должно быть C:WINDOWSSYSTEM32Userinit.exe,
(в конце обязательно должна быть запятая), при необходимости – поменяйте ваше на это).
