Bagaimana menghapus Trojan Win32 / Spy.Shiz.NCF

  • Sesuatu terjadi pada saya dengan komputer, saya mengunduh film di Internet yang baru saja keluar di bioskop, jauh di lubuk hati saya mengerti bahwa ada sesuatu yang salah di sini, tetapi saya benar-benar ingin melihat yang baru. Saya bahkan tidak memperhatikan fakta bahwa file video yang diunduh memiliki berat sangat sedikit - 137 KB, ketika saya mencoba menonton film, komputer saya membeku. Antivirus yang diinstal dalam sistem mulai menampilkan pesan yang menyatakan bahwa dalam folder C: \ Windows \ AppPatch virus telah ditemukan dan menawarkan untuk menghapusnya, saya setuju, setelah beberapa saat pesan yang sama muncul lagi. Saya mencoba untuk menghapus folder aneh ini C: \ Windows \ AppPatch sepenuhnya, tetapi tidak ada yang berhasil dan, yang menarik, bahkan dalam mode aman, itu tidak dihapus, semuanya berakhir dengan kesalahan. Pada saat yang sama, sistem mulai memuat untuk waktu yang sangat lama, saya juga tidak dapat masuk ke beberapa situs, misalnya, teman sekelas - mereka mengatakan nama pengguna atau kata sandi yang salah, saya mengandalkan bantuan Anda.
  • Surat No. 2 Halo, tolong beri tahu saya bagaimana caranya, hari ini di pagi hari di situs yang agak aneh, saya mengunduh sebuah buku, namun perlu untuk studi saya, yang sekarang dijual di toko buku dengan harga yang agak mahal dan mencoba membukanya. Tiba-tiba antivirus saya bersumpah di folder C: \ Windows \ AppPatch dan menghapus sesuatu di sana, sekarang ketika memuat sistem operasi Windows 7, sebuah pesan muncul: Windows tidak dapat menemukan C: \ Windows \ AppPatch \ hsgpxjt.exe. Sistem operasi melambat dan membeku, saya mengirimkan tangkapan layar layar dengan kesalahan ini dalam surat. Saya menemukan informasi di Internet bahwa folder ini mengandung virus dan perlu dihapus, tetapi tidak dapat dihapus bahkan dalam mode aman, terjadi kesalahan. Dan di situs Anda mereka mengatakan bahwa Anda tidak dapat menghapus folder ini, karena itu milik sistem operasi, tolong jelaskan semuanya.  

Bagaimana menghapus Trojan Win32 / Spy.Shiz.NCF


Isi artikel:
  • Cara menghapus C: \ Windows \ AppPatch dari folder sistem virus atau program Trojan yang namanya sesuai dengan klasifikasi perusahaan antivirus ESET - Win32 / Spy.Shiz.NCF, yang mencuri kata sandi dan informasi dari komputer Anda, dengan cara nama file virus dihasilkan secara acak di sistem operasi dan bisa seperti ini: hsgpxjt.exe atau Contohnya adalah matadd.exe dan sebagainya. Folder AppPatch itu sendiri adalah folder sistem dan Anda tidak perlu menghapusnya. 
  • Bagaimana virus masuk ke komputer kita.

Baru kemarin, seorang teman saya meminta saya untuk membantunya memecahkan masalah yang sama. Windows 7 teman saya pertama kali melakukan boot untuk waktu yang lama, dan yang kedua bekerja dengan pembekuan parah, antivirus yang diinstal belum diperbarui selama setahun, karena teman saya terlalu malas untuk memperbarui langganan. Alasan terakhir teman saya menoleh kepada saya adalah karena istrinya tidak dapat mencapai teman sekelas.
Jadi teman-teman, pertama-tama, jika terjadi masalah seperti itu, Anda dapat menerapkan Pemulihan Sistem atau mem-boot komputer dari disk anti-virus dan memindai seluruh sistem Anda dari virus, tentang cara mengunduh disk seperti itu, membakarnya di tempat kosong dan menghapus virus dari Windows, kami memiliki beberapa artikel langkah demi langkah : Cara memindai komputer Anda dari virus gratis dengan drive antivirus dari tiga produsen berbeda.
Kami akan mencoba untuk menghapus virus secara manual, ini lebih menarik. Kami menyalakan komputer teman saya, sistem operasi sebenarnya membutuhkan waktu cukup lama untuk memuat, mengingat aturan pertama virus untuk masuk ke Startup, dan kemudian melakukan tindakan perusakannya, saya pikir dia berhasil.
Pertama-tama, periksa folder Startup, tetapi tidak ada apa-apa di dalamnya
  C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup 

Selanjutnya, kami memeriksa startup menggunakan utilitas Windows bawaan untuk mengelola program startup yang disebut Msconfig, ayo pergi Mulai->Lari, kami merekrut msconfig

dan di sini Anda adalah elemen yang tidak dikenal dengan nama yang aneh userinit terletak di startup,

file yang dapat dieksekusi terletak di

C: \ Windows \ AppPatch \ matadd.exe.

Nama ini dari virus matadd.exe dihasilkan secara acak oleh sistem, Anda tidak dapat fokus pada hal itu, dalam kasus Anda itu akan berbeda, tetapi Anda tahu, virus sebenarnya disebut Win32 / Spy.Shiz.NCF dan merupakan trojan. Mari kita buka folder ini dan mencoba untuk menghapusnya, tetapi sayangnya, ketika virus aktif, kami tidak akan berhasil atau Anda dapat menghapus file virus, tetapi itu akan membuat kembali sendiri dalam beberapa detik.
Di jendela utilitas msconfig, hapus centang item ini userinit,

yaitu, kami akan mengecualikannya dari Startup. Sayangnya, dalam kebanyakan kasus ini tidak berarti bahwa virus tidak akan memuat file-nya lagi pada boot berikutnya dari sistem operasi, karena kami tidak dapat menghapus file virus dari folder C: \ Windows \ AppPatch.

Untuk berhasil melawan virus, kita membutuhkan asisten yang:

  • Pertama, kami dapat menampilkan file virus di startup
  • Kedua, ini akan menunjukkan kepada kita perubahan yang dilakukan oleh virus ke registri
Untuk melihat semua yang terjadi saat startup, Anda memerlukan program khusus Manajer Tugas AnVir atau yang lain, misalnya AutoRuns dari Mark Russinovich, keduanya gratis, saya sarankan menggunakan utilitas AnVir Task Manager, karena saya telah memperhatikan pengguna pemula lebih banyak tentang hal itu sejak lama. Unduh di sini http://www.anvir.net/ dan instal.

Penjelasan lengkap tentang bekerja dengan utilitas dapat ditemukan di artikel ini di artikel kami Memulai program di Windows 7 
Satu-satunya peringatan, di awal instalasi, JANGAN memilih instalasi penuh, seperti yang disarankan, tetapi pilih Pengaturan Parameter dan hapus centang semua yang tidak Anda butuhkan, biarkan saja Luncurkan AnVir Task Manager (disarankan) dan Tambahkan ikon ke desktop.

Setelah menginstal program, kami meluncurkannya dan melihat gambar seperti itu, sebanyak lima perubahan dibuat ke registri dengan virus. Hapus centang dan dengan demikian menghapus perubahan yang dilakukan oleh virus dalam registri tidak berfungsi.

Mari cari tahu berapa banyak virus telah menembus sistem kami. Arahkan mouse ke nama kunci virus Muat, klik kanan dan pilih Go-> Show File in Explorer dari menu

 dan segera masuk ke folder kita dengan file virus C: \ Windows \ AppPatch \ matadd.exe.

Kami juga melihat lokasi entri virus dalam registri. Kami melihat program virus telah membuat perubahan di dua bagian dari registri, kami melihat secara detail dan segera menghapus.
Klik kanan pada tombol yang dibuat oleh virus. Muat dan pilih di menu Go-> Buka lokasi entri di registri. 


Bagian
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Dua kunci ditambahkan, hapus
Muat REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Jalankan REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe 


Klik kanan pada tombol yang dibuat oleh virus. userinit dan pilih di menu Go-> Buka lokasi entri di registri 


Bagian
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
 Kuncinya ditambahkan, cukup hapus saja
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Ketika Anda menghapus kunci registri yang dibuat oleh program virus, virus akan segera mencoba membuatnya lagi, yang mana Task Manager AnVir kami akan segera memperingatkan kami dengan jendela ini, klik Hapusdan lindungi registri.

Jika kami tidak memiliki AnVir atau sejenisnya, kami tidak akan dapat mencegah pembuatan kunci virus baru di registri.
Setelah menghapus entri registri ini, perhatikan bagaimana tampilan Startup kami, tidak ada apa pun di dalamnya kecuali program AnVir Task Manager kami.

Tapi ini bukan semua teman, sekarang kita perlu memeriksa seluruh registri untuk nama virus kita matadd.exe, kita klik pada kunci registri yang kita belum melihat HKEY_LOCAL_MACHINE dengan tombol kanan mouse dan pilih Temukan, masukkan bidang pencarian untuk nama virus kami matadd.exe dan klik Temukan selanjutnya

dan kunci tersebut ada di kunci registri yang bertanggung jawab untuk opsi boot sistem operasi - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  • Catatan: Virus telah mengubah kunci yang bertanggung jawab untuk memuat sistem, tetapi kunci sepenuhnya sistem dan userinit tidak mungkin untuk menghapus dari registri seperti dalam kasus-kasus sebelumnya, dari mereka Anda perlu menghapus parameter yang salah:
Sistem REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe 

 


Pasti seperti ini
Sistem REG_SZ
 Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,

 hapus sisanya dan dua pengaturan registri kita akan terlihat seperti ini. 

Setelah membersihkan registri, kami yakin untuk reboot dan cukup menghapus file virus matadd.exe dari folder C: \ WINDOWS \ apppatch.

Kami juga melihat folder file sementara, dari mana virus sering dijalankan oleh file yang dapat dieksekusi..

C: \ USERS \ username \ AppData \ Local \ Temp, omong-omong, hapus semuanya dari folder Temp.

Akar drive sistem, biasanya (C :). Dan tentu saja Anda perlu memeriksa seluruh sistem dengan antivirus Anda. Atau unduh utilitas antivirus Dr.Web CureIt atau utilitas antivirus Microsoft. 

Sekarang, kita dapat mengatakan bahwa kita telah menyelamatkan sistem operasi kita dari virus, bahkan tanpa menggunakan safe mode. Jika Anda tidak dapat menghapus file virus dari folder C: \ Windows \ AppPatch, maka Anda belum sepenuhnya membersihkan registri, Anda melewatkan sesuatu.
Anda juga dapat membuat semuanya lebih sederhana., hapus virus dari folder C: \ Windows \ AppPatch dengan mem-boot dari Live CD apa pun, dan kemudian bersihkan registri.
Semua ini baik, tetapi banyak pengguna akan mengajukan pertanyaan: Bagaimana virus masuk ke folder C: \ Windows \ AppPatch?
Teman-teman hampir semua virus datang kepada kami dari Internet, jadi ketika mengunduh apa pun, berhati-hatilah untuk tidak pernah mematikan kepala Anda. Ambil, misalnya, dua surat, yang isinya saya kutip di awal artikel, pembaca kami hampir yakin bahwa mereka tidak mengunduh apa yang dibutuhkan, tetapi mereka masih membawa masalah sampai akhir dan menangkap virus. Keju gratis hanya dalam perangkap tikus.
Jika Anda memerlukan buku untuk dipelajari, pikirkan tentang pengarangnya, karena untuk menulisnya untuk Anda, penulis telah mengambil waktu dari dirinya sendiri dan keluarganya dan masih dapat membelinya. 
Nah, pada akhirnya beberapa keinginan. Jangan pernah mematikan pemulihan sistem. Kedua, selalu memiliki program anti-virus normal di komputer Anda, tentu saja dengan pembaruan basis data anti-virus terbaru. Buat cadangan dari sistem operasi secara berkala. Jangan bekerja di bawah akun administrator komputer, buat sendiri akun dengan hak terbatas.