Деякий час назад зовсім недавно зі мною сталася неприємна історія. Для сфери програмування мені потрібно було знайти якесь відео, що пояснює що робити в ситуації, яка у мене склалася. Як завжди, я почав розшук по торрент трекера в пошуках заповітного матеріалу. На одному з них я скачав файл .exe, який треба було запустити, і він запише в завантаження файл, для подальшого відкриття в програмі торрент-клієнт. Взагалі я, як і будь-яка антивірусна утиліта, дуже негативно ставимося до такого роду документів, і якщо немає виходу, то запускаю їх на віртуальній машині. Але через те, що дуже великий проміжок часу (десь понад рік) мені не попадався такий вид шкідливих файлів моя пильність притупилася, і я мав необережність запустити дану програму на своїй робочій машині. Антивірус відповідно був відключений, тому що зі старту лається на такі файли. Крім торрента програма занесла мені на комп'ютер вірус, причому УВАГА, даний вірус не визначався ніякої антивірусною програмою як шкідливий. Але немає лиха без добра, під час боротьби з цією злоякісною пухлиною для комп'ютера я навчився деяким новим речам. Таким, як виявити і видалити вірус в комп'ютері вручну, про це і хочу розповісти вам в цій статті.

У той момент, коли я заходив на комп'ютер з-під облікового запису Microsoft, фактично відразу вискакувала командний рядок (ось знахабніли прям не соромлячись), на якій з'являлася лінія завантаження. Вірус встановлював непотрібний софт, і ще щось скачував з інету, шкода, що я не здогадався відобразити цю подію на скріншот, з тієї причини, що тоді мене ще не спало на думку написати статтю на цю тему. Все ж деякі моменти я зміг сфотографувати, а те що не зміг, постараюся описати на словах. Після того як смуга завантаження на командному рядку доходила до кінця то Cmd зникала і з'являлася вікно, як ось, типу, від імені адміністратора з'являється, на якому було написано, що якесь "ТОВ GROMKO" хоче встановити свої поновлення в систему. Не будь я бувалим у цій справі то напевно натиснув би на "ТАК", без зайвих сумнівів.

Я копнув трохи глибше і виявив що крім уявних оновлень даний вірус ще хоче додатково встановити свої сертифікати безпеки, які визнавалися ОС і антивірусом як нормальні, тобто не шкідливі. А коли вся ця байда закінчувалася, в процесі якого я весь час відмовляв в установці того або іншого компонента, в браузері починали вискакувати сторінки з рекламою. Навіть якщо браузер був закритий, то шкідлива програма відкривала його сама. Але як тільки все закривалося більше нічого не турбувало до наступного входу в систему (може бути перезавантаження, або включення вимикання теж). А з наступним входом все починалося знову. Звичайно я був в замішанні, антивірус зловити не може і вискакує все це справа тільки при досить делікатних умовах. Думав я, думав, як зловити цю заразу, Windows заново не хотілося, та й відкат не сильно допоміг би тому що, після останньої точки відновлення я встановив кілька речей для переустановлення яких потрібно було б витратити якийсь час. Незабаром я таки додумався до такого собі рішення.

Якщо ви потрапили в таку, або, схожу ситуацію все можна вирішити вбудованими засобами операційної системи. Перше що потрібно це відстежити який саме файл запускає цей процес, тому під час запуску шкідливого коду потрібно швидко відкрити "Диспетчер завдань" і перейти у вкладку "Подробности". Там, в перших рядах можна буде побачити які процеси і у яких програм працюють в цю хвилину. Просто слід трохи придивитися і ви відразу побачите відміну поганого від нормальних процесів запущених програм. У моєму випадку він мав назву 5990957.exe. Погляньте на скріншот нижче відразу помітно відмінність не так?

Цей скріншот я створив за допомогою Фотошопа з причини, описаної вище (тоді не думав, що буду писати статтю на цю тему), але, точно так, виглядало у мене на комп'ютері, насправді, коли все сталося. Після того як буде виявлений шкідник, потрібно знайти його місце розташування. Тому треба натиснути правою кнопкою мишки на самому процесі і в списку, що з'явився, вибрати рядок "Відкрити розташування файлу".

Після того як система переведе вас в папку з файлом в моєму випадку це була системна директорія "C: \ Windows \ SysWOW64" (о жах), потрібно його видалити вручну, тобто клікнути на ньому правою кнопкою мишки і вибрати рядок "Видалити". Частина проблеми була вирішена був видалений сам вірус, але при вході в систему у мене все ще відкривалися вікна браузера з рекламою.

Був видалений шкідливий файл, який запускав командний рядок і всі свої функції в ній, тобто, завантаження з інтернету деяких файлів і сертифікатів безпеки, а також, виклик вікна за допомогою якого користувач повинен був дати свій дозвіл на установку, а ще створення деяких завдань якщо їх там немає, в планувальнику завдань Windows. Наступним кроком буде потрібно видалити наслідки шкідливої ​​роботи програми. Як ви вже, напевно, здогадалися потрібно буде виконати якісь дії в Планувальнику завдань Windows.

Як мені було зрозуміло, що потрібно йти саме в планувальник завдань. Перш за все, я ретельно перевірив папку в якій знаходилася шкідлива утиліта (вона була видалена в попередньому абзаці), на предмет файлів, що мають незрозумілі назви, а потім просканував її антивірусом. Після чого гарненько переглянув запущені процеси програм, які можуть мати несхожі на інших імена в двох вкладках диспетчера задач "Процеси" і "Подробности". У моєму випадку нічого не знайшлося, але якщо ви знайдете ще що-небудь, то виконайте процедуру, описану вище. Тільки будьте обережні щоб не видалити того чого не треба. Наостанок я запустив антивірус на повне сканування всієї операційної системи. Потім, просто подумав логічно про те, що якщо нічого немає і все ще відкриваються вікна браузера з рекламою, а вискакують вони тільки при певних обставинах то це може бути "Планувальник завдань". Якщо ви відчуваєте труднощі з планувальником завдань, то на сайті pcompstart є стаття яка може вам допомогти називається вона " Все про Планувальнику завдань Windows ". Як тільки я відкрив вікно планувальника завдань, то в очі відразу кинулися рядки мають знову-таки незрозумілі назви.

Клікнувши два рази на першому рядку і після того як відкрилося вікно я перейшов у вкладку "Дії", для того щоб переглянути що дана задача робить. Як я і здогадувався це були ті залишки, від вірусу які мені заважали. Дві завдання запускали командний рядок, а третя відкривала вікно браузера відповідно при збігу певних обставин. Та що відкривала браузер знаходиться посередині, на другому скріншоті. Також ви можете побачити, що в рядку "Програма або сценарій" прописаний браузер Google Chrome, а в поле "Додати аргументи" прописаний адресу (URL сторінки) за яким відкривалося вікно з рекламою.

Справа залишається за малим треба просто їх видалити. Тому слід клікнути на кожній з них правою кнопкою мишки і з контекстного меню вибрати опцію "Видалити".

До того, як був відкритий "Планувальник завдань" я перевірив ще служби на наявність шкідливого програмного забезпечення. Також в службах існувала рядок, яка мені не сподобалася. Ви можете побачити її на скріншотах нижче.

Служби я залишив наостанок, але після того як я провів всі процедури, про які писав вище то вона зникла. На наступному скріншоті показаний файл вірусу вже у мене в кошику на робочому столі.

Ось, так, не вдаючись до додаткових інструментів, я навчився тому, як видалити всі віруси з комп'ютера windows. Якщо у вас виникнуть запитання, то найкраще пишіть на email сайту pcompstart або заповніть та надішліть форму зі сторінки " Контакти ". Також ви можете залишити коментар, і коли у мене з'явиться час я обов'язково відповім.

Ще статті, які можуть зацікавити:
Діагностика системи комп'ютера за допомогою програми Aida64
Дванадцять рад починаючому користувачеві комп'ютера
Навіщо оптимізувати жорсткий диск
Прискорення операційної системи Windows
Налаштування візуальних ефектів або прискорення Windows (продовження)