При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
Проверить это можно с помощью команды msconfig, запущенной через меню Пуск - Выполнить
В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").
Как альтернативe команде msconfig можно использовать программу XPTweaker.
В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
При нахождении в них подозрительных элементов - мочить гадов! :)
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe" и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими:
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так:
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
и
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.
Jeppesen имеет широкую линейку специализированного авиационного программного обеспечения, в нее входят как широко известные (FliteMap, JeppView, JSUM), так и относительно редкие для масс программы. Для многих клиентов Jeppesen предлагает программу e-Link for Windows - это практически аналог программы JeppView, но только без модуля FliteDeck. Таким образом, программа Jeppesen e-Link for Windows...
Пилоты современных воздушных судов (ВС) обычно имеют дело с огромным количеством разнообразных документов. Традиционно все эти документы существали в бумажном виде - экипаж возил с собой чемодан (или чемоданы!) со сборниками и другими бумагами. Конечно, имеются различия в количестве документации, а именно - аэронавигационной информации у экипажа регулярных рейсов и их коллег, выполняющих только...
Каждому "нормальному" типу воздушного судна (ВС) присваивается код ИКАО и код ИАТА. Код ИКАО состоит из 4 знаков (букв латинского алфавита и цифр). Код ИКАО для ВС в первую очередь используется при планировании полетов - указывается в 9 поле флайтплана (FPL).
При приготовлении торта практически всегда кондитеры используют специальную рамку, которая определяет форму торта и ограничивает его размеры. Чаще всего эта рамка имеет форму круга, чуть реже - квадрата и прямоугольника. Остальные варианты - овал, сердце, ромб и различные эксклюзивные нестандартные формы - слишком редкие, чтобы принимать их во внимание. Это не важно - откуда был взят рецепт...
Для написания этой статьи было потрачено значительное количество времени и сил, было прочитано множество страниц разных форумов, проанализированы некоторые отзывы к статье и в итоге - этот материал, претендующий на истину для помощи тем, кто хочет самостоятельно настроить себе Интернет от билайна через рутер DLINK DIR-300. Эта статья была написана в первую очередь для того, чтобы эта шпаргалка была всегда...
Новый планшет iPad mini, купленный в Америке, почти сразу при эксплуатации начал себя плохо вести - периодически он жил своей жизнью: менял масштаб экрана, запускал приложения, переходил по ссылкам в браузере, набирал текст на виртуальной клавиатуре... Его владелец - любитель мистики и эзотерики - относил этот глюк к вмешательству потусторонних сил, как, помните, в фильме Джерри Цукера...
Фразы и выражения, в которых используется слово FROM, использование их в повседневной английской речи и сравнение с русскими аналогами. 1. FROM HAND TO HAND (досл.: «от руки к руке»). По-русски это означает: от одного (человека) к другому, из рук в руки.Пример: The book was passed from hand to handКнигу передавали из рук в руки.