Точка восстановления системы при вирусе

    Антивирусные программы, даже при обнаружении и удалении вредоносного программного обеспечения, далеко не всегда восстанавливают полную работоспособность системы. Нередко, после удаления вируса, пользователь компьютера получает пустой рабочий стол, полное отсутствие доступа в Интернет (или блокировку доступа к некоторым сайтам), неработающую мышку и т.п. Вызвано это, как правило, тем, что остались нетронутыми некоторые системные или пользовательские настройки, измененные вредоносной программой под свои нужды.

Восстановление системы, в случае, когда загрузка или вход в систему невозможны.

    Самым простым и действенным способом восстановления поврежденной вредоносным программным обеспечением системы является откат на точку восстановления (Restore Point) когда система еще была в работоспособном состоянии. Кстати, этот же прием можно использовать и для нейтрализации вируса. Откат выполняется таким образом, что изменяются только системные файлы Windows и содержимое реестра. Естественно, восстанавливаются и те элементы, которые, после заражения, позволяют вредоносной программе выполнять свой запуск. Другими словами, откат системы на момент до возникновения вирусного заражения дает возможность изолировать исполняемые файлы вируса и даже, если они остаются в системе, их автоматический запуск не производится, и они никоим образом не могут влиять на работу ОС. Откат на точку восстановления выполняется в среде самой Windows XP (Меню Пуск - Программы - Стандартные - Служебные - Восстановление системы )и в случаях, когда вход в систему невозможен, становится также невыполнимым. Однако, существует инструмент под названием ERD Commander (ERDC) , позволяющий выполнить восстановление системы, даже в случае невозможности запуска штатных средств. Подробное описание ERD Commander и примеры практической работы с ним найдете в статье Инструкция по использованию ERD Commander (Microsoft DaRT).
А в общих чертах, восстановление выполняется с помощью средства ERDC под названием System Restore Wizard . Сначала выполняется загрузка ERD Commander, который представляет собой усеченный вариант Windows (WinPE - Windows Preinstall Edition) и набор специальных программных инструментов для работы с ОС установленной на жестком диске. Затем запускается инструмент System Restore Wizard , с помощью которого состояние системы восстанавливается на созданную ранее ( вручную или автоматически ) точку восстановления. При наличии кондиционных данных точки восстановления, в подавляющем большинстве случаев, система возвращается к работоспособному состоянию.

Восстановление работоспособности с помощью антивирусной утилиты AVZ.

    Это самый простой, не требующий особой квалификации, способ. Антивирусная утилита AVZ Олега Зайцева, кроме основных функций обнаружения и удаления вредоносного ПО, имеет и дополнительную - восстановление работоспособности системы, с помощью специальных подпрограмм, или, по терминологии AVZ - микропрограмм. Утилита AVZ позволяет легко восстановить некоторые системные настройки, поврежденные вирусами. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет и т.п.

    Для запуска процедур восстановления выбираем меню Файл - Восстановление системы и отмечаем галочкой нужную микропрограмму восстановления:

Если не работают некоторые устройства после лечения системы от вирусов.

    Клавиатурные шпионы и вирусы, использующие руткит-технологии для маскировки своего присутствия в зараженной системе, нередко устанавливают свой драйвер как дополнение к реальному драйверу, обслуживающему какое-либо устройство (чаще всего клавиатуру или мышь). Простое удаление файла "вирусного" драйвера без удаления из реестра записи, ссылающейся на него, приведет к неработоспособности "обслуживаемого" устройства.
    Подобное же явление имеет место при неудачном удалении антивируса Касперского, кода перестает работать мышь, и в диспетчере устройств она отображается как устройство с ошибкой, для которого не были загружены все драйверы. Проблема возникает по причине использования антивирусом дополнительного драйвера klmouflt, который устанавливался при инсталляции антивируса. При деинсталляции файл драйвера был удален, но ссылка в реестре на драйвер klmouflt, осталась.

Подобное явление наблюдается и при удалении файла драйвера руткита и оставшейся в реестре ссылке на него. Для устранения проблемы нужно сделать поиск в реестре по строке UpperFilters.
Везде, где в ключах реестра встретится значение

klmouflt - для драйвера от антивируса Касперского
или другое название - для драйвера руткита
mouclass

удалить ненужное klmouflt и перезагрузиться.

Обычно при неработающей клавиатуре и мыши нужно чтобы были восстановлены ключи реестра

Клавиатура:
HKLM\SYSTEM\CurrentControlSet\Control\Class\<4D36E96B-E325-11CE-BFC1-08002BE10318>
UpperFilters=kbdclass

Мышь:
HKLM\SYSTEM\CurrentControlSet\Control\Class\<4D36E96F-E325-11CE-BFC1-08002BE10318>
UpperFilters=mouclass

Если проблема осталась, можно поискать аналогичные значения в LowerFilters

Точка восстановления Windows 7 применяется для отмены наших с вами ошибочных действий при работе на компьютере, приведших к его нестабильной работе. К нам в сервис по обслуживанию компьютеров, приходят за помощью люди, пользующиеся операционной системой Windows 7 много лет и только один из десяти знает про точки восстановления и один из пятидесяти про предыдущие версии файлов, но не умеет ими пользоваться правильно. При кажущейся простоте применения точек восстановления, у данной функции существует много особенностей, которые вам нужно знать. В этой статье изложена информация основанная на личном опыте автора, например мы узнаем почему при включенной Защите системы пропадают точки восстановления или не создаются вовсе. Как воспользоваться точкой восстановления при отсутствии запуска Windows 7 и многое другое, надеюсь мы поможем вам избежать многих ошибок.

Точка восстановления Windows 7

При выборе и применении точки восстановления вам нужно знать, что изменения обычно касаются только системных и программных настроек Windows 7. Все программы, установленные нами после создания выбранной нами точки восстановления, удалятся.

• Например, если вы создали точку восстановления 8 января, и 12 января хотите откатиться на состояние 8 января, то соответственно выберите точку восстановления 8 января. Все программы, установленные вами в промежуток времени с 8 января до 12 января удалятся.

Что касается ваших личных данных, с ними не должно произойти никаких изменений. На данном скришноте, можно заметить, что Защита системы и создание точек восстановления включено по умолчанию только для диска С:\. Проверьте у себя Пуск->Панель управления->Система и безопасность->Система->Защита системы.

Так же нужно знать, что точка восстановления Windows 7, не поможет восстановить удалённые ранее файлы, но в этом случае вам можно воспользоваться функцией Предыдущие версии файлов , только если для данного диска была включена Защита системы и в Настройках параметров восстановления отмечен пункт Восстановить параметры системы и предыдущие версии файлов . В этом случае Защита системы Windows 7 архивирует личные данные пользователей с помощью теневых копий. Так же вы видите, что если нажать на кнопку Настроить , (верхняя иллюстрация) окна Защита системы, для локального диска (С:), появится окно, в котором видно, что для точек восстановления диска (С:) выделено 10% дискового пространства. Знайте, что лучше выделить 15%. Чем больше выделено места на жёстком диске для точек восстановления, тем дольше они хранятся. Если Windows 7 необходимо создать новую точку восстановления, а места для её создания недостаточно, то удалится старая точка и вместо неё создастся новая.

Примечание: если для какого-либо тома в операционной системе Windows 7 включена Защита системы, то пользовательские данные архивируются с помощью создания теневых копий и становятся доступны в Предыдущих версиях файлов. Теневые копии, не существуют вечно, для их хранения на жёстком диске выделено пространство, которое регулируется в настройках Защиты системы, как только оно заканчивается, при сознании новых копий старые удаляются.

Например у нас включена Защита системы для диска С:\, соответственно мы с вами сможем воспользоваться функцией Предыдущие версии файлов, щёлкнем на папке диска C:\Program Files правой кнопкой мыши и выберем Восстановить прежнюю версию ,

откроется диалоговое окно Предыдущие версии , в котором будут перечислены все доступные версии предыдущих файлов. Файлы можно восстановить или просто скопировать, сохранив предыдущую и текущую версию.

Читайте статью полностью Предыдущие версии файлов.

При настройке Защиты системы для томов хранящих только ваши файлы, нужно выбрать в Параметрах восстановления пункт Восстановить только предыдущие версии файлов , так как ни каких системных параметров на них нет.

Если вы беспокоитесь о сохранении только личных данных, тогда вам лучше воспользоваться функцией Архивирование данных компьютера , это отдельная серьёзная тема, так же читайте её отдельно.

Точка восстановления Windows 7 планируется и создаётся один раз в неделю, по прошествии одинакового временного промежутка, такие точки ещё называют контрольными.

Так же точки восстановления Windows 7 создаёт перед установкой каких-либо программ, ну и наконец вы сами сможете создать точку восстановления руками перед установкой какого-нибудь приложения в диалоговом окне Защита системы.
Давайте сначала рассмотрим простой пример создания и применения точки восстановления, а затем разберём примеры посложнее.

Создаётся Точка восстановления Windows 7 таким образом->Пуск->Панель управления->Система и безопасность->Система->Защита системы. В этом диалоговом окне происходит Настройка и Создание точек восстановления. Например мы хотим самостоятельно установить серьёзную программу, но переживаем, вдруг мы что-то сделаем не так, давайте перестрахуемся и создадим точку восстановления вручную для диска С:\, на который мы будем устанавливать нашу программу.
Пуск->Панель управления->Система и безопасность->Система->Защита системы->Создать, далее дадим название нашей точке, например 13.

Далее устанавливаем какую-либо программу, но что то пошло не так, например приложение не запускается и мы решили откатится назад с помощью точки восстановления на то время когда на нашем компьютере ещё не было установлено проблемной программы. Идем в Защиту системы и выбираем уже не Создать, а Восстановление , далее

происходит запуск восстановления системных файлов, жмём далее и выбираем нашу точку восстановления 13, обратите внимание на пункт Показать другие точки восстановления , если там поставить галочку, Вам откроются другие более ранние точки восстановления.

Опять далее. Готово.

Предупреждение о том, что процесс восстановления будет невозможно прервать до его окончания, соглашаемся, далее перезагрузка.

Точкой восстановления Windows 7 , можно воспользоваться, если ваш компьютер не загружается, прибегнув к безопасному режиму, здесь невозможно создать точку восстановления, но откатиться с помощью неё к стабильному состоянию компьютера можно. Что бы попасть в Безопасный режим нужно нажать клавишу F-8 на клавиатуре сразу же после запуска компьютера. Перед вами откроется меню Дополнительные варианты загрузки: Устранение неполадок компьютера, далее Безопасный режим. Что бы в Безопасном режиме воспользоваться точкой восстановления Windows 7 нажмите Пуск->Панель управления->Восстановление, далее загрузится Восстановление системы и Запуск восстановления, выбирайте вашу точку восстановления и вперёд.

Если безопасным режимом мы воспользоваться по каким-то причинам не можем, то использовать точки восстановления Windows 7 можно, выбрав в Дополнительных вариантах загрузки->Устранение неполадок компьютера->Восстановление системы. Как это сделать. Можете почитать нашу статью Как восстановить систему Windows 7.

Точки восстановления Windows 7 занимают по умолчанию примерно 10%-15% (как я уже говорил выше), дискового пространства, регулировать дисковый объём, выделенный для точек восстановления можно в окне Настроить - Защита системы. Если места на жёстком диске для точек восстановления выделено много, храниться они будут долго. Для удаления всех точек восстановления, в данном окне нужно нажать кнопку Удалить и все точки восстановления удалятся.

Как удалить все точки восстановления кроме последней? Пуск->В поле поиска вводим Очистка диска, далее выбираем диск, который нужно очистить, затем идём на вкладку Дополнительно->Восстановление системы и теневое копирование->Очистить.

Почему не создаются точки восстановления Windows 7?

Одна из возможностей восстановления Windows 10 — это использование точек восстановления системы, позволяющих отменить последние изменения в ОС, в том числе в системных файлах и реестре ОС. Создать точку восстановления можно вручную, кроме этого, при соответствующих настройках параметров защиты системы.

В этой инструкции подробно описывается процесс создания точек восстановления, настройки, необходимые для того, чтобы Windows 10 делала это автоматически, а также способы использовать ранее сделанные точки восстановления для отката изменений в драйверах, реестре и параметрах системы. Заодно расскажу, как удалить созданные точки восстановления. Также может пригодиться: Что делать, если восстановление системы отключено администратором в Windows 10, 8 и Windows 7, Как исправить ошибку 0х80070091 при использовании точек восстановления в Windows 10.

Примечание: точки восстановления содержат лишь информацию об изменившихся системных файлах, критичных для работы Windows 10 и записях в реестре, но не представляют собой полный образ системы. Если вас интересует именно создание такого образа, на эту тему есть отдельная инструкция — Как сделать резервную копию Windows 10 и восстановиться из нее.

Дополнительную информацию по возможностям возврата работоспособности ОС вы можете найти в статье Восстановление Windows 10.

Настройки восстановления системы

Как создать точку восстановления Windows 10

Теперь на компьютере содержится информация, которая позволит вам отменить последние сделанные изменения в критически важных системных файлах Windows 10, если после установки программ, драйверов или других действий ОС стала работать неправильно.

Созданные точки восстановления хранятся в скрытой системной папке System Volume Information в корне соответствующих дисков или разделов, однако доступа к этой папке у вас по умолчанию нет.

Как откатить Windows 10 до точки восстановления

А теперь об использовании точек восстановления. Сделать это можно несколькими способами — в интерфейсе Windows 10, с помощью инструментов диагностики в особых вариантах загрузки, в среде восстановления, запущенной с флешки (если компьютер не загружается) и в командной строке.

В результате вы попадете в среду восстановления, как в предыдущем способе и сможете воспользоваться точками восстановления даже на не запускающемся компьютере.

И еще один способ — запуск отката до точки восстановления из командной строки. он вам может пригодиться в том случае, если единственный работающий вариант загрузки Windows 10 — безопасный режим с поддержкой командной строки.

Просто введите в командную строку rstrui.exe и нажмите Enter для запуска мастера восстановления (он запустится в графическом интерфейсе).

Как удалить точки восстановления

Видео — создание, использование и удаление точек восстановления Windows 10

И, в завершение, видео инструкция, если же после просмотра у вас останутся вопросы, буду рад ответить на них в комментариях.

Если вас интересует более продвинутое резервное копирование, возможно стоит приглядеться к сторонним средствам для этого, например, Veeam Agent for Microsoft Windows Free.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

12.07.2018 в 19:07

Добрый день! Подскажите, пожалуйста, как решить проблему при восстановлении, вызванную ошибкой 0х80070003. Я удалил с компьютера не того пользователя (про криворукость я себе уже гневную тираду прочитал), и теперь пытаюсь восстановить его через откат системы. Есть две точки отката, но ни через одну из них откатиться не получается. Спасибо!

12.07.2018 в 19:34

может, вы имеете в виду ошибку 0x80070005? Если я прав, то с ней сложно: не всегда удается решить. Один из методов — использовать особые варианты загрузки и запустить оттуда восстановление.
Зайти в особые варианты загрузки можно через параметры — обновление и … — восстановление (кажется там, сейчас глянуть не могу)

30.07.2018 в 21:44

Здравствуйте! Можно ли как-то задать несистемный диск для хранения точек восстановления. Не хочется гробить SSD диск.

31.07.2018 в 09:59

Нет, нельзя. Они привязаны к файловой системе конкретного системного раздела.
И не угробится он от точек восстановления и файла подкачки. Быстрее компьютер поменяете, чем диск выкинете.

31.07.2018 в 21:45

Спасибо за ответ!

11.09.2018 в 11:26

Спасибо огромное! Помогли ваши советы, направили на путь истинный. Даже не будучи системным администратором — и то разобраться можно.

16.09.2018 в 21:25

Здравствуйте уважаемый автор статьи. Прошу прощения если я несколько не по теме. У меня проблема с неправильно установленными обновлениями Windows. После установки обновлений и перезагрузки компьютера система запускается, обычный заход в систему, открывается рабочий стол. Но! буквально через секунд двадцать появляется синий экран с сообщением: На вашем ПК обнаружены проблемы и его требуется перезагрузить… ну и.т.д. И так каждый раз при попытке зайти в систему. Имеется несколько точек восстановления, но я просто не успеваю добраться до запуска системы восстановления, компьютер просто самопроизвольно уходит в перезагрузку. К счастью, у меня на HDD стоят две OS: Windows 8,1 Pro и Windows 10 Pro v1709 (с ней проблемы). До этого (будь он неладен) обновления всё работало прекрасно, душа радовалась. Вы могли бы подсказать что можно сделать в данной ситуации, как мне добраться до точки восстановления и вернуть всё как было. Буду очень благодарен за любую помощь. С уважением. Александр.

17.09.2018 в 13:09

27.02.2019 в 15:04

Здравствуйте! У меня вот какая ситуация .При загрузке какой-либо программы с интернета я делаю точку восстановления. Потом, если пошло вкривь и вкось я включаю систему восстановления. Вот тут и начинается свистопляска. Восстановление идёт и час и два и и всё крутит крутит. Приходится вырубать ноутбук кнопкой вкл\выкл. Жду некоторое время и включаю. Выскакивает сообщение, что восстановление было прервано и на этом всё. То есть ничего не получается. Что можете посоветовать.? ОС 10,ноутбук АСУС

27.02.2019 в 15:42

Здравствуйте.
Ну для начала рекомендую так не делать (не вырубать внезапно), т.к. может потом и не загрузиться система. А вот подождать не час и не два а больше можно попробовать. Т.е. запустите, когда вам не понадобится ноутбук и оставьте его в этом состоянии, чтобы посмотреть, восстановится ли за 4-5 часов (такое бывает, если на ноутбуке медленный HDD и достаточно сильно заполнен системный раздел и сам ноут не из быстрых).

10.03.2019 в 10:09

10.03.2019 в 10:46

Здравствуйте. А диск не в FAT32 (ExFAT) случайно? и не определяется ли как съемный накопитель?

26.02.2020 в 15:34

У меня NTFS только установленная система на ssd. Тоже серая кнопка включения защиты в windows 10 pro ver 1809. как включить службу защиты windows?

27.02.2020 в 09:42

10.04.2019 в 10:34

10.04.2019 в 10:46

11.05.2019 в 14:50

Здравствуйте можно ли как то отключить авто создание точек восстановления, занимают память и создаются когда им угодно..

11.05.2019 в 18:28

Здравствуйте. Просто защиту системы отключите для этого диска (в начале статьи есть о том, где эти парамеры).

11.05.2019 в 19:06

Я просто свою создал, что бы Винду не переустанавливать вдруг что, и создаются новые автоматом.

11.05.2019 в 19:12

Тогда вы можете просто указать, сколько места они могут занимать, в настройках защиты системы, чтобы больше не росли.

08.07.2019 в 12:38

Постоянно отключается защита системы, создание точек восстановления автоматически. Ставишь галочку защита системы — диск с переводишь во включено, через какое то время заходишь, все по новой отключено. Предпочитаю восстанавливаться из образа бекапа, но все же, хочется чтобы если работает то работало все нормально. В чем может быть причина что слетает защита системы создание точек?

08.07.2019 в 14:23

По описанию более всего похоже на наличие утилит для оптимизации/очистки системы. Они могут отключать точки восстановления.

08.02.2020 в 05:36

Здравствуйте. Такая же беда, постоянно отключается защита системы. Никакими оптимизаторами не пользуюсь.

11.07.2019 в 17:23

12.07.2019 в 14:53

Здравствуйте.
Не знаком с таким сценарием, самому бы посмотреть, может что-то и придумал бы, но сходу дать ответ о действиях не могу.
Но, на всякий случай: в среде восстановления можно также попробовать восстановить реестр (если у вас версия Windows 10 до 1803, более поздние не создают автоматических копий реестра) и выполнить проверку целостности системных файлов, возможно это поможет.

17.07.2019 в 20:12

18.07.2019 в 13:17

Здравствуйте.
В данном случае я имел в виду автоматическое создание системой при определенных событиях, затрагивающих ОС. Но вас понял, подумаю над темой.

06.08.2019 в 13:34

Добрый день , когда я делаю точку восстановления , то через несколько секунд появляется окошко Произошла ошибка на странице свойств , не найден модуль ( 0х8007007Е ) закройте страницу свойств и повторите попытку , sfc /scannow делала и там было написано что были исправлены поврежденные файлы, а некоторые восстановит не удалось, переставила систему но потом опять тоже самое, скажите что можно ещё сделать ?

06.08.2019 в 13:59

А после переустановки системы никаких сторонних антивирусов не устанавливали?

24.09.2019 в 22:47

вин 10. как можно сделать так, чтобы точка восстановления не удалялась? (хочу оставить рабочую винду чистую с дровами.) на всякий пожарный. спасибо зарание.

25.09.2019 в 13:11

Здравствуйте.
Наверное, в вашем случае лучше сделать образ системы на отдельном накопителе и использовать его когда угодно.

А вот рабочего способа именно для точек восстановления предложить не могу. Гугл тоже ничего не подсказывает, искал не только на русском.

29.09.2019 в 23:29

Спасибо..) ясненько.. значит так будим жить.

12.10.2019 в 18:52

Спасибо за подробные пошаговые гайды. каждый раз сталкиваясь с какой нибудь мелкой проблемой знаю, что найду простое и доступное решение на этом сайте.

06.12.2019 в 16:30

Добрый день. Помогите у меня на вкладке Свойства системы не отображается ни один диск пишет Идёт поиск. Не могу создать точку восстановления.
Произошла ошибка 0х81000203.

06.12.2019 в 16:37

Здравствуйте. А никаких штук типа Tune Up Utilities не стоит? Они, пишут, могут влиять на появление этой ошибки.
Никакие службы не отключали?

06.12.2019 в 16:56

да отключал Easy Services Optimizer

07.12.2019 в 10:07

Включите обратно, в этой проге есть возможность включить все как по умолчанию в Windows.
А потом перезагрузите комп и проверьте, исчезла ли проблема.

13.12.2019 в 06:17

VSSAdmin list ShadowStorage полезная команда, можно посмотреть информацию по точкам на каждом диске. Сколько выделено и занято.

01.02.2020 в 15:17

02.02.2020 в 11:51

03.02.2020 в 03:06

03.02.2020 в 09:41

С физически отключенным адаптером этим то же самое?

Восстановление работоспособности Windows 7 после вирусного заражения.

Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.

Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.

Удаление вируса с помощью отката системы на точку восстановления

Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock ) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .

Далее пользователь должен выбрать необходимую точку восстановления. Рекомендуемая Windows точка восстановления может не подойти, поэтому лучше всего получить их полный список

- переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.

После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.

Удаление вируса без отката системы на точку восстановления

Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

На вкладке "Общие" можно выбрать следующие режимы запуска Windows:

Обычный запуск - обычная загрузка системы.
Диагностический запуск - при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск - позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").

Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)

Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.

Устранение возможности запуска вируса с помощью редактора реестра.

Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт . Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)

Так выглядит раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки .

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий . Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . . ) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe ) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:

set temp
или
echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite. Страница с подробным описанием Autoruns и ссылкой для скачивания

Простейшие способы удаления блокировщиков семейства MBRLock

Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний ( Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE ( установочный диск, диск аварийного восстановления ERD Commander ), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:

bootsect /nt60 /mbr

bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна использоваться буква для того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

или для Windows, предшествующих Windows Vista