Mon meilleur ami Il m'a apporté un netbook à examiner, qui était gravement infecté par des virus, et m'a demandé de l'aider à nettoyer le système du zoo. Pour la première fois, j'ai vu de mes propres yeux une drôle de branche dans le développement de malwares : les « ransomwares ». De tels programmes bloquent certaines fonctions système opérateur et demande d'envoyer SMS pour recevoir le code de déverrouillage. Le traitement s’est avéré pas tout à fait trivial, et j’ai pensé que cette histoire pourrait peut-être sauver des cellules nerveuses à quelqu’un. J'ai essayé de fournir des liens vers tous les sites et utilitaires nécessaires pendant le traitement.

Dans ce cas, le virus se faisait passer pour un programme antivirus la sécurité sur Internet et a exigé envoi de SMS K207815200 au numéro 4460. Sur le site Web de Kaspersky Lab, il existe une page qui vous permet de générer des codes de réponse de ransomware : support.kaspersky.ru/viruses/deblocker

Cependant, après avoir saisi le code, les fonctions du système d'exploitation sont restées bloquées et le lancement de tout programme antivirus a entraîné l'ouverture instantanée d'une fenêtre de virus qui émulait soigneusement le fonctionnement de l'antivirus :

Les tentatives de démarrage en mode sans échec ont abouti exactement au même résultat. Ce qui compliquait également les choses, c'était le fait que les mots de passe pour tout Comptes les administrateurs étaient vides et la connexion à un ordinateur sur le réseau pour les administrateurs avec un mot de passe vide était bloquée par défaut par la stratégie.
J'ai dû démarrer depuis Clé USB disque (un netbook, par définition, n'a pas de lecteur de disque). Le moyen le plus simple de créer une clé USB bootable :
1. Formatez le disque en NTFS
2. Rendre la partition active (diskpart -> sélectionner le disque x -> sélectionner la partition x -> active)
3. Utilisez l'utilitaire \boot\bootsect.exe de la distribution Vista/Windows 2008/Windows 7 : bootsect /nt60 X : /mbr
4. Copiez tous les fichiers du kit de distribution (je l'avais sous la main Distribution Windows 2008) sur disque USB. Voilà, vous pouvez démarrer.

Puisque nous n'avons pas besoin d'installer le système d'exploitation, mais de traiter les virus, nous copions sur le disque un ensemble de traitements gratuits (AVZ, CureIt) et d'utilitaires auxiliaires (pour l'avenir, j'avais besoin de Streams de Mark Russinovich) et Far. Nous redémarrons le netbook, configurons le BIOS pour qu'il démarre à partir de l'USB.

Le programme d'installation de Windows 2008 est chargé, acceptez le choix de la langue, installez maintenant puis appuyez sur Shift+F10. Une fenêtre de ligne de commande apparaît, à partir de laquelle nous pouvons lancer nos outils antivirus et rechercher une infection sur le lecteur système. Ici, j'ai rencontré une difficulté, CureIt a laissé tomber le système dans l'écran bleu de la mort avec des malédictions sur une erreur de travail avec NTFS, et AVZ, bien qu'il ait fonctionné, n'a rien trouvé. Apparemment, le virus est très, très récent. Le seul indice est un message d'AVZ indiquant qu'un code exécutable a été trouvé dans un flux NTSF supplémentaire pour l'un des fichiers du répertoire Windows. Cela m'a semblé étrange et suspect, car des flux NTFS supplémentaires sont utilisés dans des cas très spécifiques et aucun exécutable ne devrait être stocké sur des machines normales.

Par conséquent, j'ai dû télécharger l'utilitaire Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) depuis Mark et supprimer ce flux. Sa taille était de 126 464 octets, tout comme les fichiers DLL que le virus disposait sur les lecteurs flash insérés dans le système.

Après cela, avec l'aide de Far, j'ai cherché tous disque système je cherche des fichiers de même taille et j'en trouve 5 ou 6 de plus documents suspects, créé au cours des 2-3 derniers jours. Ils ont été supprimés de la même manière. Après cela, CureIt a pu fonctionner (apparemment, il est tombé sur des threads supplémentaires) et a réussi à nettoyer deux autres chevaux de Troie :)

Après le redémarrage, tout a fonctionné ; des analyses supplémentaires d'analyseurs antivirus n'ont rien trouvé. À aider AVZ Les politiques qui limitaient les fonctions du système d'exploitation ont été restaurées. Un ami a reçu des instructions strictes sur l'importance d'utiliser des antivirus, d'autant plus qu'il en existe de nombreux gratuits (

Nous parlerons des moyens les plus simples de neutraliser les virus, en particulier ceux qui bloquent le bureau. Utilisateur Windows 7 (famille de virus Trojan.Winlock). Ces virus se distinguent par le fait qu'ils ne cachent pas leur présence dans le système, mais au contraire la démontrent, ce qui rend extrêmement difficile l'exécution d'actions autres que la saisie d'un "code de déverrouillage" spécial, pour l'obtenir, prétendument , vous devez transférer un certain montant aux attaquants en envoyant un SMS ou en rechargeant téléphone mobile via un terminal de paiement. L'objectif ici est un : forcer l'utilisateur à payer, et parfois de l'argent tout à fait décent. Une fenêtre apparaît à l'écran avec un avertissement menaçant concernant le blocage de l'ordinateur pour l'utilisation d'un logiciel sans licence. logiciel ou visiter des sites indésirables, et quelque chose comme ça, généralement pour effrayer l'utilisateur. De plus, le virus ne vous permet d'effectuer aucune action dans l'environnement de travail Windows - il bloque l'appui sur des combinaisons de touches spéciales pour appeler le menu du bouton Démarrer, la commande Exécuter, le gestionnaire de tâches, etc. Le pointeur de la souris ne peut pas être déplacé en dehors de la fenêtre du virus. En règle générale, la même image est observée lors du chargement de Windows dans mode sans échec. La situation semble désespérée, surtout s'il n'y a pas d'autre ordinateur, la possibilité de démarrer sur un autre système d'exploitation ou avec média amovible(CD LIVE, Commandant ERD, analyseur antivirus). Mais néanmoins, dans la grande majorité des cas, il existe une issue.

Les nouvelles technologies mises en œuvre dans Windows Vista / Windows 7 ont rendu beaucoup plus difficile l'infiltration de logiciels malveillants et la prise de contrôle total du système, et offrent également aux utilisateurs caractéristiques supplémentaires Il est relativement facile de s’en débarrasser, même sans logiciel antivirus. Nous parlons de la possibilité de démarrer le système en mode sans échec avec prise en charge de la ligne de commande et de lancer un logiciel de surveillance et de récupération à partir de celui-ci. Évidemment, par habitude, en raison de l'implémentation assez mauvaise de ce mode dans les versions précédentes des systèmes d'exploitation Famille Windows, de nombreux utilisateurs ne l'utilisent tout simplement pas. Mais en vain. Dans l'équipe Ligne Windows 7 n'a pas le bureau habituel (qui peut être bloqué par un virus), mais il est possible de lancer la plupart des programmes - éditeur de registre, gestionnaire de tâches, utilitaire de récupération du système, etc.

Supprimer un virus en ramenant le système à un point de restauration

Le virus est programme régulier, et même s'il se trouve sur le disque dur de l'ordinateur, mais n'a pas la capacité de démarrer automatiquement au démarrage du système et à l'enregistrement de l'utilisateur, il est alors aussi inoffensif que, par exemple, un ordinateur ordinaire. fichier texte. Si vous résolvez le problème de blocage démarrage automatique malware, la tâche consistant à se débarrasser des logiciels malveillants peut alors être considérée comme terminée. La principale méthode de démarrage automatique utilisée par les virus consiste à utiliser des entrées de registre spécialement créées lors de leur introduction dans le système. Si vous supprimez ces entrées, le virus peut être considéré comme neutralisé. Le moyen le plus simple consiste à effectuer une restauration du système à l'aide des données de point de contrôle. Point de contrôle- il s'agit d'une copie de fichiers système importants, stockée dans un répertoire spécial ("System Volume Information") et contenant, entre autres, des copies de fichiers registre du système Les fenêtres. Effectuer une restauration du système vers un point de restauration dont la date de création précède l'infection virale vous permet d'obtenir l'état du registre système sans les entrées effectuées par le virus envahisseur et ainsi d'exclure son démarrage automatique, c'est-à-dire débarrassez-vous de l’infection même sans utiliser de logiciel antivirus. De cette façon, vous pouvez simplement et rapidement empêcher le système d'être infecté par la plupart des virus, y compris ceux qui bloquent le travailleur. Bureau Windows. Naturellement, un virus bloquant utilisant, par exemple, une modification secteurs de démarrage disque dur(virus MBRLock) ne peut pas être supprimé de cette manière, car la restauration du système jusqu'à un point de restauration n'affecte pas les enregistrements de démarrage des disques, et il ne sera pas possible de démarrer Windows en mode sans échec avec la prise en charge de la ligne de commande, car le virus est chargé avant le chargeur Windows. Pour vous débarrasser d'une telle infection, vous devrez démarrer à partir d'un autre support et restaurer les enregistrements de démarrage infectés. Mais il existe relativement peu de virus de ce type et dans la plupart des cas, vous pouvez vous débarrasser de l'infection en ramenant le système jusqu'à un point de restauration.

1. Au tout début du chargement, appuyez sur le bouton F8. Le menu du chargeur de démarrage Windows apparaîtra à l'écran, avec options possibles démarrage du système

2. Sélectionnez l'option de démarrage Windows - "Mode sans échec avec prise en charge de la ligne de commande"

Une fois le téléchargement terminé et l'utilisateur enregistré, au lieu du bureau Windows habituel, la fenêtre du processeur de commandes cmd.exe s'affichera

3. Exécutez l'outil "Restauration du système", pour lequel ligne de commande vous devez taper rstrui.exe et appuyer sur ENTRÉE.

Basculez le mode sur "Sélectionner un autre point de récupération" et dans la fenêtre suivante cochez la case "Afficher les autres points de récupération"

Après avoir sélectionné un point Récupération Windows, vous pouvez voir la liste des programmes concernés lors d'une restauration du système :

La liste des programmes concernés est une liste de programmes qui ont été installés après la création du point de restauration du système et qui peuvent nécessiter une réinstallation car leurs entrées de registre associées seront manquantes.

Après avoir cliqué sur le bouton "Terminer", le processus de récupération du système commencera. Une fois terminé, il sera exécuté redémarrer Windows.

Après le redémarrage, un message s'affichera indiquant le succès ou l'échec de la restauration et, en cas de succès, Windows reviendra à l'état qui correspondait à la date de création du point de restauration. Si le verrouillage du bureau ne s'arrête pas, vous pouvez utiliser une méthode plus avancée présentée ci-dessous.

Supprimer un virus sans restaurer le système à un point de restauration

Il est possible que le système ne dispose pas de données de point de récupération pour diverses raisons, que la procédure de récupération se soit terminée par une erreur ou que la restauration n'ait pas produit de résultat positif. Dans ce cas, vous pouvez utiliser l'utilitaire de diagnostic de configuration système MSCONFIG.EXE. Comme dans le cas précédent, vous devez démarrer Windows en mode sans échec avec prise en charge de la ligne de commande et dans la fenêtre de l'interpréteur de ligne de commande cmd.exe, tapez msconfig.exe et appuyez sur ENTRÉE.

Dans l'onglet Général, vous pouvez sélectionner les modes de démarrage Windows suivants :

Lorsque le système démarre, seuls les services système et les programmes utilisateur minimum requis seront lancés.
Lancement sélectif- vous permet de vous installer mode manuel une liste des services système et des programmes utilisateur qui seront lancés pendant le processus de démarrage.

Pour éliminer un virus, le moyen le plus simple consiste à utiliser un lancement de diagnostic, lorsque l'utilitaire détermine lui-même un ensemble de programmes qui démarrent automatiquement. Si, dans ce mode, le virus cesse de bloquer le bureau, vous devez alors passer à l'étape suivante : déterminer quel programme est un virus. Pour ce faire, vous pouvez utiliser le mode de lancement sélectif, qui vous permet d'activer ou de désactiver manuellement le lancement de programmes individuels.

L'onglet "Services" permet d'activer ou de désactiver le lancement des services système dont le type de démarrage est défini sur "Automatique". Décoché avant le nom du service signifie qu'il ne sera pas démarré lors du démarrage du système. Au bas de la fenêtre de l'utilitaire MSCONFIG, il y a un champ pour définir le mode "Ne pas afficher les services Microsoft", qui, lorsqu'il est activé, affichera uniquement les services tiers.

Veuillez noter que la probabilité qu'un système soit infecté par un virus installé en tant que service système est paramètres standards la sécurité dans l'environnement Windows Vista / Windows 7 est très faible, et les traces du virus devront être recherchées dans la liste des programmes utilisateur lancés automatiquement (l'onglet "Démarrage").

Tout comme dans l'onglet Services, vous pouvez activer ou désactiver le lancement automatique de tout programme présent dans la liste affichée par MSCONFIG. Si un virus est activé dans le système par lancement automatique à l'aide de clés de registre spéciales ou du contenu du dossier de démarrage, alors en utilisant msconfig, vous pouvez non seulement le neutraliser, mais également déterminer le chemin et le nom du fichier infecté.

L'utilitaire msconfig est un outil simple et pratique pour configurer le démarrage automatique des services et des applications qui démarrent de manière standard pour les systèmes d'exploitation de la famille Windows. Cependant, les auteurs de virus utilisent souvent des techniques qui leur permettent de lancer des programmes malveillants sans utiliser les points d'exécution automatique standards. Vous pouvez très probablement vous débarrasser d'un tel virus en utilisant la méthode décrite ci-dessus en ramenant le système à un point de restauration. Si une restauration n'est pas possible et que l'utilisation de msconfig n'a pas abouti à un résultat positif, vous pouvez utiliser l'édition directe du registre.

Dans le processus de lutte contre un virus, l'utilisateur doit souvent effectuer un redémarrage brutal en réinitialisant (Reset) ou en coupant l'alimentation. Cela peut conduire à une situation dans laquelle le système démarre normalement, mais n'atteint pas l'enregistrement de l'utilisateur. L'ordinateur se bloque en raison d'une violation de la structure logique des données dans certains fichiers système, ce qui se produit lorsque le travail n'est pas terminé correctement. Pour résoudre le problème, de la même manière que dans les cas précédents, vous pouvez démarrer en mode sans échec avec la prise en charge de la ligne de commande et exécuter la commande check system disk

chkdsk C: /F - vérifie le lecteur C: et corrige les erreurs détectées (clé /F)

Parce qu'en ce moment exécuter chkdsk le disque système est occupé par les services et applications système, programme chkdsk ne peut pas y obtenir un accès exclusif pour effectuer des tests. Par conséquent, l'utilisateur recevra un message d'avertissement et sera invité à effectuer des tests au prochain redémarrage du système. Après avoir répondu Y, les informations seront saisies dans le registre pour garantir que la vérification du disque démarrera au redémarrage de Windows. Une fois la vérification terminée, ces informations sont supprimées et Windows redémarre normalement sans intervention de l'utilisateur.

Éliminer la possibilité qu'un virus s'exécute à l'aide de l'éditeur de registre.

Pour lancer l'éditeur de registre, comme dans le cas précédent, vous devez démarrer Windows en mode sans échec avec prise en charge de la ligne de commande, tapez regedit.exe dans la fenêtre de l'interpréteur de ligne de commande et appuyez sur ENTRÉE. Windows 7, avec les paramètres de sécurité système standard, est protégé contre de nombreuses méthodes de lancement de programmes malveillants utilisés pour Versions précédentes systèmes d'exploitation de Microsoft. Virus installant leurs propres pilotes et services, reconfigurant le service WINLOGON en connectant leurs propres modules exécutables, corrigeant les clés de registre pertinentes pour tous les utilisateurs, etc. - toutes ces méthodes soit ne fonctionnent pas sous Windows 7, soit nécessitent des coûts de main-d'œuvre si importants qu'elles sont pratiquement impossibles à rencontrer. En règle générale, les modifications apportées au registre permettant à un virus de s'exécuter sont effectuées uniquement dans le contexte des autorisations existantes pour l'utilisateur actuel, c'est-à-dire dans la section HKEY_CURRENT_USER

Afin de démontrer le mécanisme le plus simple pour bloquer un bureau en remplaçant le shell utilisateur (shell) et l'impossibilité d'utiliser l'utilitaire MSCONFIG pour détecter et supprimer un virus, vous pouvez mener l'expérience suivante - au lieu d'un virus, vous-même corrigez les données du registre afin d'obtenir, par exemple, une ligne de commande au lieu d'un bureau. Un bureau familier est créé Windows Explorer(programme Explorer.exe) lancé en tant que shell de l'utilisateur. Ceci est assuré par les valeurs du paramètre Shell dans les clés de registre

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- pour tous les utilisateurs.
- pour l'utilisateur actuel.

Le paramètre Shell est une chaîne avec le nom du programme qui sera utilisé comme shell lorsque l'utilisateur se connectera. Généralement, dans la section destinée à l'utilisateur actuel (HKEY_CURRENT_USER ou en abrégé HKCU), le paramètre Shell est manquant et la valeur de la clé de registre pour tous les utilisateurs est utilisée (HKEY_LOCAL_MACHINE\ ou en abrégé HKLM).

Voici à quoi ressemble la clé de registre HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon avec une installation standard de Windows 7

Si vous ajoutez le paramètre de chaîne Shell prenant la valeur « cmd.exe » à cette section, la prochaine fois que l'utilisateur actuel se connectera au système, au lieu du shell utilisateur standard basé sur l'Explorateur, le shell cmd.exe sera lancé et au lieu du bureau Windows habituel, la fenêtre de ligne de commande sera affichée .

Naturellement, n'importe quel programme malveillant peut être lancé de cette manière et l'utilisateur recevra une bannière pornographique, un bloqueur et d'autres éléments désagréables au lieu d'un bureau.
Pour apporter des modifications à la section pour tous les utilisateurs (HKLM...), vous avez besoin de privilèges administratifs, donc programmes antivirus, modifie généralement les paramètres de la clé de registre de l'utilisateur actuel (HKCU...)

Si, pour continuer l'expérience, vous exécutez l'utilitaire msconfig, vous pouvez vous assurer que cmd.exe n'est pas inclus en tant que shell utilisateur dans la liste des programmes lancés automatiquement. Bien entendu, une restauration du système vous permettra de ramener le registre à son état d'origine et de vous débarrasser du démarrage automatique du virus, mais si pour une raison quelconque cela est impossible, la seule option qui reste est de modifier directement le registre. Pour revenir au bureau standard, supprimez simplement le paramètre Shell, ou modifiez sa valeur de "cmd.exe" à "explorer.exe" et réenregistrez l'utilisateur (déconnectez-vous et reconnectez-vous) ou redémarrez. Vous pouvez modifier le registre en exécutant l'éditeur de registre regedit.exe à partir de la ligne de commande ou en utilisant utilitaire de console REG.EXE. Exemple de ligne de commande pour supprimer le paramètre Shell :

REG supprime "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

L'exemple donné de substitution du shell de l'utilisateur est aujourd'hui l'une des techniques les plus couramment utilisées par les virus dans l'environnement d'exploitation. Systèmes Windows 7. Assez haut niveau la sécurité avec les paramètres système standard ne permet pas aux programmes malveillants d'accéder aux clés de registre utilisées pour infecter Windows XP et versions ultérieures versions précédentes. Même si l'utilisateur actuel est membre du groupe Administrateurs, l'accès à la grande majorité des paramètres de registre utilisés pour l'infection nécessite l'exécution du programme en tant qu'administrateur. C'est pour cette raison que les logiciels malveillants modifient les clés de registre auxquelles l'utilisateur actuel est autorisé à accéder (section HKCU...) Le deuxième facteur important est la difficulté d'écrire les fichiers du programme dans les répertoires système. C'est pour cette raison que la plupart des virus de l'environnement Windows 7 utilisent le lancement de fichiers exécutables (.exe) à partir du répertoire de fichiers temporaires (Temp) de l'utilisateur actuel. Lors de l'analyse des points de lancement automatique des programmes dans le registre, vous devez tout d'abord faire attention aux programmes situés dans le répertoire des fichiers temporaires. Il s'agit généralement d'un répertoire C:\USERS\nom d'utilisateur\AppData\Local\Temp. Le chemin exact du répertoire des fichiers temporaires peut être consulté via le panneau de configuration dans les propriétés système - "Variables d'environnement". Ou en ligne de commande :

régler la température
ou
écho %temp%

De plus, la recherche dans le registre de la chaîne correspondant au nom du répertoire des fichiers temporaires ou de la variable %TEMP% peut être utilisée comme outil supplémentaire de détection des virus. Les programmes légitimes ne se lancent jamais automatiquement à partir du répertoire TEMP.

Pour obtenir une liste complète des points de démarrage automatique possibles, il est pratique d'utiliser programme spécial Exécution automatique à partir du package SysinternalsSuite.

Les moyens les plus simples de supprimer les bloqueurs de la famille MBRLock

Les programmes malveillants peuvent prendre le contrôle d'un ordinateur non seulement en infectant le système d'exploitation, mais également en modifiant les enregistrements du secteur de démarrage du disque à partir duquel le démarrage est effectué. Le virus remplace les données du secteur de démarrage de la partition active par son code de programme de sorte qu'au lieu de Windows, un simple programme soit chargé, qui affiche un message de ransomware sur l'écran exigeant de l'argent pour les escrocs. Étant donné que le virus prend le contrôle avant le démarrage du système, il n'existe qu'un seul moyen de le contourner : démarrer à partir d'un autre support (CD/DVD, disque externe, etc.) dans tout système d'exploitation où il est possible de restaurer le code de programme des secteurs de démarrage. Le moyen le plus simple est d'utiliser un Live CD / USB en direct, généralement fourni gratuitement aux utilisateurs par la plupart des sociétés antivirus (Dr. Web en direct CD, Kaspersky Rescue Disk, Avast! Rescue Disk, etc.) En plus de restaurer les secteurs de démarrage, ces produits peuvent également analyser le système de fichiers à la recherche de logiciels malveillants et supprimer ou désinfecter les fichiers infectés. S'il n'est pas possible d'utiliser cette méthode, alors vous pouvez vous débrouiller en chargeant simplement n'importe quel Versions Windows PE (disque d'installation, disque de récupération d'urgence ERD Commander), qui vous permet de restaurer le démarrage normal du système. Habituellement, il suffit de pouvoir accéder à la ligne de commande et exécuter la commande :

bootsect /nt60 /mbr<буква системного диска:>

bootsect /nt60 /mbr E:> - restaurer les secteurs de démarrage du lecteur E : La lettre du lecteur utilisé comme périphérique de démarrage du système endommagé par le virus doit être utilisée ici.

ou pour Windows antérieur à Windows Vista

bootsect /nt52 /mbr<буква системного диска:>

L'utilitaire bootsect.exe peut être situé non seulement dans les répertoires système, mais également sur n'importe quel média amovible, peut être exécuté dans n'importe quel système d'exploitation de la famille Windows et vous permet de restaurer code de programme secteurs de démarrage sans affecter la table de partition et système de fichiers. Le commutateur /mbr n'est généralement pas nécessaire, car il restaure le code du programme principal entrée de démarrage MBR, que les virus ne modifient pas (peut-être qu'ils ne le modifient pas encore).

Aujourd'hui, je vais vous expliquer comment localiser un virus s'il pénètre dans votre ordinateur, comment vaincre les chevaux de Troie et comment restaurer le système après une infection par un rootkit si tout est allé trop loin.

Donc, si vous pensez que votre ordinateur est infecté, la première chose à faire est de suivre ces étapes :

• déconnectez l'ordinateur d'Internet (débranchez le câble UTP, désactivez le Wi-Fi) ;
• débranche tout de l'ordinateur appareils externes (externe dur disques, clés USB, téléphones, etc.).

Tout cela doit être fait pour isoler l'ordinateur infecté du monde extérieur. Il est nécessaire de déconnecter l'ordinateur de l'accès à monde extérieur via Internet et depuis le réseau interne local, car le programme malveillant tentera presque certainement de se propager à l'ensemble du segment qui lui est accessible.

De plus, si le malware fait partie d’un réseau botnet ou contient des composants, il sera alors inactif et activé dès qu’une commande de contrôle sera reçue d’un réseau externe. Cela nous assurera également contre la fuite de données locales vers le réseau, par exemple via le tunneling DNS ou des pirates informatiques similaires.

Restauration du registre

Le registre Windows, dès les toutes premières versions du système d'exploitation, reste un élément essentiel du système, représentant essentiellement une base de données permettant de stocker divers paramètres et paramètres de l'environnement de travail, des logiciels installés et de Windows lui-même. Il est logique que la perturbation du registre ou ses dommages menacent de rendre le système d'exploitation inutilisable.

Le registre lui-même qui s'ouvre utilitaire standard regedit, est physiquement représenté par plusieurs fichiers stockés dans %SystemRoot%\System32\config\. Il s'agit de fichiers portant les noms SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT sans extensions et accessibles uniquement aux processus système NT AUTHORITY\SYSTEM, LocalSystem. Mais si vous ouvrez le registre via un éditeur classique, ces fichiers apparaîtront sous la forme d'un grand arbre hiérarchique.

La première chose qui vient à l’esprit est bien entendu de faire des sauvegardes de ces fichiers et, si nécessaire, de simplement remplacer ceux qui sont cassés par des copies de sauvegarde. Mais sous le système d'exploitation chargé copie simple Cela ne fonctionnera pas et l'exportation de données à l'aide de regedit risque de ne pas fonctionner correctement. Examinons donc les outils qui nous aideront dans ce domaine.

Outils Windows standard pour la réparation du registre

Malheureusement, Windows ne dispose pas d'un outil distinct vous permettant d'effectuer des sauvegardes de registre. Tout ce que le système peut fournir, c'est la fonctionnalité du NTBackUp obsolète originaire de l'ère de Windows XP / 2003 Server ou dans les nouveaux systèmes d'exploitation Windows 7, 8, 10 sa réincarnation sous la forme de « », qui propose de créer un intégralité image du système (le système entier - pas le registre ! ). Par conséquent, nous ne considérerons qu'un petit exemple d'actions dans la console de récupération qui vous permettent de restaurer le registre manuellement. Il s'agit essentiellement d'opérations visant à remplacer des fichiers endommagés sur un système infecté. fichiers originaux registre à partir d'une copie de sauvegarde précédemment effectuée.

Interface de l'utilitaire NTBackUp

Démarrage en mode Live CD avec disque d'installation ou depuis une console de récupération installée localement (pour XP/2003), vous devez exécuter les commandes suivantes, décrites par Microsoft lui-même :

// Créer des copies de sauvegarde du registre système
mdtmp
copier c:\windows\system32\config\system c:\windows\tmp\system.bak
copier c:\windows\system32\config\software c:\windows\tmp\software.bak
copier c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copier c:\windows\system32\config\security c:\windows\tmp\security.bak
copier c:\windows\system32\config\default c:\windows\tmp\default.bak

//Supprimer fichiers cassésà partir du répertoire système du système d'exploitation
supprimer c:\windows\system32\config\system
supprimer c:\windows\system32\config\software
supprimer c:\windows\system32\config\sam
supprimer c:\windows\system32\config\security
supprimer c:\windows\system32\config\default

// Copiez les fichiers de registre sains à partir du cliché instantané
copier c:\windows\repair\system c:\windows\system32\config\system
copier c:\windows\repair\software c:\windows\system32\config\software
copier c:\windows\repair\sam c:\windows\system32\config\sam
copier c:\windows\repair\security c:\windows\system32\config\security
copier c:\windows\repair\default c:\windows\system32\config\default

Ça y est, redémarrez la machine et regardez le résultat !

Méthodes avancées de réparation du registre

Comme nous l'avons découvert, Windows ne dispose pas d'un outil de gestion de registre décent. Voyons donc ce que les fabricants tiers peuvent nous proposer.

Fenêtre Utilitaires TCPView

Liste services réseau et les ports réservés correspondants pour les systèmes NT peuvent être visualisés dans le fichier %SystemRoot%\system32\drivers\etc\services - il s'agit également essentiellement d'un fichier texte sans extension, qui peut être visualisé avec n'importe quel bloc-notes.

Fenêtre de l'utilitaire Nirsoft CurrPorts

Et enfin, pour tout ce que nous avons fait à la main décrit ci-dessus, vous pouvez utiliser des outils, par exemple. Cet utilitaire restaure les clés de registre paramètres réseau systèmes avec des valeurs par défaut. En plus de cela, elle a également :

• vérifie dans le fichier hosts l'exactitude du pointeur localhost (doit se référer à l'adresse 127.0.0.1) ;
• crée une sauvegarde du courant les paramètres du système(à la demande de l'utilisateur) ;
• désactive tout adaptateurs réseau et réinitialise leurs paramètres.

Fenêtre de l'utilitaire WinSock XP Fix

Outil natif avec interface graphique, dont nous avons parlé, fait la même chose que commandes netsh réinitialisation IP int et réinitialisation netsh winsock. L'outil Reset-TCPIP lui est similaire, qui exécute toutes les combinaisons décrites de commandes de console sous une seule interface graphique.

Fenêtre de l'utilitaire Reset-TCPIP

Un autre bon outil gratuit est conçu pour corriger diverses erreurs liées au fonctionnement du réseau et d'Internet sous Windows. Liste restreinte ses capacités :

• nettoyer et réparer le fichier hosts ;
• activer Ethernet et adaptateurs sans fil réseaux;
• réinitialiser Winsock et le protocole TCP/IP ;
• effacer le cache DNS, les tables de routage, effacer les connexions IP statiques ;
• redémarrez NetBIOS.

Fenêtre de l'utilitaire de réparation NetAdapter

Le Live CD comme bouée de sauvetage

Et, poursuivant notre sujet, nous ne pouvions tout simplement pas ignorer l'histoire des assemblages Live CD conçus pour restaurer le système. Initialement, Live CD se positionnait comme un outil permettant d'effectuer des tâches administratives : préparer un disque dur, accéder rapidement aux données stockées sur les disques, etc. Désormais, les Live CD s'apparentent davantage à une bouée de sauvetage universelle permettant de réanimer le système en cas de chutes diverses, y compris après attaque de virus. Leur principal avantage est que tous les outils sont rassemblés sous un seul capot et peuvent fonctionner en parallèle. Mais il y a aussi un inconvénient : pour démarrer en mode Live CD, il faut redémarrer la machine, ce qui dans certains cas est inacceptable pour nous.

Tous les développeurs antivirus renommés disposent gratuitement disques de démarrage pour restaurer le système. Nous les passerons brièvement en revue, mais nous n'entrerons pas dans les détails - nous avons convenu au début de notre document que nous n'utiliserions que les outils qui ne sont pas des logiciels antivirus dans leur forme pure.

Un utilitaire AVZ simple et pratique qui peut non seulement aidera, mais sait aussi comment restaurer le système. Pourquoi est-ce nécessaire ?

Le fait est qu'après l'invasion des virus (il arrive qu'AVZ en tue des milliers), certains programmes refusent de fonctionner, les paramètres ont tous disparu quelque part et Windows ne fonctionne pas tout à fait correctement.

Le plus souvent, dans ce cas, les utilisateurs réinstallent simplement le système. Mais comme le montre la pratique, ce n'est pas du tout nécessaire, car en utilisant le même utilitaire AVZ, vous pouvez restaurer presque n'importe quel programmes corrompus et des données.

Afin de vous donner une image plus claire, je vous propose liste complète quelque chose qui peut restaurerAVZ.

Matériel tiré de l'ouvrage de référenceAVZ - http://www.z-oleg.com/secur/avz_doc/ (copier et coller dans la barre d'adresse du navigateur).

Actuellement, la base de données contient le firmware suivant :

1. Restauration des paramètres de démarrage des fichiers .exe, .com, .pif

Ce firmware restaure la réponse du système à fichiers exe, com, pif, scr.

Indications pour l'utilisation: Une fois le virus supprimé, les programmes cessent de fonctionner.

2.Réinitialiser les paramètres du préfixe du protocole Internet Explorerà la norme

Ce firmware restaure les paramètres de préfixe de protocole dans Internet Explorer

Indications pour l'utilisation: lorsque vous entrez une adresse comme www.yandex.ru, elle est remplacée par quelque chose comme www.seque.com/abcd.php?url=www.yandex.ru

3. Restaurer le démarrage Pages Internet Explorateur

Ce firmware restaure la page de démarrage dans Internet Explorer

Indications pour l'utilisation: remplacement de la page de démarrage

4.Réinitialiser les paramètres recherche Internet Explorateur au standard

Ce firmware restaure les paramètres de recherche dans Internet Explorer

Indications pour l'utilisation: Lorsque vous cliquez sur le bouton « Rechercher » dans IE, vous êtes dirigé vers un site tiers.

5.Restaurer les paramètres du bureau

Ce firmware restaure les paramètres du bureau.

La restauration implique la suppression de tous les éléments ActiveDesctop actifs, du fond d'écran et le déblocage du menu responsable des paramètres du bureau.

Indications pour l'utilisation: Les signets des paramètres du bureau dans la fenêtre « Propriétés d'affichage » ont disparu ; des inscriptions ou des images superflues sont affichées sur le bureau.

6.Suppression de toutes les politiques (restrictions) de l'utilisateur actuel

Windows fournit un mécanisme permettant de restreindre les actions des utilisateurs, appelé stratégies. De nombreux logiciels malveillants utilisent cette technologie car les paramètres sont stockés dans le registre et sont faciles à créer ou à modifier.

Indications pour l'utilisation: Les fonctions de l'explorateur ou d'autres fonctions système sont bloquées.

7.Suppression du message affiché lors de WinLogon

Windows NT et les systèmes ultérieurs de la gamme NT (2000, XP) vous permettent de définir le message affiché au démarrage.

Un certain nombre de programmes malveillants en profitent, et la destruction du programme malveillant n'entraîne pas la destruction de ce message.

Indications pour l'utilisation: Un message superflu est entré lors du démarrage du système.

8. Restauration des paramètres de l'Explorateur

Ce micrologiciel réinitialise un certain nombre de paramètres de l'Explorateur aux paramètres standard (les paramètres modifiés par un logiciel malveillant sont d'abord réinitialisés).

Indications pour l'utilisation: Paramètres de l'explorateur modifiés

9. Suppression des débogueurs de processus système

L'enregistrement d'un débogueur de processus système vous permettra de lancement caché application, qui est utilisée par un certain nombre de logiciels malveillants

Indications pour l'utilisation: AVZ détecte des débogueurs de processus système non identifiés, il y a des problèmes de démarrage composants du système, en particulier, après un redémarrage, le bureau disparaît.

10. Restauration des paramètres de démarrage en SafeMode

Certains malwares, notamment le ver Bagle, corrompent les paramètres de démarrage du système en mode protégé.

Ce firmware restaure les paramètres de démarrage en mode protégé. Indications pour l'utilisation: L'ordinateur ne démarre pas en SafeMode. Ce firmware doit être utilisé uniquement en cas de problèmes de démarrage en mode protégé .

11.Déverrouillez le gestionnaire de tâches

Le blocage du Gestionnaire des tâches est utilisé par les logiciels malveillants pour protéger les processus contre la détection et la suppression. En conséquence, l'exécution de ce microprogramme supprime le verrou.

Indications pour l'utilisation: Le gestionnaire de tâches est bloqué ; lorsque vous essayez d'appeler le gestionnaire de tâches, le message « Le gestionnaire de tâches est bloqué par l'administrateur » s'affiche.

12.Effacer la liste des ignorés de l'utilitaire HijackThis

L'utilitaire HijackThis stocke un certain nombre de ses paramètres dans le registre, notamment une liste d'exceptions. Par conséquent, pour se dissimuler du malware HijackThis, il suffit d'enregistrer votre fichiers exécutables dans la liste des exceptions.

DANS actuellement Un certain nombre de programmes malveillants exploitent cette vulnérabilité. Le micrologiciel AVZ efface la liste d'exceptions de l'utilitaire HijackThis

Indications pour l'utilisation: On soupçonne que l'utilitaire HijackThis n'affiche pas toutes les informations sur le système.

13. Nettoyage Fichier d'hôtes

Nettoyer le fichier Hosts implique de trouver le fichier Hosts, de supprimer toutes les lignes importantes et d'ajouter chaîne standard"127.0.0.1 hôte local."

Indications pour l'utilisation: On soupçonne que le fichier Hosts a été modifié par un logiciel malveillant. Les symptômes typiques incluent le blocage des mises à jour du logiciel antivirus.

Vous pouvez contrôler le contenu du fichier Hosts à l'aide du gestionnaire de fichiers Hosts intégré à AVZ.

14. Correction automatique des paramètres SPl/LSP

Effectue une analyse des paramètres SPI et, si des erreurs sont détectées, corrige automatiquement les erreurs trouvées.

Ce firmware peut être réexécuté un nombre illimité de fois. Après avoir exécuté ce firmware, il est recommandé de redémarrer votre ordinateur. Note! Ce firmware ne peut pas être exécuté à partir d'une session de terminal

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, j'ai perdu l'accès à Internet.

15. Réinitialiser les paramètres SPI/LSP et TCP/IP (XP+)

Ce firmware ne fonctionne que sous XP, Windows 2003 et Vista. Son principe de fonctionnement est basé sur la réinitialisation et la recréation des paramètres SPI/LSP et TCP/IP à l'aide de l'utilitaire netsh standard inclus dans Windows.

Note! Vous ne devez utiliser une réinitialisation d'usine que si nécessaire si vous rencontrez des problèmes irrécupérables avec l'accès à Internet après la suppression des logiciels malveillants !

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, accès à Internet et exécution du firmware « 14. La correction automatique des paramètres SPl/LSP ne fonctionne pas.

16. Récupération de la clé de lancement de l'Explorateur

Restaure les clés de registre système responsables du lancement de l'Explorateur.

Indications pour l'utilisation: Lors du démarrage du système, l'Explorateur ne démarre pas, mais il est possible de lancer explorer.exe manuellement.

17. Déverrouillage de l'éditeur de registre

Débloque l'Éditeur du Registre en supprimant la stratégie qui l'empêche de s'exécuter.

Indications pour l'utilisation: Il est impossible de démarrer l'Éditeur du Registre ; lorsque vous essayez, un message s'affiche indiquant que son lancement est bloqué par l'administrateur.

18. Recréation complète des paramètres SPI

Effectue sauvegarde Paramètres SPI/LSP, après quoi il les détruit et les crée selon la norme stockée dans la base de données.

Indications pour l'utilisation: Graves dommages aux paramètres SPI qui ne peuvent pas être réparés par les scripts 14 et 15. A utiliser uniquement si nécessaire !

19. Effacer la base de données MountPoints

Nettoie la base de données MountPoints et MountPoints2 dans le registre. Cette opération aide souvent dans les cas où, après une infection par un virus Flash, les disques ne s'ouvrent pas dans l'Explorateur

Pour effectuer une récupération, vous devez sélectionner un ou plusieurs éléments et cliquer sur le bouton « Effectuer les opérations sélectionnées ». Un clic sur le bouton "OK" ferme la fenêtre.

Sur une note :

La restauration est inutile si le système est en cours d'exécution cheval de Troie, qui effectue de telles reconfigurations - vous devez d'abord supprimer le programme malveillant, puis restaurer les paramètres du système

Sur une note :

Pour éliminer les traces de la plupart des pirates de l'air, vous devez exécuter trois micrologiciels : "Réinitialiser les paramètres de recherche d'Internet Explorer à la norme", "Restaurer la page de démarrage d'Internet Explorer", "Réinitialiser les paramètres de préfixe du protocole Internet Explorer à la norme".

Sur une note :

N'importe quel micrologiciel peut être exécuté plusieurs fois de suite sans endommager le système. Exceptions - « 5.

Restauration des paramètres du bureau" (l'exécution de ce firmware réinitialisera tous les paramètres du bureau et vous devrez resélectionner la couleur et le fond d'écran du bureau) et "10.

Restauration des paramètres de démarrage en SafeMode" (ce firmware recrée les clés de registre responsables du démarrage en mode sans échec).

Pour démarrer la récupération, téléchargez, décompressez et exécutez d'abord utilitaire. Cliquez ensuite sur Fichier - Restauration du système. D'ailleurs, vous pouvez aussi faire

Cochez les cases dont vous avez besoin et cliquez sur Démarrer les opérations. Ça y est, nous attendons avec impatience la fin :-)

Dans les articles suivants, nous examinerons plus en détail les problèmes que le firmware nous aidera à résoudre. récupération avz systèmes. Alors bonne chance à vous.

Programmes antivirus, même lorsque des logiciels malveillants sont détectés et supprimés, ils ne restaurent pas toujours l'intégralité des fonctionnalités du système. Souvent, après avoir supprimé un virus, un utilisateur d'ordinateur reçoit un bureau vide, une absence totale d'accès à Internet (ou l'accès à certains sites est bloqué), une souris non fonctionnelle, etc. Cela est généralement dû au fait que certains paramètres système ou utilisateur modifiés par le programme malveillant restent intacts.

L'utilitaire est gratuit, fonctionne sans installation, est étonnamment fonctionnel et m'a aidé dans les situations les plus difficiles. différentes situations. En règle générale, un virus apporte des modifications au registre système (ajout au démarrage, modification des paramètres de lancement du programme, etc.). Afin de ne pas plonger dans le système en corrigeant manuellement les traces du virus, il vaut la peine d'utiliser l'opération "restauration du système" disponible dans AVZ (bien que l'utilitaire soit très, très bon comme antivirus, il est très bon de vérifier les disques pour les virus avec l'utilitaire).

Pour démarrer la récupération, exécutez l'utilitaire. Cliquez ensuite sur fichier - restauration du système

et une telle fenêtre s'ouvrira devant nous

cochez les cases dont nous avons besoin et cliquez sur « Effectuer les opérations sélectionnées »

1. Restauration des paramètres de démarrage des fichiers .exe, .com, .pif

Ce firmware restaure la réponse du système aux fichiers exe, com, pif, scr.

Indications pour l'utilisation: Une fois le virus supprimé, les programmes cessent de fonctionner.

2. Réinitialisez les paramètres de préfixe du protocole Internet Explorer à la norme

Ce firmware restaure les paramètres de préfixe de protocole dans Internet Explorer

Indications pour l'utilisation: lorsque vous entrez une adresse comme www.yandex.ru, elle est remplacée par quelque chose comme www.seque.com/abcd.php?url=www.yandex.ru

3. Restauration de la page de démarrage d'Internet Explorer

Ce firmware restaure la page de démarrage dans Internet Explorer

Indications pour l'utilisation: remplacement de la page de démarrage

4.Réinitialisez les paramètres de recherche d'Internet Explorer à la norme

Ce firmware restaure les paramètres de recherche dans Internet Explorer

Indications pour l'utilisation: Lorsque vous cliquez sur le bouton « Rechercher » dans IE, vous êtes dirigé vers un site tiers.

5.Restaurer les paramètres du bureau

Ce firmware restaure les paramètres du bureau. La restauration implique la suppression de tous les éléments ActiveDesctop actifs, du fond d'écran et le déblocage du menu responsable des paramètres du bureau.

Indications pour l'utilisation: Les signets des paramètres du bureau dans la fenêtre « Propriétés d'affichage » ont disparu ; des inscriptions ou des images superflues sont affichées sur le bureau.

6.Suppression de toutes les politiques (restrictions) de l'utilisateur actuel

Windows fournit un mécanisme permettant de restreindre les actions des utilisateurs, appelé stratégies. De nombreux logiciels malveillants utilisent cette technologie car les paramètres sont stockés dans le registre et sont faciles à créer ou à modifier.

Indications pour l'utilisation: Les fonctions de l'explorateur ou d'autres fonctions système sont bloquées.

7.Suppression du message affiché lors de WinLogon

Windows NT et les systèmes ultérieurs de la gamme NT (2000, XP) vous permettent de définir le message affiché au démarrage. Un certain nombre de programmes malveillants en profitent, et la destruction du programme malveillant n'entraîne pas la destruction de ce message.

Indications pour l'utilisation: Un message superflu est entré lors du démarrage du système.

8. Restauration des paramètres de l'Explorateur

Ce micrologiciel réinitialise un certain nombre de paramètres de l'Explorateur aux paramètres standard (les paramètres modifiés par un logiciel malveillant sont d'abord réinitialisés).

Indications pour l'utilisation: Paramètres de l'explorateur modifiés

9. Suppression des débogueurs de processus système

L'enregistrement d'un débogueur de processus système vous permettra de lancer une application cachée, utilisée par un certain nombre de programmes malveillants.

Indications pour l'utilisation: AVZ détecte les débogueurs de processus système non identifiés, des problèmes surviennent lors du lancement des composants du système, en particulier, le bureau disparaît après un redémarrage.

10. Restauration des paramètres de démarrage en SafeMode

Certains malwares, notamment le ver Bagle, corrompent les paramètres de démarrage du système en mode protégé. Ce firmware restaure les paramètres de démarrage en mode protégé.

Indications pour l'utilisation: L'ordinateur ne démarre pas en SafeMode. Ce firmware doit être utilisé uniquement en cas de problèmes de démarrage en mode protégé .

11.Déverrouillez le gestionnaire de tâches

Le blocage du Gestionnaire des tâches est utilisé par les logiciels malveillants pour protéger les processus contre la détection et la suppression. En conséquence, l'exécution de ce microprogramme supprime le verrou.

Indications pour l'utilisation: Le gestionnaire de tâches est bloqué ; lorsque vous essayez d'appeler le gestionnaire de tâches, le message « Le gestionnaire de tâches est bloqué par l'administrateur » s'affiche.

12.Effacer la liste des ignorés de l'utilitaire HijackThis

L'utilitaire HijackThis stocke un certain nombre de ses paramètres dans le registre, notamment une liste d'exceptions. Par conséquent, pour se camoufler de HijackThis, le programme malveillant n'a besoin que d'enregistrer ses fichiers exécutables dans la liste d'exclusion. Il existe actuellement un certain nombre de programmes malveillants connus qui exploitent cette vulnérabilité. Le micrologiciel AVZ efface la liste d'exceptions de l'utilitaire HijackThis

Indications pour l'utilisation: On soupçonne que l'utilitaire HijackThis n'affiche pas toutes les informations sur le système.

13. Nettoyage du fichier Hosts

Nettoyer le fichier Hosts implique de trouver le fichier Hosts, de supprimer toutes les lignes importantes et d'ajouter la ligne standard « 127.0.0.1 localhost ».

Indications pour l'utilisation: On soupçonne que le fichier Hosts a été modifié par un logiciel malveillant. Les symptômes typiques bloquent la mise à jour des programmes antivirus. Vous pouvez contrôler le contenu du fichier Hosts à l'aide du gestionnaire de fichiers Hosts intégré à AVZ.

14. Correction automatique des paramètres SPl/LSP

Effectue une analyse des paramètres SPI et, si des erreurs sont détectées, corrige automatiquement les erreurs trouvées. Ce firmware peut être réexécuté un nombre illimité de fois. Après avoir exécuté ce firmware, il est recommandé de redémarrer votre ordinateur. Note! Ce firmware ne peut pas être exécuté à partir d'une session de terminal

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, j'ai perdu l'accès à Internet.

15. Réinitialiser les paramètres SPI/LSP et TCP/IP (XP+)

Ce firmware ne fonctionne que sous XP, Windows 2003 et Vista. Son principe de fonctionnement est basé sur la réinitialisation et la recréation des paramètres SPI/LSP et TCP/IP à l'aide de l'utilitaire netsh standard inclus dans Windows.Note! Vous ne devez utiliser une réinitialisation d'usine que si nécessaire si vous rencontrez des problèmes irrécupérables avec l'accès à Internet après la suppression des logiciels malveillants !

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, accès à Internet et exécution du firmware « 14. La correction automatique des paramètres SPl/LSP ne fonctionne pas.

16. Récupération de la clé de lancement de l'Explorateur

Restaure les clés de registre système responsables du lancement de l'Explorateur.

Indications pour l'utilisation: Lors du démarrage du système, l'Explorateur ne démarre pas, mais il est possible de lancer explorer.exe manuellement.

17. Déverrouillage de l'éditeur de registre

Débloque l'Éditeur du Registre en supprimant la stratégie qui l'empêche de s'exécuter.

Indications pour l'utilisation: Il est impossible de démarrer l'Éditeur du Registre ; lorsque vous essayez, un message s'affiche indiquant que son lancement est bloqué par l'administrateur.

18. Recréation complète des paramètres SPI

Effectue une copie de sauvegarde des paramètres SPI/LSP, après quoi il les détruit et les crée selon la norme stockée dans la base de données.

Indications pour l'utilisation: Graves dommages aux paramètres SPI qui ne peuvent pas être réparés par les scripts 14 et 15. A utiliser uniquement si nécessaire !

19. Effacer la base de données MountPoints

Nettoie la base de données MountPoints et MountPoints2 dans le registre. Cette opération est souvent utile lorsque, après une infection par un virus Flash, les disques ne s'ouvrent pas dans l'Explorateur

Pour effectuer une récupération, vous devez sélectionner un ou plusieurs éléments et cliquer sur le bouton « Effectuer les opérations sélectionnées ». Un clic sur le bouton "OK" ferme la fenêtre.

Sur une note :

La restauration est inutile si le système exécute un cheval de Troie qui effectue de telles reconfigurations - vous devez d'abord supprimer le programme malveillant, puis restaurer les paramètres du système.

Sur une note :

Pour éliminer les traces de la plupart des pirates de l'air, vous devez exécuter trois micrologiciels : "Réinitialiser les paramètres de recherche d'Internet Explorer à la norme", "Restaurer la page de démarrage d'Internet Explorer", "Réinitialiser les paramètres de préfixe du protocole Internet Explorer à la norme".

Sur une note :

N'importe quel micrologiciel peut être exécuté plusieurs fois de suite sans endommager le système. Les exceptions sont « 5. Restauration des paramètres du bureau » (l'exécution de ce micrologiciel réinitialisera tous les paramètres du bureau et vous devrez resélectionner la couleur et le fond d'écran du bureau) et « 10. Restauration des paramètres de démarrage en SafeMode" (ce firmware recrée les clés de registre responsables du démarrage en mode sans échec).