Боремся с вирусами

Включаем отображение «Показывать скрытые файлы и папки».   Выполняем: Сервис > Свойства папки.

 

 

 

Если ничего не происходит, т.е. автоматически ваши настройки сбрасываются…

Идем в реестр: Пуск > Выполнить > regedit.

Далее, проверяем: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - NoCustomizeWebView - REG_DWORD - 0 (если стоит 1 - это "Запрещение команды "Настроить вид папки"").

Если при редактировании реестра получаем сообщение: «изменение реестра запрещено администратором системы» то скорее всего подловили вирус BackDoor.Generic.1138.

 

 

Если такой строчки нет, то смотрим: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ если стоит Hidden -1, то нормально…

 

 

Если 2 – то это значение блокирует изменение свойств папки. При попытке удаления этой строчки или присвоении значения 1, ничего не получается, все откатывается назад, то это вирус: amvo.exe. Он не позволяет просматривать скрытые папки и файлы. Как вариант запускаем Nero Burning ROM(FAR, TotalCommander). И в File Browser может увидеть скрытые файлы:

 

 

Два файла продублированы на каждом диске (т.е. Format C: не поможет)… Это файлы: autorun.inf и i.exe (n1deiect.com, xpbkh.com), вирус устанавливается при подключении флешки или цифровой камеры и т.д.

 

 

Удаление этих файлов в Nero Burning ROM ничего не дает. Файлы появляются вновь. Кстати чтобы работало удаление в Nero Burning ROM без корзины Shift+Delete, выполняем: File > Options и убираем галку перед пунктом Do not allow delete...

 

 

Первым делом надо удалить в директории: C:\WINDOWS\system32 следующие файлы…

 

 

Amvo.exe удалится, а при удалении amvo0.dll мы получим сообщение:

 

 

Далее, удаляем на всех дисках: autorun.inf и i.exe, они уже не появятся вновь. Потом выполняем: Пуск > Выполнить > msgconfig. И там из автозагрузки отключаем amvo.exe.

 

 

Далее, после перезагрузки идем в C:\WINDOWS\system32 и удаляем amvo0.dll. И включаем изменение свойств папок: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden -1. Сервис > Свойства папки

Для удаления с флешек и жестких дисков файлов автозапуска: autorun.inf, есть бесплатная утилита – anti autorun. Запускаем утилиту:

 

 

Удерживаем Shift, нажимаем ОК. Утилита показывает, что на флешке есть файл: autorun.inf.

 

 

Нажимаем на кнопку: Да.

 

 

При необходимости проводим повторную проверку. Важно отметить, что утилита только удаляет файлы autorun.inf, сопутствующие файлы ехе:

 

 

Эти файлы нужно удалять самостоятельно.

Также из реестра: HKLM/Software/Microsoft/Windows/CurrentVersion/Run или .../RunOnce – можно удалить все что ссылается на amvo или avpo.

Читаем далее.

На главную страницу.