How-To Geek čitateľ Kan písal s plným sprievodcom zbaviť sa škaredého wmpscfgs.exe vírusu, a my sme si mysleli, že by sme mali zdieľať to s každým, len v prípade, že niekto iný sa stretne s rovnakým problémom v budúcnosti.
Všimnite si, že toto je špecifická príručka na odstránenie konkrétneho vírusu a bola testovaná konkrétnou čítačkou. Tieto kroky sme nepodrobili osobne.
Symptómy vírusu wmpscfgs.exe
- Ak máte softvér Malwarebytes alebo Superantispyware, títo chlapci to zistia pri každom skenovaní a pokúsia sa odstrániť tento vírus. Ale vírus sa po reštarte vráti späť. Dokonca aj zavádzanie v núdzovom režime (so sieťou alebo bez nej) nebude fungovať.
- Varovanie o tom, že IE nie je váš predvolený prehliadač, sa vždy zobrazí bez toho, aby ste ani klikli alebo otvorili IE. Nechcel by som vám odporučiť kliknúť na to áno alebo nie. Stačí presunúť okno do jedného z vašich rohov obrazovky a pozrieť sa na riešenie nižšie.
- Systém Windows UAC sa bude správať nesprávne a bude pokračovať v otázke, či chcete spustiť spustený predtým spustený program. Toto je vírus odovzdaný pre mňa, preto začnem skenovať a vyšetrovať. Ak sa pokúsite povoliť jeden, UAC bude deaktivovaný. Je to zvláštne, ak ste to povolili, Windows vás neopytuje, aby ste reštartovali, čo je tiež prezradí, že niečo nie je správne! Pri zmene nastavení UAC sa rozhodne opýtať na reštart.
- Program Microsoft Security Essentials zistí, že vaše spustené programy (vírusový softvér, softvér proti spyware / malware, atď. Sú vírusy) a označujú ho ako vírus. Ďalšia prezradenie, že niečo je hrozne zlé!
Ak máte vyššie uvedené príznaky, máte v podstate vírus, ktorý som mal včera. Tu je to, čo môžete urobiť, aby ste sa ho zbavili. Nezaťažujte sa o skenovanie, pretože skenery nemôžu úplne vyriešiť váš problém a skončia poškodením vašich aplikácií.
- Zaviesť v núdzovom režime. Dôvodom je to, že v núdzovom režime nie je veľa procesov v prevádzke. Toto nastavenie potrebujete v kroku 9 nižšie, pretože tento vírus je nepríjemný.
- Otvorte program Windows Explorer a prejdite na položku Nástroje -> Možnosti priečinka. a. Uistite sa, že nasledujúce sú TICKED -> Zobraziť skryté súbory a priečinky b. Uistite sa, že nasledovné sú UNticked -> Hide Extensions pre známe typy súborov
- Prejdite na nasledujúce adresáre (toto platí pre vista home premium): C: Program Files Internet Explorer C: Users user AppData Local Temp A uvidíte tam súbor s názvom wmpscfgs.exe. Odstráňte ich.
- Otvorte správcu úloh, uistite sa, že je začiarknuté políčko "Zobraziť všetky procesy" a vyhľadajte rovnaký proces. Ak je spustený. Zabite to.
Začatie tejto časti kroky vyžaduje viac technických skúseností. Ak sa vám nepodarí vykonať nižšie uvedené kroky, vyhľadajte niekoho, kto vám môže pomôcť.
- Otvorte regedit a prejdite na: HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Run
- Vyhľadajte položku Adobe_reader s údajmi: "% ProgramFiles% Internet Explorer wmpscfgs.exe". Vymaž to. Pre mňa od tohto bodu takmer všetky veci napísané v NET v súčasnosti nemajú kroky uvedené nižšie. A to je dôvod, prečo sa tento vírus stále vracia.
- Dúfajme, že nemáte veľa aplikácií pod "HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Run". Pretože musíte navštíviť každý z nich doslova, pretože tento vírus zneužíva takmer všetky aplikácie v zozname RUN vyššie.
-
V podstate premenuje starý exe súbor z say "mcagent.exe" na "mcagent.exe". S medzerou medzi názvom súboru a ".exe" alebo rozšírenie. Potom vytvorí vlastnú kópiu s rovnakým názvom súboru ako spustiteľný súbor, takže keď niekto spustí váš súbor, vírus sa spustí najskôr ako súbor. Urobí to pre každú aplikáciu, ktorú máte vo svojom zozname Spustenie.
Ak teda prejdete na miesto, kde sa hovorí o programe McAfee mcagent.exe, uvidíte dva až tri súbory s takmer rovnakým názvom súboru:
- mcagent.exe ->, čo je 39 KB súbor a veľmi nedávno vytvorený a ktorý je vírus, ktorý stále pridáva späť ten súbor wmpscfgs.exe.
- mcagent.exe -> pôvodný súbor mcagent, premenovaný.
- mcagent.exe.delme
-> odstrániť aj toto. Nevidím, že sa to vyskytuje zakaždým, ale videl som nejaké aplikácie s týmto súborom v nich a veľmi nedávno vytvorené. -
Najskôr musíte zabiť zodpovedajúci proces infikovaného súboru, ak je spustený v správcovi úloh, manuálne odstrániť existujúci súbor.exe, ktorý je okolo 39 kB a premenovať pôvodný spustiteľný súbor na jeho pôvodný názov súboru. Zopakujte to pre každú aplikáciu, ktorú máte v zozname Run vyššie. Jediná vec, ktorú som videl, že tento vírus neinfikoval, bola aplikácia Windows Defender. Zvyšok v mojom zozname Run bol skrutkovaný. Odinštalovanie a preinštalovanie nepomôže, rovnako ako bývalý exe súbor Trojan bude zachovaný v adresári aplikácie.
To je dôvod, prečo spoločnosť Microsoft Security Essentials sťažovala, že spúšťacie spustiteľné súbory sú vírusy.
- Po overení, že každá aplikácia vo vašom zozname je obnovená. Ak chcete mať úplne istotu, že v systéme nemáte žiadne takéto súbory, vyhľadajte v súbore všetky súbory s veľkosťou 39 kB a práve boli nedávno vytvorené a starostlivo ich preskúmajte, ak sú to len kópie pôvodného spustiteľného súboru, Postupujte podľa kroku 7 pre každý jeho výskyt. Doteraz som tento vírus iba pripojil k spustiteľným súborom.
- Ak chcete byť 100% istý, ďalšia vec, ktorú musíte urobiť, je dvojitá kontrola každého procesu bežiaceho v správcovi úloh, ak sú legitímne. Niektoré procesy špeciálne tie, ktoré začal systém, nebudú môcť previesť na procesný súbor, jeho ok, ale väčšina z nich, ak kliknete pravým tlačidlom myši, by ste mali vidieť možnosť tam nazvanú "Open File Location". Potom postupujte podľa krokov 7 vyššie.
- Reštartujte a to je!
Vďaka čitateľovi Kanovi za napísanie tejto príručky a dúfajme, že pomáha niekomu inému!
