Мир компьютеров
Поиск неисправностей компьютеров
Как удалить вирус Win32.RAhack?
Удалил я вирус RAhack так:
Во-первых, отключите в Windows восстановление системы.
Примечание. Отключение средства восстановления системы Windows XP:
Откройте вкладку Восстановление системы.
Во-вторых, установить и обновить антивирус (скачать антивирус которому не требуется инсталляция).
В-третьих, перезагружаемся в безопасном режиме.
Примечание. Для загрузки в безопасном режиме необходимо в начале загрузки Windows нажать клавишу F8 и выбрать Безопасный режим (Safe mode) и нажать Enter, далее происходит загрузка.
В-четвертых, удаляем пять файлов:
Далее возвращаем в ручную реестр в нормальное состояние.
Примечание. Для запуска редактора реестра (regedit) необходимо нажать Пуск - Выполнить... и в появившемся окне ввести regedit и нажать ОК.
Находим ветку реестра.
Открываем ветку реестра:
Перезагружаемся в нормальный режим.
Всё, удаление вируса завершено. Здоровья Вам и Вашей системе!
Чтобы отключить восстановление системы, выполните следующие действия: В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
Установите флажок Отключить восстановление системы (или Отключить восстановление системы на всех дисках) и нажмите кнопку ОК.
Чтобы подтвердить отключение восстановления системы, нажмите кнопку Да.
* %System%\mscolsrv.exe
* %System%\server.dll
* %System%\svchsot.exe
* %System%\syshid.exe
* %UserProfile%\Главное меню\Программы\Автозагрузка\system.vbs
Запускаем regedit, если не запускается в безопасном режиме, то запускаем от имени, например, Администратора
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ,
удаляем значение "sysser" = "%System%\[path to original file]",
если есть какие-то опасения, то открываем эту ветку на незаражённой машине и сделать как на ней (если есть такой компьютер :-)).
HKEY_CLASSES_ROOT\exefile\shell\open\command ,
удаляем значение:
"(Default)"= "syshid.exe "%1" %*"" ,
во всех ветках
HKEY_CLASSES_ROOT\CLSID\
через поиск (примечание. Поиск открываем в редакторе реестра нажатием Правка - Найти... или горячими клавишами Ctrl+F), удаляем ЗНАЧЕНИЯ
"(Default)" = "sysser"
"(Default)" = "[path to executable]" .
Удаляем ветки реестра:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.1
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0
Выбираете Fly DS185 - Fly DS185. Все для Fly.