Мир компьютеров    compics.net

 Мир компьютеров

 

 

 Поиск неисправностей компьютеров

 

 Новости

Железо

Интернет

Коммуникации

Программы

Обзоры

Поиск неисправностей

Как удалить вирус Win32.RAhack?

Удалил я вирус RAhack так:

Во-первых, отключите в Windows восстановление системы.

Примечание. Отключение средства восстановления системы Windows XP:
Чтобы отключить восстановление системы, выполните следующие действия: В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.

Откройте вкладку Восстановление системы.
Установите флажок Отключить восстановление системы (или Отключить восстановление системы на всех дисках) и нажмите кнопку ОК.
Чтобы подтвердить отключение восстановления системы, нажмите кнопку Да.

Во-вторых, установить и обновить антивирус (скачать антивирус которому не требуется инсталляция).

В-третьих, перезагружаемся в безопасном режиме.

Примечание. Для загрузки в безопасном режиме необходимо в начале загрузки Windows нажать клавишу F8 и выбрать Безопасный режим (Safe mode) и нажать Enter, далее происходит загрузка.

В-четвертых, удаляем пять файлов:
* %System%\mscolsrv.exe
* %System%\server.dll
* %System%\svchsot.exe
* %System%\syshid.exe
* %UserProfile%\Главное меню\Программы\Автозагрузка\system.vbs

Далее возвращаем в ручную реестр в нормальное состояние.
Запускаем regedit, если не запускается в безопасном режиме, то запускаем от имени, например, Администратора

Примечание. Для запуска редактора реестра (regedit) необходимо нажать Пуск - Выполнить... и в появившемся окне ввести regedit и нажать ОК.

Находим ветку реестра.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ,
удаляем значение "sysser" = "%System%\[path to original file]",
если есть какие-то опасения, то открываем эту ветку на незаражённой машине и сделать как на ней (если есть такой компьютер :-)).

Открываем ветку реестра:
HKEY_CLASSES_ROOT\exefile\shell\open\command ,
удаляем значение:
"(Default)"= "syshid.exe "%1" %*"" ,
во всех ветках
HKEY_CLASSES_ROOT\CLSID\
через поиск (примечание. Поиск открываем в редакторе реестра нажатием Правка - Найти... или горячими клавишами Ctrl+F), удаляем ЗНАЧЕНИЯ
"(Default)" = "sysser"
"(Default)" = "[path to executable]" .
Удаляем ветки реестра:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.1
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0

Перезагружаемся в нормальный режим.

Всё, удаление вируса завершено. Здоровья Вам и Вашей системе!

 

 

 

 


 
 
© compics.net