How-To Geek-lukija Kan kirjoitti täydellisen oppaan eroon ilkivaltaisesta wmpscfgs.exe-viruksesta, ja ajattelimme, että meidän pitäisi jakaa se kaikkien kanssa vain siinä tapauksessa, että joku muu joutuu samaan ongelmaan tulevaisuudessa.
Huomaa, että tämä on erityinen opas tietyn viruksen poistamiseksi, ja se on testannut tietyn lukijan. Emme ole testannut näitä vaiheita henkilökohtaisesti.
Wmpscfgs.exe -viruksen oireet
- Jos sinulla on Malwarebytes- tai Superantispyware-ohjelmisto, nämä kaverit havaitsevat sen joka tarkistuksella ja yrittävät poistaa tämän viruksen. Mutta virus tulee juuri takaisin uudelleenkäynnistyksen jälkeen. Jopa turvallinen tila käynnistyy (verkon kanssa tai ilman) ei toimi.
- Varoitus IE: sta ei ole oletusselaimesi aina ponnahdusikkuna edes klikkaamalla tai avaamalla IE: tä. En suosittele napsauttamalla kyllä tai ei sitä. Siirrä vain ikkuna jollakin monitorin kulmasta ja katso alla olevaa ratkaisua.
- Windows UAC ei toimi kunnolla, ja se pitää kysyä, haluatko suorittaa aiemmin suoritetun käynnistysohjelman. Tämä on antanut viruksen pois minulle, joten aloitan skannauksen ja tutkinnan. Jos yrität sallia yhden, UAC poistetaan käytöstä. Kumma kyllä, jos otit sen käyttöön, ikkunat eivät vaadi sinua käynnistämään uudelleen, mikä on myös lahja, että jotain on väärässä! UAC-asetusten muuttaminen vaatii varmasti uudelleenkäynnistyksen.
- Microsoft Security Essentials havaitsee, että käynnistysohjelmat (virustorjuntaohjelmat, vakoiluohjelmien torjuntaohjelmat / haittaohjelmat jne. Ovat viruksia) ja merkitse ne virukseksi. Toinen lahja, että jotain on todella väärin!
Jos sinulla on edellä mainitut oireet, sinulla on aika paljon virusta, jota minulla oli eilen. Tässä on, mitä voit tehdä, jotta pääset eroon siitä. Älä häiritse skannausta, koska skannerit eivät voi täysin korjata ongelmaa ja päätyvät sovellusten vioittumiseen.
- Käynnistys turvallisessa tilassa. Syynä tähän on se, että turvallisessa tilassa ei ole paljon prosesseja käynnissä. Tarvitset tämän asennuksen seuraavassa vaiheessa 9, koska tämä virus on ikävä.
- Avaa Windows Explorer ja siirry Työkalut -> Kansion asetukset. a. Varmista, että seuraavat ovat TICKED -> Näytä piilotetut tiedostot ja kansiot b. Varmista, että seuraavat eivät ole käytössä -> Piilota laajennukset tunnetuille tiedostotyypeille
- Siirry seuraavaan hakemistoon (tämä on Vista Home Premium): C: Ohjelmatiedostot Internet Explorer C: Users Käyttäjä AppData Local Temp Ja näet siellä tiedoston nimeltä wmpscfgs.exe. Poista ne.
- Avaa tehtäväjohtajasi, varmista, että "näytä kaikki prosessit" valitaan ja etsi samaa prosessia. Jos se on käynnissä. Tappaa se.
Tämän osan aloittaminen vaatii enemmän teknisiä kokemuksia. Jos et ole tyytyväinen tekemällä alla olevia ohjeita, etsi joku, joka voi auttaa sinua.
- Avaa regedit ja siirry: HKLM-> Ohjelmistot -> Microsoft -> Windows -> CurrentVersion -> Run
- Etsi Adobe_reader -tunnusta tietoineen: "% ProgramFiles% Internet Explorer wmpscfgs.exe”. Poista se. Minusta tässä vaiheessa lähes kaikki NETin kirjoitetut asiat eivät tällä hetkellä ole alla olevia vaiheita. Ja se johtuu siitä, miksi tämä virus on palannut.
- Toivottavasti sinulla ei ole paljon sovelluksia kohdassa "HKLM-> Ohjelmistot -> Microsoft -> Windows -> CurrentVersion -> Run". Koska sinun täytyy vierailla jokainen niistä kirjaimellisesti, koska tämä virus kaappaa lähes kaikki sovellukset RUN-luettelossa edellä.
-
Pohjimmiltaan se nimeää vanhan exe-tiedoston sanomasta "mcagent.exe" mcagent.exe: ksi. Tiedostonimen ja ".exe" - tai laajennuksen välillä. Sen jälkeen luodaan kopio itsestään, jolla on sama tiedostonimi kuin suoritustiedostosi, niin että kun joku suorittaa tiedoston, virus suoritetaan ensin tiedostoasi. Se tekee tämän jokaiselle sovellukselle, jotka sinulla on Run-luettelossa.
Jos siis siirryt McAfee mcagent.exe -sovelluksen sijaintiin, näet kaksi tai kolme tiedostoa, joilla on lähes sama tiedostonimi:
- mcagent.exe ->, joka on 39 kt tiedoston ja joka on äskettäin luotu ja joka on virus, joka pitää lisätä wmpscfgs.exe-tiedoston.
- mcagent.exe -> alkuperäinen mcagent-tiedosto, nimeltään.
- mcagent.exe.delme
-> poista tämä myös. En näe tätä tapahtuvan joka kerta, mutta olen nähnyt joitakin sovelluksia tässä tiedostossa ja äskettäin luotuina. -
Sinun täytyy ensin tappaa tartunnan saaneesta tiedostosta vastaava prosessi, jos he ovat käynnissä tehtävänhallinnassa, poista manuaalisesti olemassa oleva.exe-tiedosto, joka on vain noin 39 kilotavua ja nimeä vanha suoritustiedosto takaisin vanhaan tiedostonimiin. Toista tämä jokaiselle sovelluksessasi, jonka käytät yllä olevassa Run-luettelossa. Ainoa asia, että näin tämän viruksen ei tartu, oli Windows Defender -sovellus. Loput Run-luettelomme ruuveilla. Asennuksen ja asennuksen poistaminen ei auta, samoin kuin entinen Trojan-exe-tiedosto säilytetään sovellusluettelossa.
Tästä syystä Microsoft Security Essentials valitti, että käynnistyksen suoritustiedostot ovat viruksia.
- Kun olet varmistanut, että jokaisen sovelluslistasi on palautettu. Jotta voisit olla täysin varma siitä, että sinulla ei ole tällaisia tiedostoja viipymättä järjestelmässäsi, tee asema haku kaikista tiedoista, jotka ovat 39 kilotavun kokoisia ja juuri äskettäin luotu ja tutkivat niitä huolellisesti, jos ne ovat vain kopioita alkuperäisestä suoritustiedostosta. Noudata vaiheessa 7 jokaisesta sen esiintymisestä. Toistaiseksi olen vain nähnyt tämän viruksen kiinnittyvän suoritettaviin tiedostoihin.
- Jos haluat olla 100% varma, seuraava asia sinun täytyy tehdä on kaksinkertainen tarkistaa jokaisen prosessin käynnissä teidän tehtävänhallinnassa, jos ne ovat legit. Jotkut prosessit erityisesti järjestelmän käynnistämät menetelmät voivat ottaa sinut prosessitiedostoonsa, sen on ok, mutta useimmat heistä, jos teet oikean klikkauksen niitä, sinun pitäisi nähdä vaihtoehto siellä kutsutaan "Open File Location". Noudata sitten edellä olevia ohjeita 7.
- Käynnistä uudelleen ja se on se!
Kiitos lukijalle Kan kirjoittaessasi tämän oppaan kanssa, ja toivottavasti se auttaa joku muu!
