Πώς να απαλλαγείτε από τον ιό wmpscfgs.exe, έναν οδηγό που εισάγει τον αναγνώστη
Πώς-To Geek reader Kan έγραψε με έναν πλήρη οδηγό για να απαλλαγούμε από τον άσχημο ιό wmpscfgs.exe, και εμείς σκεφτήκαμε ότι πρέπει απλά να το μοιραζόμαστε με όλους, μόνο σε περίπτωση που κάποιος άλλος αντιμετωπίζει το ίδιο πρόβλημα στο μέλλον.
Σημειώστε ότι πρόκειται για έναν συγκεκριμένο οδηγό για την εξάλειψη ενός συγκεκριμένου ιού και δοκιμάστηκε από έναν συγκεκριμένο αναγνώστη. Δεν έχουμε δοκιμάσει αυτά τα βήματα προσωπικά.
Τα συμπτώματα του ιού wmpscfgs.exe
- Εάν διαθέτετε λογισμικό Malwarebytes ή Superantispyware, αυτοί οι τύποι θα το ανιχνεύσουν σε κάθε σάρωση και θα προσπαθήσουν να καταργήσουν αυτόν τον ιό. Αλλά ο ιός θα επανέλθει μετά από μια επανεκκίνηση. Ακόμη και μια εκκίνηση σε ασφαλή λειτουργία (με ή χωρίς δίκτυο) δεν θα λειτουργήσει.
- Μια προειδοποίηση σχετικά με το IE που δεν αποτελεί το προεπιλεγμένο πρόγραμμα περιήγησης θα εμφανίζεται πάντα χωρίς να κάνετε κλικ ή να ανοίξετε το IE. Δεν θα συμβούλευα να κάνετε κλικ στο ναι ή όχι σε αυτό. Απλά μετακινήστε το παράθυρο σε μια από τις γωνίες της οθόνης σας και δείτε την παρακάτω λύση.
- Το Windows UAC θα παρουσιάσει λάθος και θα συνεχίσει να σας ειδοποιεί εάν θέλετε να εκτελέσετε ένα πρόγραμμα εκκίνησης που εκτελέστηκε προηγουμένως. Αυτό έδωσε τον ιό μακριά για μένα ως εκ τούτου αρχίζω τη σάρωση και τη διερεύνηση. Αν προσπαθήσετε να επιτρέψετε ένα, το UAC θα απενεργοποιηθεί. Παραδόξως, εάν το ενεργοποιήσατε, τα παράθυρα δεν σας ζητούν να κάνετε επανεκκίνηση, κάτι που είναι επίσης ένα giveaway ότι κάτι είναι λάθος! Καθώς η αλλαγή των ρυθμίσεων του UAC σίγουρα θα σας ζητηθεί επανεκκίνηση.
- Το Microsoft Security Essentials θα εντοπίσει ότι τα προγράμματα εκκίνησης (λογισμικό ιών, λογισμικό anti spyware / malware κ.λπ. είναι ιούς) και το σημαίνουν ως ιό. Ένα άλλο giveaway ότι κάτι είναι τρομερά λάθος!
Αν έχετε τα παραπάνω συμπτώματα, έχετε σχεδόν τον ιό που είχα χθες. Εδώ είναι τι μπορείτε να κάνετε για να το ξεφορτωθείτε. Μην ενοχλείτε τη σάρωση, καθώς οι σαρωτές δεν μπορούν να διορθώσουν πλήρως το πρόβλημά σας και θα καταλήξουν να καταστρέψουν τις εφαρμογές σας.
- Εκκίνηση σε ασφαλή λειτουργία. Ο λόγος για αυτό είναι ότι σε ασφαλή λειτουργία δεν εκτελούνται πολλές διαδικασίες. Χρειάζεται αυτή τη ρύθμιση στο βήμα 9 παρακάτω, καθώς αυτός ο ιός είναι δυσάρεστος.
- Ανοίξτε τον εξερευνητή παραθύρων και μεταβείτε στην επιλογή Εργαλεία -> Επιλογές φακέλων .
ένα. Βεβαιωθείτε ότι ακολουθούνται τα εξής: TICKED -> Εμφάνιση κρυφών αρχείων και φακέλων
σι. Βεβαιωθείτε ότι τα ακόλουθα είναι UNticked -> Απόκρυψη επεκτάσεων για γνωστούς τύπους αρχείων - Πηγαίνετε στους παρακάτω καταλόγους (αυτό είναι για το premium premium vista):
C: \ Program Files \ Internet Explorer
C: \ Χρήστες \ χρήστης \ AppData \ Τοπικό \ Temp
Και θα δείτε εκεί ένα αρχείο που ονομάζεται wmpscfgs.exe. Διαγράψτε τα. - Ανοίξτε το διαχειριστή εργασιών σας, βεβαιωθείτε ότι έχει επισημανθεί η ένδειξη 'show all processes' και αναζητήστε την ίδια διαδικασία. Εάν εκτελείται. Σκότωσέ το.
Ξεκινώντας αυτό το μέρος, τα βήματα χρειάζονται περισσότερη τεχνική εμπειρία. Εάν δεν αισθάνεστε άνετα στα παρακάτω βήματα, αναζητήστε κάποιον που μπορεί να σας βοηθήσει.
- Ανοίξτε το regedit και μεταβείτε στο: HKLM-> Λογισμικό -> Microsoft -> Windows -> CurrentVersion -> Run
- Αναζητήστε την καταχώρηση Adobe_reader με δεδομένα: "% ProgramFiles% \ Internet Explorer \ wmpscfgs.exe". Διέγραψε το. Για μένα από αυτό το σημείο σχεδόν όλα τα πράγματα που γράφονται στο NET δεν έχουν τα παρακάτω βήματα. Και ο λόγος για τον οποίο ο ιός αυτός συνεχίζει να επιστρέφει.
- Ας ελπίσουμε ότι δεν έχετε πολλές εφαρμογές στο "HKLM-> Λογισμικό -> Microsoft -> Windows -> CurrentVersion -> Run". Επειδή πρέπει να επισκεφθείτε κάθε ένα από αυτά κυριολεκτικά επειδή ο ιός αυτός αφαίρει σχεδόν κάθε εφαρμογή στη λίστα RUN παραπάνω.
- Βασικά μετονομάζει το παλιό αρχείο exe από το say "mcagent.exe" στο "mcagent .exe". Με ένα διάστημα μεταξύ του ονόματος αρχείου και του ".exe" ή της επέκτασης. Θα δημιουργήσει τότε ένα αντίγραφο του ίδιου με το ίδιο όνομα αρχείου με το εκτελέσιμο αρχείο σας έτσι ώστε όταν κάποιος εκτελεί το αρχείο σας, ο ιός θα εκτελεστεί πρώτα, στη συνέχεια, το αρχείο σας. Θα το κάνει αυτό για κάθε εφαρμογή που έχετε στη λίστα Run.
Έτσι, αν πάτε στη θέση της λέξης McAfee mcagent.exe, θα δείτε δύο έως τρία αρχεία με σχεδόν το ίδιο όνομα αρχείου:
- mcagent.exe -> το οποίο είναι ένα αρχείο 39 KB και πολύ πρόσφατα δημιουργήθηκε και ποιος είναι ο ιός που συνεχίζει να προσθέτει πίσω εκείνο το αρχείο wmpscfgs.exe.
- mcagent .exe -> το αρχικό αρχείο mcagent, μετονομάστηκε.
- mcagent.exe.delme -> διαγράψτε και αυτό. Δεν βλέπω να συμβαίνει αυτό κάθε φορά, αλλά έχω δει ορισμένες εφαρμογές με αυτό το αρχείο σε αυτές και πολύ πρόσφατα δημιουργήθηκε.
- Πρώτα πρέπει να σκοτώσετε την αντίστοιχη διαδικασία του μολυσμένου αρχείου αν εκτελούνται στον διαχειριστή εργασιών, αφαιρέστε με μη αυτόματο τρόπο το υπάρχον αρχείο .exe που είναι περίπου 39ΚΒ μόνο και μετονομάστε το παλιό σας εκτελέσιμο αρχείο στο προηγούμενο όνομα αρχείου. Επαναλάβετε αυτό για κάθε εφαρμογή που έχετε στη λίστα εκτέλεσης παραπάνω. Το μόνο πράγμα που είδα ότι ο ιός δεν μολύνθηκε ήταν η εφαρμογή προστασίας παραθύρων. Τα υπόλοιπα στη λίστα Run μου ήταν βιδωμένα. Η κατάργησή τους και η επανεγκατάσταση τους δεν βοηθούν καθώς το προηγούμενο αρχείο exe του Trojan θα διατηρηθεί στον κατάλογο εφαρμογών.
Αυτός είναι ο λόγος για τον οποίο η Microsoft Security Essentials διαμαρτύρεται ότι τα εκτελέσιμα αρχεία εκκίνησης είναι ιούς.
- Μόλις επαληθεύσετε ότι κάθε εφαρμογή στη λίστα εκτέλεσης έχει αποκατασταθεί. Για να είστε σίγουροι ότι δεν έχετε τέτοια αρχεία που παραμένουν στο σύστημά σας, κάντε μια αναζήτηση δίσκου για οποιοδήποτε αρχείο που έχει μέγεθος 39KB και έχει μόλις δημιουργηθεί πρόσφατα και εξετάστε προσεκτικά το καθένα προσεκτικά, αν πρόκειται για αντίγραφα μόνο του αρχικού εκτελέσιμου αρχείου . Ακολουθήστε το βήμα 7 για κάθε εμφάνιση του. Μέχρι στιγμής, είδα μόνο ότι ο ιός συνδέεται σε εκτελέσιμα αρχεία.
- Αν θέλετε να είστε 100% σίγουροι, το επόμενο πράγμα που πρέπει να κάνετε είναι να ελέγξετε κάθε διαδικασία που εκτελείται στον διαχειριστή εργασιών σας, εάν είναι νόμιμες. Κάποια διαδικασία ειδικά εκείνοι που ξεκίνησαν από το σύστημα δεν θα είναι σε θέση να σας μεταφέρουν στο αρχείο διαδικασίας, εντάξει, αλλά οι περισσότεροι από αυτούς, εάν κάνετε δεξί κλικ σε αυτά, θα πρέπει να δείτε μια επιλογή που ονομάζεται "Άνοιγμα αρχείου Τοποθεσία". Στη συνέχεια ακολουθήστε τα βήματα 7 παραπάνω.
- Επανεκκινήστε και αυτό είναι!
Χάρη στον αναγνώστη Kan για να γράψει με αυτόν τον οδηγό, και ελπίζουμε ότι βοηθάει κάποιον άλλο!