Скорая компьютерная помощь: лечение по фотографии, заговор от сглаза, вынос мусора

[Ибко Шумный]

В командной строке выполнить
wmic /output:installedapps.txt product get name,vendor,version
потом файл installedapps.txt из папки %userprofile% выкладывайте сюда - скажу, что нужно удалить.

После удаления ненужных программ скачать и запустить Malwarebytes Anti-Malware FREE версию. При установке на последнем экране снять галку "Активировать пробный период". После запуска нужно скачать обновления и запустить. Там всё по-русски и вполне очевидно.
"Пробный период" активирует программу в качестве резидентного антивируса, довольно мощного - можно и попробовать ради спортивного интереса.

1. проверить файл c:\Windows\System32\drivers\etc\hosts - должно быть (важно только то, что НЕ начинается с #)

Код:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
    127.0.0.1       localhost
    ::1             localhost

При помощи записей в этом файле можно блокировать доступ к сайтам либо перенаправлять, например, вконтакт, на левый сайт, крадущий пароли; часто файл заполнен пустыми строками - сотней-другой, а самая вишенка таится в конце.

2.в командной строке выполнить "route print" - должно в конце выдать "Постоянные маршруты: Отсутствует"

3. сбросить настройки ВСЕХ браузеров на умолчания. Лучший вариант - удалить всё (кроме IE, разумеется) и скачать нужное ещё раз.
3.1 Панель управления - Сеть и интернет - Свойства браузера - вкладка Подключение - кнопка Настройка сети - должно быть "Автоматическое определение...", остальные галки сняты (за исключением случая, когда вы намеренно используете прокси).

4. Проверить ярлыки для запуска браузеров на рабочем столе и в панели задач - иногда под них прячут просто ссылку на несколько страниц, а не саму программу (правой кнопкой на ярлык - свойства)

5. Остальное должна вычистить Antimalware.

6. Из антивирусов достаточно Microsoft Security Essentials. Всё остальное создаёт видимость защиты, но на самом деле бесполезно. MSE ничуть примерно так же эффективна, но не просит денег и не тормозит систему.

7. Не работать под пользователем Администратор. Создать другого пользователя, дать ему (если нужно) административные права, а Администратора защитить паролем, хотя бы самым простым. Это (почти) полностью исключит возможность несанкционированной вами установки любой программы.

8. В последнее время не так страшны вирусы, сколько сайты, ворующие трафик и вставляющие свою рекламу во все остальные сайты, показывающие баннеры, советующие установить "Оптимизатор всего", "Волшебный ускоритель интернета" - тут поможет только ваша внимательность.

Если не помогает, то скорее всего, сидят руткиты, которые из-под работающей системы не выгнать, т.е. либо нужно смотреть и разбираться, либо лечить из-под Live-системы.

Рекомендации
- использовать Chrome. При первом запуске браузера Chrome обратить внимание на транспарант "Сторонняя программа установила расширения" - от всего отказаться и удалить все расширения, кроме явно нужных - этим грешат яндекс и мейлру
- установить расширение Adblock Plus от adblockplus.org (в магазине расширений несколько адблоков; этот - проверенный) и включить в настройках дополнительный фильтр "Malware Domains"
- для сомнительный сайтов использовать режим инкогнито любого браузера
- внимательно смотреть, что качается и запускается.
- для неопытных пользователей настроить аккаунт с ограниченными правами, аккаунт пользователь защитить паролем, НЕ выключать режим контроля учётных записей.


что осталось за кадром:
- какая-то зараза записала себя в планировщик
- надо проверять работающие службы
- руткиты


Указанная в первых строках команда в 64-битных системах НЕ выводит 32-битные приложения, а именно в этом списке обычно самое интересное. К сожалению. такого же простого способа для x64-систем не нашёл, но выход есть:
скачать командный файл https://yadi.sk/d/bnlvzkghh5c2V

Текст файла:

Файл сохранён в кодировке 866. Читает из реестра список установленных программ.

Код:

@echo off
setlocal enableextensions enabledelayedexpansion

echo List of installed programs > "%userprofile%\desktop\installedprograms.txt"
echo Формирование списка установленных программ
echo ... x64 приложения

chcp 1251 > nul
for /f "usebackq delims=" %%i in (
    `reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"`
) do for /f "usebackq tokens=3*" %%j in (
        `reg.exe query "%%~i" /v "DisplayName" 2^>nul ^| find.exe /i "DisplayName"`
    ) do echo x64    %%~j %%k >> "%userprofile%\desktop\installedprograms.txt"

chcp 866 > nul
echo ... x32 приложения
chcp 1251 > nul
for /f "usebackq delims=" %%i in (
    `reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall"`
) do for /f "usebackq tokens=3*" %%j in (
        `reg.exe query "%%~i" /v "DisplayName" 2^>nul ^| find.exe /i "DisplayName"`
    ) do echo x32    %%~j %%k >> "%userprofile%\desktop\installedprograms.txt"

endlocal
chcp 866 > nul
echo Всё готово, на рабочем столе создан файл installedprograms.txt
pause
exit /b 0

[свернуть]

Создаёт на рабочем столе текстовый файл со списком всех установленных программ. Присылайте список, скажу что нужно или можно удалить.