Читач з практичними рекомендаціями Кан написав повне керівництво щодо позбавлення від неприємного вірусу wmpscfgs.exe, і ми вирішили, що нам слід просто поділитися ним з усіма, на випадок, якщо хто-небудь ще зіткнеться з такою ж проблемою в майбутньому.
Зверніть увагу, що це спеціальне керівництво з позбавлення від конкретного вірусу, яке було протестоване певним читачем. Ми не перевіряли ці кроки особисто.
Симптоми вірусу wmpscfgs.exe
- Якщо у вас є Malwarebytes або Superantispyware, ці хлопці виявлять його при кожному скануванні і спробують видалити цей вірус. Але вірус просто повернеться після перезавантаження. Навіть безпечний режим завантаження (з мережею або без) не працюватиме.
- Попередження про те, що IE не є вашим браузером за замовчуванням, завжди буде спливати, навіть не натискаючи і не відкриваючи IE. Я б не радив натискати ні так, ні ні. Просто перемістіть вікно в один з кутів монітора і знайдіть рішення нижче.
- Windows UAC буде працювати неправильно і продовжуватиме запитувати, чи хочете ви виконати раніше виконану програму запуску. Це дало мені вірус, тому я починаю сканування і розслідування. Якщо ви спробуєте дозволити один, UAC буде вимкнено. Як не дивно, якщо ви ввімкнули його, Windows не пропонує перезавантажити комп'ютер, що також є ознакою того, що щось не так! У міру зміни налаштувань UAC обов'язково попросимо перезавантаження.
- Microsoft Security Essentials виявить, що ваші програми (антивірусні програми, антишпигунське/шкідливе ПЗ і т. Д. Є вірусами), і позначить їх як вірус. Ще один розпродаж, що щось жахливо не так!
Якщо у вас є вищевказані симптоми, у вас є вірус, який у мене був вчора. Ось що ви можете зробити, щоб позбутися цього. Не турбуйтеся про сканування, оскільки сканери не можуть повністю вирішити вашу проблему і зрештою зашкодять ваші програми.
- Завантажте у безпечному режимі. Причина в тому, що в безпечному режимі не так багато запущених процесів. Це налаштування потрібне вам за крок 9 нижче, оскільки цей вірус неприємний.
- Відкрийте провідник Windows і перейдіть до Інструментів - > Параметри каталогу
. Переконайтеся, що позначено такі пункти - > Показати приховані файли та теку
. Переконайтеся, що наступні UNticked - > Сховати суфікси відомих типів файлів - Перейдіть у наступні каталоги (це для Vista Home Premium):
C: \ Program Files \ Internet Explorer
C: \ Users\користувач\AppData\Local\TempІ
ви побачите там файл з назвою wmpscfgs.exe. Вилучити їх. - Відкрийте менеджер завдань, переконайтеся, що позначено пункт «Показати всі процеси» і знайдіть той самий процес. Якщо це працює. Убий це.
Починаючи цю частину, кроки вимагає більше технічного досвіду. Якщо вам незручно виконувати описані нижче кроки, шукайте когось, хто може вам допомогти.
- Відкрийте regedit і перейдіть: HKLM- > Програмне забезпечення - > Microsoft - > Windows - > CurrentVersion - > Виконати
- Знайдіть запис Adobe_reader з даними: « % ProgramFiles% \ Internet Explorer \ wmpscfgs.exe ». Це здалеку. Для мене з цього моменту майже всі речі, написані в мережі, в даний час не мають описаних нижче кроків. І це причина, чому цей вірус продовжує повертатися.
- Сподіваюся, у вас не так багато програм у розділі «HKLM- > Software - > Microsoft - > Windows - > CurrentVersion - > Run». Тому що ви повинні відвідувати кожен з них буквально, тому що цей вірус захоплює майже всі програми в списку RUN вище.
- По суті, він перейменовує старий exe-файл з «mcagent.exe» в «mcagent.exe». З пробілом між назвою файлу і «.exe» або розширенням. Потім він створить свою копію з тією ж назвою файла, що і ваш виконуваний файл, так що, коли хтось запустить ваш файл, вірус буде виконуватися першим, а потім ваш файл. Це буде зроблено для всіх програм, які є у вашому списку запуску.
Таким чином, якщо ви перейдете в місце розташування, скажімо, програми McAfee mcagent.exe, ви побачите два-три файли з майже однаковим ім'ям файлу:
- exe - > файл розміром 39 КБ, створений зовсім недавно і є вірусом, який продовжує додавати цей файл wmpscfgs.exe.
- exe - > оригінальний файл mcagent, перейменований.
- exe.delme < випадкове число > - > також вилучіть це. Я не бачу, щоб це відбувалося кожен раз, але я бачив деякі програми з цим файлом в них, які були створені зовсім недавно.
- Спочатку вам потрібно вбити відповідний процес зараженого файлу, якщо він запущений в диспетчері завдань, вручну видалити існуючий файл.exe, розмір якого становить близько 39 КБ, і перейменувати старий виконуваний файл в колишнє ім'я файлу. Повторіть це для кожної програми, яку ви маєте у списку Run вище. Єдине, що я побачив, що цей вірус не заразив - це додаток Windows Defender. Решта в моєму списку Run були зіпсовані. Видалення і перевстановлення їх не допомагає, оскільки колишній exe-файл троянця буде збережено в каталозі програми.
З цієї причини Microsoft Security Essentials скаржиться на те, що виконувані файли є вірусами.
- Після того, як ви переконалися, що кожна програма у вашому робочому списку була відновлена. Щоб бути повністю впевненим, що у вашій системі не залишилося таких файлів, виконайте пошук на диску для будь-якого файла розміром 39 КБ, який був щойно створений, і уважно вивчіть кожен з них, якщо це лише копії вашого вихідного виконуваного файла. Виконайте крок 7 для кожного з його появи. Досі я тільки бачив, як цей вірус прикріплювався до виконуваних файлів.
- Якщо ви хочете бути на 100% впевненим, наступне, що вам потрібно зробити, - це двічі перевірити кожен процес, запущений у вашому диспетчері завдань, якщо вони законні. Деякі процеси, особливо запущені системою, не зможуть перенести вас у свій файл процесу, це нормально, але більшість з них, якщо ви клацнете по ним правою кнопкою миші, ви побачите там опцію під назвою «Розташування відкритого файла». Потім виконайте кроки 7 вище.
- Перезавантаження і все!
Спасибі читачеві Кану за те, що він написав це керівництво, і, сподіваюся, це допоможе комусь ще!