Vodnik za odstranjevanje virusa TrickBot
Kaj je TrickBot?
TrickBot je zlonamerna programska oprema trojanskega tipa, namenjena kraji zasebnih podatkov uporabnikov. Raziskave kažejo, da razvijalci v večini primerov razširijo TrickBot z uporabo e-pošte z neželeno pošto, vendar se lahko distribuira tudi z lažnimi posodobitvami Adobe Flash Player. Ta virus je bil prvič odkrit konec leta 2016, in sicer za različne finančne institucije, banke in ponudnike kreditnih kartic (za več informacij Klikni tukaj ). Konec leta 2017 je pridobivanje kriptominov postalo zelo priljubljeno, zato je bil TrickBot posodobljen in zdaj cilja tudi na kripto denarnice. Poleg tega se TrickBot lahko še bolj širi in okuži čim več računalnikov.
Ta zlonamerna programska oprema v bistvu ugrablja spletne brskalnike in spreminja spletna mesta, ki jih prikazujejo. Spletna mesta so spremenjena tako, da se vpisana prijava in gesla zabeležijo in pošljejo na oddaljeni strežnik, ki ga nadzirajo kiber kriminalci. To je pomembno vprašanje glede zasebnosti uporabnikov. Kiber kriminalci s krajo podatkov za prijavo in gesel za denarnice za kriptovalute, PayPal, bančne račune in druge osebne račune povzročajo resne težave in denar prenašajo brez soglasja, kar vodi do finančne izgube. Novejše različice TrickBot lahko zaklenejo zaslon računalnika žrtve. Kiber kriminalci lahko s to funkcijo prisilijo ljudi, da plačajo odkupnino, da lahko znova dostopajo do svojih računalnikov. Ta virus je sposoben ugrabiti tudi različne programe (kot so WinSCP, Microsoft Outlook, Filezilla, Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer) in ukrasti shranjena gesla, podatke o samodejnem izpolnjevanju in številne druge vrste informacij. Zasnovan je za krajo teh podatkov z implementiranim modulom, imenovanim ' pwgrab '. Poleg kraje poverilnic TrickBot beleži tudi podatke, povezane z brskanjem po spletu (npr. Zgodovino, piškotke itd.), Pa tudi sam sistem (CPU, operacijski sistem, tekoči procesi itd.). Za krajo podatkov iz brskalnikov uporablja modul za zajemanje piškotkov. Ta modul se uporablja za krajo piškotki spletnega brskalnika ki kibernetskim kriminalcem pomagajo ustvariti boljši profil vsake žrtve in na boljši način optimizirati napad. Novejše različice TrickBot lahko kradejo tudi kode PIN ljudem, ki uporabljajo storitve Verizon Wireless, T-Mobile in Sprint. Ta funkcija kiber kriminalcem omogoča nadzor nad telefonskimi številkami žrtve. Da bi to dosegel, TrickBot spreminja spletno vsebino obiskanih spletnih mest (kot je Verizon Wireless) z novimi dinamičnimi spletnimi injekcijami. Dodaja ali odstranjuje lahko različna polja, spreminja besedila itd., Odvisno od tega, kaj so kiber kriminalci pripravljeni doseči. Uporablja se lahko tudi za dostop do predhodno okuženih omrežij (botov) in drugim akterjem groženj omogoča nadaljnje infiltriranje v omrežje in spuščanje njihovega tovora. Upoštevajte, da se ta virus po okužbi lahko posodablja. Z drugimi besedami, vsaka žrtev (če obstaja internetna povezava, seveda) bo imela najnovejšo različico TrickBot, ne glede na to, kdaj je ta zlonamerna programska oprema prvič vdrla v sistem. To zlonamerno programsko opremo je treba takoj odpraviti, vendar je TrickBot znan po tem, da se skriva - ob prvem pregledu je skoraj nemogoče ugotoviti, ali je ta zlonamerna programska oprema prisotna. Možnosti izogibanja zaznavanju so se znatno povečale. Poleg tega lahko onemogoči Windows Defender. Na srečo je večina zakonitih protivirusnih programov sposobna zaznati in odstraniti TrickBot. Če ste pred kratkim prenesli / odprli sumljive e-poštne priloge ali uporabili neodvisna orodja za posodabljanje Adobe Flash Player, morate nemudoma uporabiti ugledno protivirusno programsko opremo za pregled celotnega sistema in odpravo vseh naštetih groženj. Poleg tega preverite seznam nameščenih aplikacij / vtičnikov brskalnika in odstranite morebitne sumljive vnose (ponarejeni posodobitelji verjetno vključujejo tudi potencialno neželene programe vrste adware).
| Ime | Zlonamerna programska oprema TrickBot |
| Vrsta grožnje | Trojan, virus za krajo gesla, bančništvo z zlonamerno programsko opremo, vohunska programska oprema |
| Imena zaznavanja | Avast (Win32: Malware-gen), BitDefender (Trojan.Agent.CWSV), ESET-NOD32 (Win32 / TrickBot.AJ), Kaspersky (Trojan.Win32.Mansabo.awr), celoten seznam ( VirusTotal ) |
| Simptomi | Trojanci so zasnovani tako, da prikradeno vdrejo v računalnik žrtve in ostanejo tiho, zato na okuženem računalniku niso jasno vidni posebni simptomi. |
| Metode distribucije | Okužene priloge e-pošte, zlonamerni spletni oglasi, socialni inženiring, razpoke programske opreme. |
| Škoda | Ukradeni bančni podatki, gesla, kraja identitete, računalnik žrtve, dodan v botnet. |
| Odstranjevanje zlonamerne programske opreme (Windows) | Če želite odpraviti morebitne okužbe z zlonamerno programsko opremo, preglejte računalnik z zakonito protivirusno programsko opremo. Naši raziskovalci varnosti priporočajo uporabo programske opreme Malwarebytes. |
TrickBot ima veliko podobnosti z Adwind , Poni , FormBook in številni drugi trojanci. Čeprav ti virusi delujejo na različne načine, je njihov namen enak - zbiranju osebnih podatkov. Zlonamerna programska oprema, kot je TrickBot, se sprosti zgolj za ustvarjanje prihodka - razvijalci dobesedno ukradejo denar drugih uporabnikov. Potencialno neželeni programi so zasnovani tudi tako, da razvijalcem pomagajo ustvarjati pasiven dohodek - večina prikazuje vsiljive oglase (prek oglaševalskega modela »Pay Per Click« [PPC]), povzroča neželene preusmeritve (promocija dvomljivih spletnih mest) in zbira podatke (npr. Naslove IP , obiskana spletna mesta, ogledane strani, iskalne poizvedbe itd.) Znano je tudi, da mladički ponujajo različne 'uporabne funkcije', vendar so te trditve zgolj poskus ustvarjanja vtisa legitimnosti - za običajne uporabnike ne prinašajo prave vrednosti.
Kako je TrickBot okužil moj računalnik?
Kot smo že omenili, se TrickBot promovira z uporabo neželene e-pošte in lažnih posodobiteljev Adobe Flash Player. Neželena e-poštna sporočila vsebujejo različne zlonamerne priloge (npr. Datoteke PDF, dokumenti MS Office itd.) Z odpiranjem teh prilog uporabniki izvajajo skripte, ki prikrito prenašajo in namestijo viruse, kot je TrickBot, medtem ko ponarejevalni posodobitelji sistem okužijo z izkoriščanjem zastarelih napak programske opreme ali preprosto nalaganje in namestitev zlonamerne programske opreme / PUP-ov namesto posodobitev. V bistvu sta glavna razloga za računalniške okužbe slabo znanje in neprevidno vedenje.
Kako se izogniti namestitvi zlonamerne programske opreme?
Če želite preprečiti računalniške okužbe, bodite zelo previdni pri brskanju po internetu. Dvakrat premislite, preden odprete priloge e-pošte. Če sumite, da je e-poštno sporočilo nepomembno in je poslano s sumljivega / neprepoznavnega e-poštnega naslova, ga takoj izbrišite in zagotovo NE odpirajte prilog. Upoštevajte, da kibernetski kriminalci uporabljajo različne taktike, da se ta e-poštna sporočila zdijo legitimna - posnemajo bančna obvestila, ponudbe za delo itd. Če torej prejmete nepričakovana / sumljiva e-poštna sporočila, jih takoj izbrišite. Tako kot pri posodabljanju programske opreme, ne pozabite, da tudi zločinci širijo zlonamerno programsko opremo s pomočjo ponarejenih posodobiteljev. Zato je treba programsko opremo posodabljati z uporabo implementiranih funkcij ali orodij, ki jih nudi samo uradni razvijalec. Isto pravilo velja za prenos / namestitev programske opreme. Kriminalci monetizirajo tretje osebe, ki jih prenašajo / nameščajo, s promocijo (združevanjem) PUP-ov. Zato je treba programsko opremo prenašati samo iz uradnih virov z uporabo neposrednih povezav za prenos. Pri prenosu onemogočite vse dodatno vključene programe in če tega ne morete storiti, prekinite celoten postopek. Ključ računalniške varnosti je previdnost. Če je vaš računalnik že okužen s TrickBot, priporočamo, da zaženete optično branje z Malwarebytes za Windows za samodejno odstranjevanje infiltrirane zlonamerne programske opreme.
Posodobitev 13. septembra 2019 - Kiber kriminalci so pred kratkim začeli uporabljati zanimivo tehniko za distribucijo trojanca TrickBot. Z e-poštnimi kampanjami za vsiljeno pošto širijo zlonamerni dokument Microsoft Word. Težko je, da je vsebina omenjenega dokumenta koda JavaScript - vsebuje deset deset tisoč vrstic kode JavaScript. Da bi jih skrili, kiber kriminalci spremenijo barvo besedila v belo in ker je tudi ozadje belo, besedilo postane nevidno in s tem prevarijo nepazljive uporabnike, da mislijo, da je dokument prazen. Ko se dokument odpre, zažene makro ukaz, ki njegovo vsebino izvleče v lokalno datoteko in sčasoma se izvede celotna koda JavaScript (ki v sistem vbrizga TrickBot). Zdaj je treba omeniti, da čeprav je kodnih vrstic na tisoče, se dejansko uporablja le majhen del. Kiber kriminalci preprosto vstavijo veliko vrstic kode z namenom, da bi raziskovalcem zlonamerne programske opreme povzročilo težave pri analizi kode.
Posnetek zaslona zlonamernega dokumenta MS Word, ki vsebuje kodo JavaScript (na dnu dokumenta upoštevajte podčrtane 'nevidne' besede):
Posodobitev 25. novembra 2019 - Trojanec TrickBot je bil nedavno posodobljen in zdaj vsebuje novo funkcijo, ki kiber kriminalcem omogoča krajo zasebnih ključev OpenSSH, pa tudi gesla in konfiguracijske datoteke OpenVPN. V tem trenutku pa funkcija razširitve podatkov TrickBot ni popolnoma razvita, kar pomeni, da te ukradene informacije niso nikamor poslane. Zato lahko varno domnevamo, da razvijalci zgolj preizkušajo to funkcijo. Tako ali drugače bo težava verjetno sčasoma odpravljena in podatki bodo dejansko poslani na strežnik Command & Control (C&C).
Posodobitev 10. decembra 2019 - Kiber kriminalci so pred kratkim začeli z novo e-poštno kampanjo za vsiljeno pošto, ki se uporablja za širjenje trojanca TrickBot. V tem primeru prevaranti z ugrabljenimi elektronskimi naslovi .edu pošiljajo zavajajoča e-poštna sporočila, ki vsebujejo obvestila / podrobnosti o nekakšnih 'letnih bonusih'. Ta e-poštna sporočila spodbujajo uporabnika, da prenese obrazec, ga natisne in podpiše. Vsebuje tudi povezave za prenos. Težava pa je v tem, da te povezave sčasoma privedejo do zlonamerne izvedljive datoteke, ki TrickBot spusti v sistem. Da bi se izognili zaznavam varnosti e-pošte, prevaranti uporabljajo različne zakonite storitve za skrivanje sledi zlonamerne izvedljive datoteke. Ko se datoteka odpre, se prikaže pojavno sporočilo, ki uporabnike spodbuja, da posodobijo Microsoft Word ali zaženejo odpiranje dokumenta v drugem računalniku. Hkrati izvršljiva datoteka pusti tovor - trojanec TrickBot. Več informacij o tej neželeni kampanji najdete v Članek Sergiuja Gatlana .
Primer e-poštnega sporočila iz te neželene pošte:
Besedilo, predstavljeno v tem e-poštnem sporočilu:
Zadeva: Re: ******* Letni bonusni dokument je pripravljen
Dober dan, prosimo, natisnite in podpišite svoj obrazec za letni bonus W2. Prejeli smo ga od ******* ***********, obdelali in zdaj ga lahko natisnete in podpišete. Vključite tudi podatke o letnem bonusu za letošnje leto.
Prosim, pošljite mi nazaj ali pošljite nazaj na svoj kadrovski izvod podpisanega obrazca za letni bonus podjetja Palo Alto Networks.
******* zunanji kadrovski svetovalec
Grad David
Sistem obveščanja podjetij
Posodobitev 14. januarja 2020 - Razvijalci trojanca TrickBot so pred kratkim razvili orodje za izkoriščanje, imenovano PowerTrick. Namen tega orodja je vbrizgati TrickBot (in drugo škodljivo programsko opremo) v vse računalnike, ki so povezani v isto omrežje, kot je povezan okuženi gostitelj. PowerTrick okuži sisteme prek povratne lupine - izvede številne ukaze PowerShell, ki v sisteme prenesejo in namestijo določeno zlonamerno programsko opremo (npr. TrickBot Anchor Malware, More_Eggs JavaScript backdoor). Več informacij najdete v Članek Bleeping Computer, ki ga je napisal Lawrence Abrams .
Posodobitev 17. januarja 2020 - Kiber kriminalci so izdali še eno posodobitev trojanca TrickBot. Izvedena je bila s funkcijo, ki omogoča zaobide Windows UAC (nadzor uporabniškega računa) in zagon zlonamerne izvedljive datoteke s skrbniškimi pravicami, ne da bi uporabnik pozval uporabnika in zahteval dovoljenje. Odvisno od infiltriranega sistema (Windows 7 ali Windows 10), TrickBot uporablja različne metode za izogibanje Windows UAC. Več informacij najdete v Članek Bleeping Computer, ki ga je napisal Lawrence Abrams .
Posodobitev 27. januarja 2020 - Crooks je izdal še eno posodobljeno različico trojanca TrickBot in zdaj lahko krade zbirke podatkov iz Windows Active Directory (AD). Da bi ukradel zbirke podatkov AD, ki so shranjene na ogroženih krmilnikih domen Windows, TrickBot zlorablja ukaz »Namesti iz medija« (ifm), ki mu omogoča, da izbriše celotno bazo podatkov (pa tudi nekatere panje v registru naravnost v % TEMP% mapo. Ti podatki se nato stisnejo in naložijo na oddaljeni strežnik, ki ga nadzirajo kiber kriminalci. Podrobno razlago najdete v Članek Lawrencea Abramsa o Bleeping Computer .
Posodobitev 31. januarja 2020 - TrickBot je začel uporabljati še eno tehniko, da bi zaobšel Windows UAC (Nadzor uporabniškega računa) in zagnal s skrbniškimi pravicami brez privolitve uporabnika v računalnikih z operacijskim sistemom Windows 10. Da bi to dosegel, TrickBot zdaj zlorablja Wsreset (wsreset.exe) - legitimno Microsoftovo orodje za ponastavitev predpomnilnika trgovine Windows. TrickBot prisili orodje Wsreset, da izvrši ukaz, shranjen v registru sistema Windows, ki zažene zlonamerno izvedljivo datoteko, ne da bi pozval sporočilo, ki zahteva dovoljenje uporabnika za zagon aplikacije. S tem se TrickBot prikrade v sistem, ne da bi izvedel kakršna koli dejanja, ki bi pritegnila pozornost uporabnika. Več informacij o tej metodi TrickBot najdete v Članek Arnolda Osipova o Morphisecu .
Posodobitev 9. marca 2020 - Kibernetski kriminalci izkoriščajo nedavni izbruh koronavirusa. Nenehno začenjajo različne e-poštne neželene akcije ki se uporabljajo za lažno predstavljanje in distribucijo zlonamerne programske opreme. Seznam porazdeljene zlonamerne programske opreme je dolg. Vendar vključuje tudi TrickBot. Tu je primer italijansko usmerjene neželene kampanje, povezane s koronavirusom, ki širi TrickBot z zlonamerno prilogo - dokument Microsoft Word:
Besedilo, predstavljeno v tem e-poštnem sporočilu:
Zadeva: Koronavirus: Pomembne informacije o previdnostnih ukrepih
Spoštovani gospod / gospa,
Zaradi dokumentiranih primerov okužbe s koronavirusom na vašem območju je Svetovna zdravstvena organizacija pripravila dokument, ki vključuje vse potrebne previdnostne ukrepe proti okužbi s koronavirusom. Toplo priporočamo, da preberete dokument, priložen temu sporočilu!
Z lepimi pozdravi,
Dr. Penelope Marchetti (Svetovna zdravstvena organizacija - Italija)
Posodobitev 18. marca 2020 - TrickBot je pred kratkim prejel še eno posodobitev. Eden od modulov je zasnovan za vsiljevanje povezav protokola oddaljenega namizja (RDP) na cilje, ki so jih izbrali kiber kriminalci. Rezultati raziskav kažejo, da ima večina žrtev sedež v ZDA in Hong Kongu. Omeniti velja tudi, da je večina ciljnih žrtev ponudnikov telekomunikacijskih storitev. Ker so omenjeni napadi selektivni, je zelo pogosto, da kiber kriminalci kakršne koli vrste ciljajo na različna podjetja in podjetja. To je zato, ker so tovrstne žrtve precej bolj sočne - prihodek, ki ga ustvari en sam domači uporabnik, je precej nižji od prihodka velikega podjetja.
Posodobitev 19. marca 2020 - Razvijalci TrickBot in Emotet izkoriščajo trenutno situacijo v zvezi s Coronavirusom, da bi zlonamerne datoteke naredili 'manj zaznavne'. Kiber kriminalci naredijo, da v opis vsake zlonamerne datoteke vstavijo citate iz različnih govorov o koronavirusu (npr. Citiranje Donalda Trumpa, člankov CNN itd.). S tem prevaranti zmanjšajo možnost, da antivirusni programi zaznajo zlonamerno programsko opremo. Več podrobnosti najdete v Članek Lawrencea Abrama, objavljen v Bleeping Computer .
Posodobitev 25. marca 2020 - Razvijalci trojanca TrickBot so pred kratkim izdali zlonamerno aplikacijo Android (raziskovalci IBM X-Force so jo poimenovali TrickMo), ki jim omogoča, da obidejo dvofaktorsko overjanje (2FA). V tem trenutku se zlonamerna aplikacija preobleče v Varnostni nadzor Avast 'prijava ali' Varnostni nadzor Deutsche Bank 'uporabnost. Aplikacija je namenjena zbiranju podatkov, ki kiber kriminalcem na koncu omogočajo, da zaobidejo 2FA in jim tako omogočajo goljufive transakcije. To pomeni, da lahko namestitev takšne zlonamerne aplikacije v vašo napravo povzroči velike finančne izgube. Več podrobnosti najdete v Članek Sergiouja Gatlana, objavljen v Bleeping Computer .
Primeri zlonamernih dokumentov Microsoft Excel, zasnovanih za vbrizgavanje trojanca TrickBot v sistem:
Primeri zlonamernih dokumentov Microsoft Word, zasnovanih za vbrizgavanje trojanca TrickBot v sistem:
Posodobitev 23. junija 2020 - Opazili so, da se trojanec TrickBot uporablja za šifriranje podatkov Ryuk ransomware . Uvajanje omenjene odkupne programske opreme ni takojšnje, običajno traja dva tedna po začetni okužbi s TrickBot (v nekaterih raziskanih primerih so Ryuka vbrizgali po več mesecih). V tem obdobju trojanec preuči okuženo omrežje, da oceni potencialno vrednost cilja. Če se izkaže, da so zbrani podatki zanimivi in pomembni, se naloži ransomware Ryuk. Več informacij o tem razvoju najdete v članek Ionut Ilascu o Bleeping Computer .
Primer še ene e-pošte, ki se uporablja za širjenje trojanca TrickBot prek priloženega dokumenta MS Excel:
Besedilo je predstavljeno v:
Zadeva: James Russel iz Fyffes Produce Ltd
Zdravo,
Prej smo se že pogovarjali, konec julija ste zahtevali, da stopim v stik.
Lahko bi bil 4 tedne prej, vendar sem se zavedal, da bi se bilo res vredno prijaviti.Priložil sem cene skupaj z informativnimi listi, ki podrobno opisujejo široko paleto lastnih izdelkov in rešitev za vaše raziskave.
Pričakujem, da bom kmalu prejel odgovor z vaše strani.Hvala vam,
James Russel
Fyffes Produce LtdKritischer Fehler im Startmenü von Windows 10
Posnetek zaslona priloženega dokumenta MS Excel:
Posodobitev 13. julija 2020 - Razvijalci TrickBot so pomotoma 'izdali' preizkusno različico te zlonamerne programske opreme, ki žrtve opozori na okužbo. Po infiltriranju v sistem ta vzorec TrickBot odpre brskalnik in se poveže z lokalnim omrežjem, da odpre datoteko HTML, ki prinese sporočilo, ki žrtve opozori na nekatere ukradene informacije. To sporočilo označuje prisotnost zlonamerne programske opreme TrickBot.
Posnetek zaslona opozorilnega sporočila TrickBot-a v localhost:
Besedilo je predstavljeno v:
Opozorilo
To sporočilo vidite, ker je program z imenom grabber zbral nekaj informacij iz vašega brskalnika.
Če ne veste, kaj se dogaja, je čas, da začnete biti zaskrbljujoči.
Za podrobnosti se obrnite na skrbnika sistema.
Posodobitev 16. septembra 2020 - Avtorji TrickBot so zdaj ustvarili nov model TrickBot, imenovan BazarLoader, ki vbrizga svoj tovor v določen sistemski postopek (npr. 'Svchost', 'explorer.exe' ali 'cmd.exe'.). Ta nalagalnik vztrajno ustvari registrski ključ v sistemskem registru. Kot večina nalagalcev zlonamerne programske opreme se tudi BazarLoader uporablja za nalaganje druge stopnje zlonamerne programske opreme na okuženi računalnik. Prenaša zlonamerne datoteke s strežnikov domene .bazar C2.
Še en primer neželene e-pošte, ki se uporablja za širjenje zlonamernega dokumenta MS Excel, ki v sistem vbrizga trojanca TrickBot:
Besedilo je predstavljeno v:
Zadeva: Kadrovska posodobitev ********
Dobro jutro,
V prilogi najdete posodobitev kadrovske ponudbe za ta teden.
Vsem zaželel zelo vesel božič!
Zabavajte se in bodite na varnem!
Posnetek zaslona priloženega dokumenta:
Takojšnje samodejno odstranjevanje zlonamerne programske opreme: Ročno odstranjevanje groženj je lahko dolgotrajen in zapleten postopek, ki zahteva napredno računalniško znanje. Malwarebytes je profesionalno orodje za samodejno odstranjevanje zlonamerne programske opreme, ki je priporočljivo, da se znebite zlonamerne programske opreme. Prenesite ga s klikom na spodnji gumb:
▼ PRENESI Malwarebytes S prenosom katere koli programske opreme, navedene na tem spletnem mestu, se strinjate z našo Politika zasebnosti in Pogoji uporabe . Če želite uporabljati polno predstavljeni izdelek, morate kupiti licenco za Malwarebytes. Na voljo 14-dnevno brezplačno preskusno obdobje.
Hitri meni:
- Kaj je TrickBot?
- KORAK 1. Ročno odstranjevanje zlonamerne programske opreme TrickBot.
- 2. KORAK Preverite, ali je računalnik čist.
Kako ročno odstraniti zlonamerno programsko opremo?
Ročno odstranjevanje zlonamerne programske opreme je zapletena naloga, običajno je bolje, da protivirusni programi ali programi proti zlonamerni programski opremi to naredijo samodejno. Za odstranitev te zlonamerne programske opreme priporočamo uporabo Malwarebytes za Windows . Če želite zlonamerno programsko opremo odstraniti ročno, morate najprej prepoznati ime zlonamerne programske opreme, ki jo poskušate odstraniti. Tu je primer sumljivega programa, ki se izvaja v uporabnikovem računalniku:
Če ste preverili seznam programov, ki se izvajajo v računalniku, na primer z upraviteljem opravil in prepoznali sumljiv program, nadaljujte s temi koraki:
True Key von Intel Security deinstallieren
Prenesite program z imenom Autoruns . Ta program prikazuje aplikacije za samodejni zagon, lokacije registra in datotečnega sistema:
Znova zaženite računalnik v varnem načinu:
Uporabniki sistemov Windows XP in Windows 7: Zaženite računalnik v varnem načinu. Kliknite Start, Zaustavitev, Ponovni zagon in V redu. Med postopkom zagona računalnika večkrat pritisnite tipko F8 na tipkovnici, dokler se ne prikaže meni Windows Advanced Option (Napredne možnosti sistema Windows), nato na seznamu izberite Safe Mode with Networking.
Video, ki prikazuje, kako zagnati Windows 7 v 'varnem načinu z mreženjem':
Uporabniki sistema Windows 8 : Zagon sistema Windows 8 je varen način z omrežjem - pojdite na začetni zaslon sistema Windows 8, vnesite Napredno in v rezultatih iskanja izberite Nastavitve. Kliknite Napredne možnosti zagona, v odprtem oknu »Splošne nastavitve računalnika« izberite Napredni zagon. Kliknite gumb 'Znova zaženi zdaj'. Zdaj se bo računalnik znova zagnal v meniju »Napredne možnosti zagona«. Kliknite gumb »Odpravljanje težav« in nato gumb »Napredne možnosti«. Na zaslonu z naprednimi možnostmi kliknite »Nastavitve zagona«. Kliknite gumb 'Znova zaženi'. Vaš računalnik se bo znova zagnal na zaslon z nastavitvami zagona. Pritisnite F5 za zagon v varnem načinu z omrežjem.
Video, ki prikazuje zagon sistema Windows 8 v 'varnem načinu z mreženjem':
Uporabniki sistema Windows 10 : Kliknite logotip sistema Windows in izberite ikono Power. V odprtem meniju kliknite »Znova zaženi«, medtem ko na tipkovnici držite gumb »Shift«. V oknu »izberite možnost« kliknite »Odpravljanje težav«, nato izberite »Napredne možnosti«. V meniju naprednih možnosti izberite 'Nastavitve zagona' in kliknite gumb 'Znova zaženi'. V naslednjem oknu kliknite tipko 'F5' na tipkovnici. To bo znova vzpostavilo operacijski sistem v varnem načinu z mreženjem.
Video, ki prikazuje, kako zagnati Windows 10 v 'varnem načinu z mreženjem':
Izvlecite preneseni arhiv in zaženite datoteko Autoruns.exe.
V aplikaciji Autoruns na vrhu kliknite »Options« in počistite možnosti »Hide Empty Locations« in »Hide Windows Entries«. Po tem postopku kliknite ikono »Osveži«.
Preverite seznam aplikacij Autoruns in poiščite datoteko zlonamerne programske opreme, ki jo želite odstraniti.
Zapišite si celotno pot in ime. Nekatera zlonamerna programska oprema skriva imena svojih procesov pod zakonitimi imeni procesov Windows. Na tej stopnji je zelo pomembno, da se izognete odstranjevanju sistemskih datotek. Ko poiščete sumljiv program, ki ga želite odstraniti, z desno miškino tipko kliknite njegovo ime in izberite 'Delete'
Po odstranitvi zlonamerne programske opreme prek aplikacije Autoruns (to zagotavlja, da se zlonamerna programska oprema ne bo samodejno zagnala ob naslednjem zagonu sistema), poiščite ime zlonamerne programske opreme v računalniku. Bodi prepričan omogoči skrite datoteke in mape preden nadaljujete. Če najdete datoteko zlonamerne programske opreme, jo odstranite.
Znova zaženite računalnik v običajnem načinu. Upoštevanje teh korakov naj bi pomagalo odstraniti vso škodljivo programsko opremo iz računalnika. Upoštevajte, da ročno odstranjevanje groženj zahteva napredno računalniško znanje, zato priporočamo, da odstranitev zlonamerne programske opreme prepustite protivirusnim programom in programom proti zlonamerni programski opremi. Ti koraki morda ne bodo delovali pri naprednih okužbah z zlonamerno programsko opremo. Kot vedno se je bolje izogniti okužbam, ki skušajo naknadno odstraniti zlonamerno programsko opremo. Za zaščito računalnika namestite najnovejše posodobitve operacijskega sistema in uporabite protivirusno programsko opremo.
Če želite biti prepričani, da v računalniku ni okužb z zlonamerno programsko opremo, priporočamo, da ga optično preberete Malwarebytes za Windows .
