Ο αναγνώστης How-To Geek Kan έγραψε με έναν πλήρη οδηγό για να απαλλαγούμε από τον άσχημο ιό wmpscfgs.exe και θεωρήσαμε ότι πρέπει να το μοιραστούμε με όλους, σε περίπτωση που κάποιος άλλος αντιμετωπίσει το ίδιο πρόβλημα στο μέλλον.
Σημειώστε ότι αυτός είναι ένας συγκεκριμένος οδηγός για την απαλλαγή από έναν συγκεκριμένο ιό και δοκιμάστηκε από έναν συγκεκριμένο αναγνώστη. Δεν έχουμε δοκιμάσει αυτά τα βήματα προσωπικά.
Συμπτώματα του ιού wmpscfgs.exe
- Εάν διαθέτετε λογισμικό Malwarebytes ή Superantispyware, αυτά τα παιδιά θα το εντοπίσουν σε κάθε σάρωση και θα προσπαθήσουν να αφαιρέσουν αυτόν τον ιό. Αλλά ο ιός θα επιστρέψει μετά από επανεκκίνηση. Ακόμα και η εκκίνηση με ασφαλή λειτουργία (με ή χωρίς δίκτυο) δεν θα λειτουργήσει.
- Μια προειδοποίηση ότι το IE δεν θα είναι το προεπιλεγμένο πρόγραμμα περιήγησής σας θα εμφανίζεται πάντα χωρίς καν να κάνετε κλικ ή να ανοίξετε το IE. Δεν θα συμβούλευα να κάνω κλικ είτε ναι είτε όχι. Απλώς μετακινήστε το παράθυρο σε μία από τις γωνίες της οθόνης σας και δείτε την παρακάτω λύση.
- Τα Windows UAC θα συμπεριφέρονται εσφαλμένα και θα συνεχίζουν να σας ρωτούν εάν θέλετε να εκτελέσετε ένα πρόγραμμα εκκίνησης που εκτελέστηκε προηγουμένως. Αυτό μου έδωσε τον ιό, επομένως αρχίζω τη σάρωση και την έρευνα. Εάν προσπαθήσετε να το επιτρέψετε, το UAC θα απενεργοποιηθεί. Παραδόξως, αν το έχετε ενεργοποιήσει, τα παράθυρα δεν σας ζητούν να κάνετε επανεκκίνηση που είναι επίσης ένα δώρο ότι κάτι δεν πάει καλά! Καθώς η αλλαγή των ρυθμίσεων UAC σίγουρα θα ζητήσει επανεκκίνηση.
- Τα Microsoft Security Essentials θα εντοπίσουν ότι τα προγράμματα εκκίνησής σας (λογισμικό ιών, λογισμικό προστασίας από λογισμικό υποκλοπής / κακόβουλο λογισμικό κ.λπ. είναι ιοί) και θα το επισημάνουν ως ιό. Ένα άλλο δώρο ότι κάτι δεν πάει καλά!
Εάν έχετε τα παραπάνω συμπτώματα, έχετε σχεδόν τον ιό που είχα χθες. Εδώ μπορείτε να κάνετε για να το ξεφορτωθείτε. Μην ανησυχείτε για τη σάρωση, καθώς οι σαρωτές δεν μπορούν να διορθώσουν πλήρως το πρόβλημά σας και θα καταλήξουν να καταστρέψουν τις εφαρμογές σας.
- Εκκίνηση σε ασφαλή λειτουργία. Ο λόγος για αυτό είναι ότι στην ασφαλή λειτουργία δεν εκτελούνται πολλές διαδικασίες. Χρειάζεστε αυτήν τη ρύθμιση στο βήμα 9 παρακάτω, καθώς αυτός ο ιός είναι δυσάρεστος.
-
Ανοίξτε το windows explorer και μεταβείτε στο Εργαλεία -> Επιλογές φακέλου.
ένα. Βεβαιωθείτε ότι είναι τα ακόλουθα: - Εμφάνιση κρυφών αρχείων και φακέλων
σι. Βεβαιωθείτε ότι τα ακόλουθα δεν έχουν επιλεγεί -> Απόκρυψη επεκτάσεων για γνωστούς τύπους αρχείων -
Μεταβείτε στους ακόλουθους καταλόγους (πρόκειται για vista home premium):
C: \ Program Files \ Internet Explorer
C: \ Users \ user \ AppData \ Local \ Temp
Και θα δείτε εκεί ένα αρχείο που ονομάζεται wmpscfgs.exe. Διαγράψτε τα. - Ανοίξτε τον διαχειριστή εργασιών σας, βεβαιωθείτε ότι έχει σημειωθεί η επιλογή "εμφάνιση όλων των διαδικασιών" και αναζητήστε την ίδια διαδικασία. Εάν εκτελείται. Σκότωσέ το.
Ξεκινώντας αυτό το μέρος, τα βήματα χρειάζονται περισσότερη τεχνική εμπειρία. Εάν δεν αισθάνεστε άνετα να κάνετε τα παρακάτω βήματα, αναζητήστε κάποιον που μπορεί να σας βοηθήσει.
- Ανοίξτε το regedit και μεταβείτε στο: HKLM-> Λογισμικό -> Microsoft -> Windows -> CurrentVersion -> Εκτέλεση
- Αναζητήστε καταχώριση Adobe_reader με δεδομένα: " %ProgramFiles%\Internet Explorer\wmpscfgs.exe «. Διέγραψε το. Για μένα από αυτό το σημείο σχεδόν όλα τα πράγματα που γράφονται στο NET δεν έχουν τα παρακάτω βήματα. Και είναι ο λόγος για τον οποίο αυτός ο ιός συνεχίζει να επιστρέφει.
- Ας ελπίσουμε ότι δεν έχετε πολλές εφαρμογές στην ενότητα "HKLM-> Λογισμικό -> Microsoft -> Windows -> CurrentVersion -> Run". Επειδή πρέπει να επισκεφτείτε το καθένα κυριολεκτικά επειδή αυτός ο ιός παραβιάζει σχεδόν κάθε εφαρμογή στην παραπάνω λίστα RUN.
-
Βασικά μετονομάζει το παλιό αρχείο exe από λέγοντας "mcagent.exe" σε "mcagent .exe". Με κενό μεταξύ του ονόματος αρχείου και του ".exe" ή της επέκτασης. Στη συνέχεια, θα δημιουργήσει ένα αντίγραφο του ίδιου με το ίδιο όνομα αρχείου με το εκτελέσιμο αρχείο σας, έτσι ώστε όταν κάποιος εκτελέσει το αρχείο σας, ο ιός θα εκτελεστεί πρώτα μετά το αρχείο σας. Αυτό θα το κάνει για όλες τις εφαρμογές που έχετε στη λίστα Run.
Επομένως, εάν μεταβείτε στη θέση της εφαρμογής McAfee mcagent.exe, θα δείτε δύο έως τρία αρχεία με σχεδόν το ίδιο όνομα αρχείου:
- mcagent.exe -> που είναι ένα αρχείο 39 KB, και πολύ πρόσφατα δημιουργήθηκε και ο οποίος είναι ο ιός που συνεχίζει να προσθέτει ξανά αυτό το αρχείο wmpscfgs.exe.
- mcagent .exe -> το αρχικό αρχείο mcagent, μετονομάστηκε.
- mcagent.exe.delme <κάποιος τυχαίος αριθμός> -> διαγράψτε και αυτόν. Δεν το βλέπω να συμβαίνει κάθε φορά, αλλά έχω δει κάποιες εφαρμογές με αυτό το αρχείο και δημιουργήθηκαν πολύ πρόσφατα.
-
Πρέπει πρώτα να σκοτώσετε την αντίστοιχη διαδικασία του μολυσμένου αρχείου εάν εκτελούνται σε task manager, να καταργήσετε με μη αυτόματο τρόπο το υπάρχον αρχείο .exe που είναι περίπου 39KB μόνο και να μετονομάσετε το παλιό εκτελέσιμο αρχείο σας στο προηγούμενο όνομα αρχείου. Επαναλάβετε αυτό για κάθε εφαρμογή που έχετε στη λίστα Εκτέλεση παραπάνω. Το μόνο πράγμα που είδα αυτόν τον ιό δεν μολύνθηκε ήταν η εφαρμογή Windows Defender. Τα υπόλοιπα στη λίστα "Εκτέλεση" ήταν βρώμικα. Η απεγκατάσταση και επανεγκατάσταση τους δεν βοηθά, καθώς το προηγούμενο Trojan exe αρχείο θα διατηρηθεί στον κατάλογο εφαρμογών.
Αυτός είναι ο λόγος για τον οποίο το Microsoft Security Essentials διαμαρτυρήθηκε ότι τα εκτελέσιμα αρχεία εκκίνησης είναι ιοί.
- Μόλις επαληθεύσετε ότι κάθε εφαρμογή στη λίστα εκτέλεσης έχει αποκατασταθεί. Για να είστε απόλυτα σίγουροι ότι δεν υπάρχουν τέτοια αρχεία που παραμένουν στο σύστημά σας, πραγματοποιήστε αναζήτηση με δίσκο για οποιοδήποτε αρχείο έχει μέγεθος 39KB και μόλις δημιουργήθηκε πρόσφατα και εξετάστε το κάθε προσεκτικά εάν είναι απλά αντίγραφα του αρχικού εκτελέσιμου αρχείου σας . Ακολουθήστε το βήμα 7 για κάθε εμφάνιση αυτού. Μέχρι στιγμής, είδα μόνο αυτόν τον ιό να προσκολλάται σε εκτελέσιμα αρχεία.
- Εάν θέλετε να είστε 100% σίγουροι, το επόμενο πράγμα που πρέπει να κάνετε είναι να ελέγξετε ξανά κάθε διαδικασία που εκτελείται στο διαχειριστή εργασιών σας εάν είναι νόμιμη. Ορισμένες διαδικασίες ειδικά αυτές που ξεκίνησαν από το σύστημα δεν θα σας μεταφέρουν στο αρχείο διεργασίας, είναι εντάξει, αλλά τα περισσότερα από αυτά εάν κάνετε δεξί κλικ σε αυτά, θα πρέπει να δείτε μια επιλογή εκεί που ονομάζεται "Άνοιγμα τοποθεσίας αρχείου". Στη συνέχεια, ακολουθήστε τα βήματα 7 παραπάνω.
- Επανεκκινήστε και αυτό είναι!
Χάρη στον αναγνώστη Kan που γράφτηκε με αυτόν τον οδηγό και ελπίζουμε ότι βοηθάει κάποιον άλλο!
