Читателят на Kyoceramita Кан написа с пълно ръководство как да се отървем от гадния вирус wmpscfgs.exe и решихме, че просто трябва да го споделим с всички, само в случай, че някой друг се сблъска със същия проблем в бъдеще.

Имайте предвид, че това е конкретно ръководство за премахване на конкретен вирус и е тествано от конкретен читател. Не сме тествали тези стъпки лично.



Симптоми на вируса wmpscfgs.exe

  • Ако имате софтуер Malwarebytes или Superantispyware, тези момчета ще го открият при всяко сканиране и ще се опитат да премахнат този вирус. Но вирусът ще се върне само след рестартиране. Дори стартиране в безопасен режим (със или без мрежа) няма да работи.
  • Предупреждение, че IE не е вашият браузър по подразбиране, винаги ще изскача, без дори да щракнете или да отворите IE. Не бих посъветвал да щракнете върху него или да, или не. Просто преместете прозореца в един от ъглите на монитора си и вижте решението по-долу.
  • Windows UAC ще се държи неправилно и ще продължи да подканва дали искате да изпълните стартирана по-рано програма. Това ми даде вируса, затова започвам да сканирам и да разследвам. Ако се опитате да разрешите такъв, UAC ще бъде деактивиран. Колкото и да е странно, ако сте го активирали, Windows не ви подканва да рестартирате, което също е признак, че нещо не е наред! Тъй като промяната на настройките на UAC определено ще поиска рестартиране.
  • Microsoft Security Essentials ще открие, че стартиращите ви програми (вирусен софтуер, антишпионски/зловреден софтуер и т.н. са вируси) и ще ги маркира като вирус. Поредното раздаване, че нещо не е наред!

Ако имате горните симптоми, значи имате вируса, който имах вчера. Ето какво можете да направите, за да се отървете от него. Не се притеснявайте за сканирането, тъй като скенерите не могат да решат напълно проблема ви и в крайна сметка ще повредят вашите приложения.

  • Стартирайте в безопасен режим. Причината за това е, че в безопасен режим не се изпълняват много процеси. Имате нужда от тази настройка в стъпка 9 по-долу, тъй като този вирус е гаден.
  • Отворете Windows Explorer и отидете на Инструменти -> Опции на папката.
    а. Уверете се, че следното е ОТМЕЧЕНО -> Показване на скрити файлове и папки
    б. Уверете се, че следното не е отметнато -> Скриване на разширенията за известни типове файлове
  • Отидете до следните директории (това е за Vista Home premium):
    C:Program FilesInternet Explorer
    C:UsersuserAppDataLocalTemp
    И там ще видите файл, наречен wmpscfgs.exe. Изтрийте ги.
  • Отворете диспечера на задачите си, уверете се, че „покажи всички процеси“ е маркиран и потърсете същия процес. Ако работи. Убий го.

Започвайки тази част, стъпките се нуждаят от повече технически опит. Ако не ви е удобно да правите стъпките по-долу, потърсете някой, който може да ви помогне.

  • Отворете regedit и отидете на: HKLM->Софтуер -> Microsoft -> Windows -> CurrentVersion -> Изпълни
  • Потърсете запис в Adobe_reader с данни: %ProgramFiles%Internet Explorerwmpscfgs.exe . Изтрий го. За мен от този момент почти всички неща, написани в NET, в момента нямат стъпките по-долу. И това е причината този вирус да се връща.
  • Надяваме се, че нямате много приложения под HKLM->Софтуер -> Microsoft -> Windows -> CurrentVersion -> Run. Защото трябва да посетите всеки един от тях буквално, защото този вирус отвлича почти всяко приложение в списъка RUN по-горе.
  • По принцип той преименува стария exe файл от да речем mcagent.exe на mcagent .exe. С интервал между името на файла и .exe или разширението. След това той ще създаде свое копие със същото име на файла като вашия изпълним файл, така че когато някой изпълни вашия файл, вирусът ще бъде изпълнен първо, след това вашият файл. Това ще направи това за всяко приложение, което имате във вашия списък за изпълнение.

    По този начин, ако отидете на местоположението на приложението McAfee mcagent.exe, ще видите два до три файла с почти същото име:

    • mcagent.exe -> който е файл от 39 KB и съвсем наскоро създаден и който е вирусът, който продължава да добавя обратно този файл wmpscfgs.exe.
    • mcagent .exe -> оригиналния mcagent файл, преименуван.
    • mcagent.exe.delme -> изтрийте и този. Не виждам това да се случва всеки път, но съм виждал някои приложения с този файл в тях и съвсем наскоро създадени.
  • Първо трябва да убиете съответния процес на заразения файл, ако те се изпълняват в диспечера на задачите, ръчно да премахнете съществуващия .exe файл, който е само около 39KB, и да преименувате обратно стария изпълним файл към предишното му име. Повторете това за всяко приложение, което имате в списъка за изпълнение по-горе. Единственото нещо, което видях, че този вирус не е заразил, е приложението Windows Defender. Останалите в моя списък за изпълнение бяха прецакани. Деинсталирането и повторното им инсталиране не помага, както и предишният троянски exe файл ще бъде запазен в директорията на приложението.

    Това е причината Microsoft Security Essentials да се оплаква, че вашите стартиращи изпълними файлове са вируси.

  • След като се уверите, че всяко приложение във вашия списък за изпълнение е възстановено. За да сте напълно сигурни, че нямате такива файлове, задържани във вашата система, потърсете в диска всеки файл, който има размер 39 КБ и току-що е създаден, и разгледайте всеки от тях внимателно дали са просто копия на оригиналния ви изпълним файл . Следвайте стъпка 7 за всяка поява. Досега виждах само този вирус да се прикрепя към изпълними файлове.
  • Ако искате да сте 100% сигурни, следващото нещо, което трябва да направите, е да проверите отново всеки процес, който се изпълнява в диспечера на задачите ви, дали е легитимен. Някои процеси, специално тези, стартирани от системата, няма да могат да ви отведат до неговия файл с процес, всичко е наред, но повечето от тях, ако щракнете с десния бутон върху тях, трябва да видите опция там, наречена Open File Location. След това следвайте стъпки 7 по-горе.
  • Рестартирайте и това е!

Благодаря на читателя Кан за писането с това ръководство и се надяваме, че ще помогне на някой друг!

ПРОЧЕТЕТЕ СЛЕДВАЩО
  • › Функции срещу формули в Microsoft Excel: Каква е разликата?
  • › Компютърната папка е 40: Как Xerox Star създаде работния плот
  • Кибер понеделник 2021: Най-добрите технологични сделки
  • › 5 уебсайта, които всеки потребител на Linux трябва да направи отметка
  • › Какво представлява MIL-SPEC защита от изпускане?
  • › Как да намерите своя Spotify Wrapped 2021