How-To Geek czytelnik Kan napisał w pełnym poradniku, aby pozbyć się paskudnego wirusa wmpscfgs.exe, i pomyśleliśmy, że powinniśmy po prostu podzielić się nim z każdym, na wypadek gdyby ktoś inny natknął się na ten sam problem w przyszłości.
Zwróć uwagę, że jest to szczególny przewodnik po pozbyciu się określonego wirusa i został przetestowany przez konkretnego czytelnika. Nie testowaliśmy tych kroków osobiście.
Objawy wirusa wmpscfgs.exe
- Jeśli masz oprogramowanie Malwarebytes lub Superantispyware, ci faceci wykryją to na każdym skanie i spróbują usunąć tego wirusa. Ale wirus wróci po ponownym uruchomieniu komputera. Nawet rozruch w trybie bezpiecznym (z lub bez sieci) nie będzie działał.
- Ostrzeżenie o tym, że IE nie jest domyślną przeglądarką, zawsze wyskakuje, nawet bez klikania lub otwierania IE. Nie zalecałbym klikania tak lub nie. Po prostu przesuń okno w jednym z rogów monitora i zobacz rozwiązanie poniżej.
- Windows UAC będzie źle działać i będzie wyświetlał monit o wykonanie wcześniej uruchomionego programu startowego. To daje mi wirus, dlatego zaczynam skanować i badać. Jeśli spróbujesz zezwolić, UAC zostanie wyłączony. O dziwo, jeśli go włączysz, system Windows nie wyświetli prośby o ponowne uruchomienie komputera, co jest również grą, w której coś jest nie tak! Ponieważ zmiana ustawień UAC z pewnością poprosi o ponowne uruchomienie.
- Program Microsoft Security Essentials wykryje, że Twoje programy startowe (oprogramowanie antywirusowe, anty spyware / złośliwe oprogramowanie itd. Są wirusami) i oflagują je jako wirus. Kolejna gratka, w której coś jest okropnie nie tak!
Jeśli masz powyższe symptomy, masz prawie wirusa, który miałem wczoraj. Oto, co możesz zrobić, aby się go pozbyć. Nie przejmuj się skanowaniem, ponieważ skaner nie może w pełni naprawić twojego problemu i spowoduje uszkodzenie aplikacji.
- Uruchom w trybie awaryjnym. Powodem tego jest to, że w trybie awaryjnym nie działa wiele procesów. Potrzebujesz tej konfiguracji w kroku 9 poniżej, ponieważ ten wirus jest paskudny.
- Otwórz Eksploratora Windows i przejdź do Narzędzia -> Opcje folderów.
za. Upewnij się, że są NASTAWIONE -> Pokaż ukryte pliki i foldery
b. Upewnij się, że poniższe są UNticked -> Ukryj rozszerzenia znanych typów plików - Przejdź do następujących katalogów (dotyczy to vista home premium):
C: \ Program Files \ Internet Explorer
C: \ Users \ użytkownik \ AppData \ Local \ Temp
I zobaczysz tam plik o nazwie wmpscfgs.exe. Usuń ich. - Otwórz menedżera zadań, upewnij się, że zaznaczono "pokaż wszystkie procesy" i szukaj tego samego procesu. Jeśli działa. Zabij to.
Rozpoczynając tę część, kroki wymagają więcej doświadczenia technicznego. Jeśli nie czujesz się komfortowo w wykonywaniu poniższych kroków, poszukaj kogoś, kto może ci pomóc.
- Otwórz regedit i przejdź do: HKLM-> Oprogramowanie -> Microsoft -> Windows -> CurrentVersion -> Run
- Poszukaj wpisu Adobe_reader z danymi: "% ProgramFiles% \ Internet Explorer \ wmpscfgs.exe". Usuń to. Dla mnie od tego momentu prawie wszystkie rzeczy napisane w NET nie mają poniższych kroków. I to jest powód, dla którego wirus wraca.
- Mam nadzieję, że nie masz wiele aplikacji w "HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Run". Ponieważ musisz odwiedzić każdego z nich dosłownie, ponieważ ten wirus przejmuje prawie każdą aplikację na liście RUN powyżej.
- Zasadniczo zmienia nazwę starego pliku exe z "mcagent.exe" na "mcagent .exe". Z spacją między nazwą pliku a ".exe" lub rozszerzeniem. Następnie utworzy kopię samego siebie z tą samą nazwą pliku, co plik wykonywalny, tak że gdy ktoś wykona plik, wirus zostanie wykonany najpierw jako plik. To zrobi dla każdej aplikacji, którą masz na liście Run.
Zatem jeśli przejdziesz do lokalizacji aplikacji McAfee mcagent.exe, zobaczysz dwa do trzech plików z prawie taką samą nazwą pliku:
- mcagent.exe -> który jest plikiem o rozmiarze 39 KB, a ostatnio został utworzony i jest to wirus, który ciągle dodaje z powrotem plik wmpscfgs.exe.
- mcagent .exe -> oryginalny plik mcagent, którego nazwa została zmieniona.
- mcagent.exe.delme -> usuń także ten. Nie widzę tego występującego za każdym razem, ale widziałem niektóre aplikacje z tym plikiem w nich i bardzo niedawno utworzone.
- Najpierw musisz zabić odpowiedni proces zainfekowanego pliku, jeśli działa on w menedżerze zadań, ręcznie usunąć istniejący plik .exe o rozmiarze około 39 KB i zmienić nazwę poprzedniego pliku wykonywalnego na jego poprzednią nazwę. Powtórz to dla każdej aplikacji, którą masz na powyższej liście Run. Jedyną rzeczą, którą zobaczyłem, że ten wirus nie zainfekował była aplikacja Windows Defender. Reszta na mojej liście Run została skręcona. Odinstalowanie i ponowne zainstalowanie nie pomaga tak dobrze, jak poprzedni plik exe trojana zostanie zatrzymany w katalogu aplikacji.
Z tego powodu program Microsoft Security Essentials skarżył się, że pliki wykonywalne uruchamiania są wirusami.
- Po sprawdzeniu, że każda aplikacja na liście uruchomień została przywrócona. Aby mieć całkowitą pewność, że nie masz żadnych takich plików w systemie, przeszukaj dysk dla dowolnego pliku o rozmiarze 39KB, który właśnie został utworzony i dokładnie sprawdź każdy z nich, jeśli są to tylko kopie oryginalnego pliku wykonywalnego . Wykonaj krok 7 dla każdego wystąpienia. Jak dotąd widziałem tylko tego wirusa dołączającego się do plików wykonywalnych.
- Jeśli chcesz być w 100% pewny, następnym krokiem jest sprawdzenie wszystkich procesów uruchomionych w menedżerze zadań, jeśli są one zgodne z prawem. Niektóre procesy, szczególnie te uruchomione przez system, nie będą w stanie zabrać cię do pliku procesu, jest w porządku, ale większość z nich, jeśli klikniesz w nie prawym, powinieneś zobaczyć opcję o nazwie "Lokalizacja otwartego pliku". Następnie wykonaj kroki 7 powyżej.
- Uruchom ponownie i gotowe!
Dziękuję czytelnikowi Kan za napisanie tego przewodnika i mam nadzieję, że pomoże to komuś innemu!