Как проверить компьютер на вирусы через cmd
Перейти к содержимому

Как проверить компьютер на вирусы через cmd

  • автор:

Настройка антивирусной программы Microsoft Defender и управление ими с помощью программы командной строки mpcmdrun.exe

Вы можете выполнять различные функции в антивирусной Microsoft Defender с помощью выделенного средства командной строки mpcmdrun.exe. Эта служебная программа полезна, если вы хотите автоматизировать задачи Microsoft Defender антивирусной программы. Служебную программу можно найти в %ProgramFiles%\Windows Defender\MpCmdRun.exe . Запустите его из командной строки.

Может потребоваться открыть версию командной строки на уровне администратора. При поиске командной строки в меню Пуск выберите Запуск от имени администратора. Если вы используете обновленную версию платформы Microsoft Defender защиты от вредоносных программ, выполните команду MpCmdRun из следующего расположения: C:\ProgramData\Microsoft\Windows Defender\Platform\ . Дополнительные сведения о платформе защиты от вредоносных программ см. в разделе обновления и базовые показатели антивирусной программы Microsoft Defender.

Служебная программа MpCmdRun использует следующий синтаксис:

MpCmdRun.exe [command] [-options] 
MpCmdRun.exe -Scan -ScanType 2 

В нашем примере служебная программа MpCmdRun запускает полную антивирусную проверку на устройстве.

Команды

Команда Описание
-? Или -h Отображает все доступные параметры для средства MpCmdRun
-Scan [-ScanType []] [-File [-DisableRemediation] [-BootSectorScan] [-CpuThrottling]] [-Timeout ] [-Cancel] Проверяет наличие вредоносных программ. Ниже приведены значения scanType .

0 По умолчанию в соответствии с конфигурацией

1 Быстрая проверка

2 Полная проверка

3 Настраиваемая проверка файлов и каталогов.

CpuThrottling выполняется в соответствии с конфигурациями политики.

Распространенные ошибки при выполнении команд через mpcmdrun.exe

В следующей таблице перечислены распространенные ошибки, которые могут возникнуть при использовании средства MpCmdRun.

Сообщение об ошибке Возможная причина
Ошибка ValidateMapsConnection (800106BA) или 0x800106BA Служба антивирусной программы Microsoft Defender отключена. Включите службу и повторите попытку. Если вам нужна помощь по повторному включению антивирусной программы Microsoft Defender, см. раздел Переустановка и включение антивирусной программы Microsoft Defender на конечных точках.

Обратите внимание, что в Windows 10 1909 или более ранних версий и Windows Server 2019 или более ранних версий служба ранее называлась антивирусной программой «Защитник Windows«.

См. также

  • Анализатор производительности для антивирусной Microsoft Defender
  • Настройка функций антивирусной программы в Microsoft Defender
  • Настройка и проверка сетевого подключения антивирусной программы в Microsoft Defender
  • Справочные статьи по средствам управления и конфигурации
  • Microsoft Defender для конечной точки на Mac
  • Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
  • Microsoft Defender для конечной точки в Linux
  • Настройка функций Defender для конечной точки на Android
  • Настройка защитника Майкрософт для конечной точки на функциях iOS

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.

Обратная связь

Были ли сведения на этой странице полезными?

Восстановление работоспособности Windows 7 после вирусного заражения.

&nbsp &nbsp Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального «кода разблокировки», для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна — заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows — блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки «Пуск», команды «Выполнить» , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.

&nbsp &nbsp Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ — редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.

Удаление вируса с помощью отката системы на точку восстановления

&nbsp &nbsp Вирус — это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами — это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи — вирус можно считать обезвреженным. Самый простой способ — это выполнить восстановление системы по данным контрольной точки. Контрольная точка — это копия важных системных файлов, хранящаяся в специальном каталоге («System Volume Information») и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock ) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

Меню выбора вариантов загрузки Windows 7

2. Выбрать вариант загрузки Windows — «Безопасный режим с поддержкой командной строки»

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

Командная строка Windows 7

3. Запустить средство «Восстановление системы», для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .

Восстановление системы Windows 7

Далее пользователь должен выбрать необходимую точку восстановления. Рекомендуемая Windows точка восстановления может не подойти, поэтому лучше всего получить их полный список

— переключить режим на «Выбрать другую точку восстановления» и в следующем окне установить галочку «Показать другие точки восстановления»

Выбор точки восстановление системы Windows 7

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Выбранная точка восстановления системы Windows 7

Список затрагиваемых программ, — это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку «Готово» начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.

После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.

Удаление вируса без отката системы на точку восстановления

&nbsp &nbsp Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

Утилита конфигурирования Windows 7 msconfig.exe

На вкладке «Общие» можно выбрать следующие режимы запуска Windows:

Обычный запуск — обычная загрузка системы.
Диагностический запуск — при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск — позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу — определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка «Службы» позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска «Автоматически» . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима «Не отображать службы Майкрософт» , при включении которого будут отображаться только службы сторонних производителей.

Утилита конфигурирования служб Windows 7 msconfig.exe

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка «Автозагрузка»).

Утилита конфигурирования автозагрузки Windows 7 msconfig.exe

Так же, как и на вкладке «Службы», можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки «Автозагрузка», то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

&nbsp &nbsp В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер «висит» из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F — выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)

Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.

Устранение возможности запуска вируса с помощью редактора реестра.

&nbsp &nbsp Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER &nbsp &nbsp Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт . Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п — все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент — вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon — для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon — для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно — HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде — HKLM)

Так выглядит раздел реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Параметр Shell в HKCU отсутствует

Если же в данный раздел добавить строковый параметр Shell принимающий значение «cmd.exe», то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки .

Параметр Shell в HKCU отсутствует

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен — остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с «cmd.exe» на «explorer.exe» и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete «HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий . Даже если текущий пользователь является членом группы «Администраторы», доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . . ) Второй важный фактор — сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe ) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы — «Переменные среды». Или в командной строке:

set temp
или
echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite. Страница с подробным описанием Autoruns и ссылкой для скачивания

Простейшие способы удаления блокировщиков семейства MBRLock

Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом — загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ — воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний ( Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE ( установочный диск, диск аварийного восстановления ERD Commander ), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:

bootsect /nt60 /mbr буква системного диска:

bootsect /nt60 /mbr E:> — восстановить загрузочные секторы диска E: Здесь должна быть буква того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

или для Windows, предшествующих Windows Vista

bootsect /nt52 /mbr буква системного диска:

Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно — пока не модифицируют).

Вирусы-шифровальщики и новые проблемы спасения пользовательских данных.

Кроме блокировки компьютера, вирусы вымогатели ипользуют шифрование пользовательских файлов, потеря которых может иметь серьезные последствия, и для восстановления которых жертва готова заплатить. Подобные вирусы-шифровальщики, как правило, используют серьезные технологии шифрования данных, делающие невозможным восстановление информации без ключей шифрования, которые злоумышленники предлагают купить за довольно крупные суммы. Правда, гарантий никаких. И здесь у пострадавшего есть несколько вариантов — забыть о своих данных навсегда, заплатить вымогателям без гарантии восстановления или обратиться к профессионалам, занимающимся восстановлением. Можно восстановить данные самостоятельно, если у вас достаточно знаний и навыков, либо потеря данныж не столь значима при неудаче. Полное восстановление всего и вся не получится, но при некотором везении, значительную часть информации можно вернуть. Некоторые примеры:

Восстановление данных из теневых копий томов — о теневом копировании и возможности восстановления файлов из теневых копий томов.

Recuva — использоваие бесплатной программы Recuva от Piriform для восстановления удаленных файлов, и файлов из теневых копий томов.

С появлением вирусов шифровальщиков нового поколения, проблема сохранности пользовательских данных стала значительно острее. Вирусы не только выполняют шифрование документов, архивов, фото, видео и прочих файлов, но и делают все возможное, чтобы не допустить хотя бы частичное восстановление данных пострадавшим от заражения пользователем. Так, например, вирусы-шифровальщики выполняют попытку удаления теневых копий томов с помощью команды vssadmin , что при отключенном контроле учетных записей (UAC), происходит незаметно и гарантированно приводит к невозможности восстановления предыдущих копий файлов или использования программного обеспечения , позволяющего извлекать данные из теневых копий (Recuva, стандартные средства Windows и т.п.). С учетом применения алгоритмов стойкого шифрования, восстановление зашифрованных данных, даже частичное, становится очень непростой задачей, посильной разве что для профессионалам в данной области. На сегодняшний день, существует пожалуй единственный способ обезопасить себя от полной потери данных — это использовать автоматическое резервное копирование с хранением копий в недоступном для вирусов месте или использовать программное обеспечения типа «машина времени», позволяющее создавать мгновенные копии файловой системы (снимки) и выполнять откат на их содержимое в любой момент времени. Такое программное обеспечение не использует стандартную файловую систему, имеет свой собственный загрузчик и средства управления, работающие автономно, без необходимости загрузки Windows, что не позволяет вредоносным программам полностью взять под контроль средства восстановления файловой системы. Кроме того, это ПО практически не влияет на быстродействие Windows. Примером такого ПО могут быть некоторые коммерческие продукты компании Horizon DataSys и бесплатные Comodo Time Machine и Rollback RX Home

Comodo Time Machine — отдельная статья о Comodo Time Machine и ссылки для скачивания бесплатной версии.

Rollback Rx Home — отдельная статья о Rollback Rx Home Edition компании Horizon DataSys и ссылки для скачивания бесплатной версии.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Как удалить вирусы с компьютера без антивируса бесплатно и без регистрации?

Как удалить вирусы с компьютера без антивируса бесплатно и без регистрации?

Как удалить вирусы с компьютера без антивируса бесплатно и без регистрации?

Добрый день, друзья. Как удалить вирусы с компьютера без антивируса? Не каждый человек желает устанавливать на компьютер антивирус. На то есть различные причины. К примеру, большинство хороших антивирусов платные. Кроме этого, антивирусы, как и прочие громоздкие программы, замедляют компьютер, и многие из них пытаются взять управление компьютером на себя.

как проверить пк на вирусы без антивируса

Скажу больше, многие пользователи вообще считают антивирус чем-то вроде большого вируса, который пытается взять управление на себя. Разумеется, всё это нравится далеко не каждому пользователю. Поэтому, я решил рассказать про методы удаления вирусного ПО без использования антивирусных программ.

Удаляем вирусное ПО с помощью командной строки

  1. В поисковую строку системы введём сочетание cmd и кликнем по появившемуся элементу ПКМ;
  2. Через ниспадающем меню запускаем компьютер как администратор;cmd запуск администратор
  3. У нас появляется командная строка. Я думаю, вы имеете представление, в котором диске на вашем компьютере может быть вирус? Если нет, то будет нужно проверить подобным образом все диски. Итак, я подозреваю, что у меня вирус находится на диске D. В этом случае, нужно в командную строку ввести следующий набор и кликнуть по Вводу: attrib -s -h /s /d *.*1 командная строка
  4. Командная строка начинает быстро пересматривать все установленные файлы на диске;2 пересмотр файлов
  5. Если вы желаете просмотреть элементы, скрытые системой, нужно ввести dir и кликнуть по Вводу;поиск скрытых файлов
  6. После того как утилита закончит поиск, начинаем пересматривать файлы мы. Собственно, нам нужны файлы с непонятным названием из цифр и символов, которые имеют расширение .exe или файл autorun.inf;
  7. Найдя файл autorun.inf, вводим команду delautorun.inf, которая удалит вредоносное ПО;команда для удаления
  8. Файл .exe можно просто переименовать, применив команду rename filename.extension new filename

Дело сделано. Вредоносное ПО удалено и теперь не сможет повредить ПК.

Выключаем службы диспетчера задач, вызывающие подозрения

  1. Входим в Диспетчер, кликнув по клавишам ALT+CTRL+DEL. На синем экране выбираем вкладку «Диспетчер задач»;диспетчер задач 1
  2. У нас появилась эта системная утилита. Кликнем по меню «Файл» ЛКМ и в ниспадающем меню выбираем вкладку «Запустить новую задачу»;6 диспетчер запускаем новую задачу
  3. Теперь мы видим всплывающее окошко, куда нужно ввести сочетание msconfig и кликнуть по кнопочке ОК;7 msconfig
  4. У нас открывается утилита «Конфигурация системы», где нам вновь нужно открыть меню «Службы» и перепроверить данный перечень на предмет подозрительных элементов. Если один из них покажется вам подозрительным, то нужно убрать флажок от него и кликнуть «Применить» (на скриншоте я показал просто пример, выбираем свою подозрительную службу);8 отключаем подозрительную службу
  5. Входим в меню «Автозагрузка» и выбираем ссылку «Открыть Диспетчер». В автозагрузке просматриваем каждую подозрительную программу и выключаем её;9 открыть диспетчер
  6. После просмотра элементов, которые у вас под подозрением, вновь должна быть открыта командная строка. В ней мы меняем элемент файла, как мы проделали в первом варианте.

Применяем online-анализаторы вирусов на ПК

Сервис VirusTotal

ВирусТотал является бесплатным сервисом, сканирующим элементы компьютера, которые у него вызывают подозрение и адреса различных ресурсов, что делает легче поиск таких вредителей, как вирусы, черви, трояны и прочее вредоносное ПО.

10 Сервис VirusTotal

  1. Вначале нам нужно кликнуть по ссылке, ведущей на главный сайт сервиса ;
  2. После этого, вставляем через кнопочку «Выберите файл» элементы с компьютера, которые вызывают у вас подозрение. Не забываем, MAX объём элемента не должен превышать – 650 МБ;
  3. Если вам нужно провести анализ определённого сайта, то вставляем его во вкладку «URL-адрес» и проводим сканирование. Если сервис покажет, что сайт безопасен, то можете без боязни просматривать его.

Сервис Metadefender

Данный сервис довольно популярен в среде поиска вредоносных программ и вирусов. Как вы видите, с помощью него можно проверять даже сайты на наличие вирусов. В бесплатном аккаунте вы можете проверить 140 МБ объёма файлов.

11 сервис Metadefender

  1. Переходим на основной сайт с браузера по ссылке ;
  2. Кликнем по скрепке в конце строки, для выбора нужного файла с компьютера;
  3. Нажмём на синюю надпись «Процесс», и у нас начнётся анализ файлов.
  4. Если один или несколько элементов содержат вирусное ПО, то Metadefender сообщит нам об этом в виде детального отчёта.

Сервис Kaspersky VirusDesk

Рассмотрим отечественный сервис, большей части людей который известен под названием «Лаборатория Касперского». Он занимается проверкой элементов с применением тех же методов, что и Антивирус Касперского. После проверки Касперский сообщит вам про найденные вирусы и покажет подробные данные о них. Но, данный ресурс не может удалять вредителей из подозрительных файлов. Это его главный недостаток.

Сервис проводит исследование элементов, объёмом до 256 МБ. Если вам нужно провести сканирование нескольких элементов, то нужно объединить их оболочкой архиватора zip. Как и верхние сервисы, Kaspersky может также проверить сайты на присутствие вирусов:

12 Касперский

  1. Входим на ресурс Касперского по ссылке;
  2. Затем переходим по меню «Анализ файлов»;
  3. Кликнем по зелёной кнопочке «Выберите файл», выбираем нужный элемент и нажимаем «Открыть»;
  4. Нам остаётся кликнуть по кнопочке «Сканировать»;
  5. В большинстве случаев анализ проходит в течение 2 минут. Нужно подождать завершения этого процесса;
  6. Если данный сервис найдёт вредоносную программу, он вам об этим сообщит.

Вывод: мы рассмотрели, как удалить вирусы с компьютера без антивируса. Теперь нам ясно, что, применив данные сервисы, мы можем найти вирусы на компьютере. Применив «Командную строку», удалить их. Успехов!

С уважением, Андрей Зимин 11.09.2021

Как проверить систему Windows 10 на вирусы из командной строки

Благодаря тому, что антивирус Защитник Windows является нативным продуктом операционной системы, с ним можно легко взаимодействовать при помощи командной строки для запуска антивирусных проверок и обновлений

С выходом Windows 8, Защитник Windows поставляется предустановленным в операционные системы Microsoft. Антивирус уже “из коробки” обеспечивает защиту от вредоносных программ, и нетребовательные пользователи могут остановится на данном продукте для обеспечения безопасности системы.

С выходом April 2018 Update, Защитник Windows получил дальнейшее развитие и стал ключевым компонентом Центра Безопасности Защитника Windows — панели управления безопасностью, которая объединяет все функции, которые каким-либо образом связаны с защитой системы от киберугроз.

Для многих пользователей в целом и для опытных пользователей, в частности, Защитник Windows станет правильным выбором, когда речь зайдет о защите от вредоносных программ потому, что Microsoft прилагает большие усилия, чтобы сделать свой продукт достойным конкурентом для сторонних решений. Постоянная защита реального времени, ежедневные обновления сигнатур и регулярные улучшения с выходом обновлений функций — все это часть арсенала безопасности Защитника Windows.

Тем не менее, сохраняется вероятность, что в случае успешного заражения системы, вредоносная система сможет отключить графическую оболочки антивируса или заблокирует запуск сканирований из интерфейса. Благодаря тому, что Защитник Windows является нативным продуктом операционной системы, с ним можно легко взаимодействовать при помощи командной строки для запуска сканирований и обновлений.

Как обновить Защитник Windows из командной строки

Все нижеперечисленные команды взаимодействую с исполняемым файлом MpCmdRun.exe. Процесс Malware Protection engine можно запустить из командной строки, для этого нужно указать путь до исполняемого файла. Стандартный путь выглядит следующим образом:

%ProgramFiles%\Windows Defender\MpCmdRun.exe

Если вы установили Windows 10 на другой раздел (не С) или изменили расположение Защитника Windows, то вам нужно соответствующим образом изменить путь в команде.

Чтобы обновить Защитник Windows из командной строки, сначала запустим командную строку с правами администратора — введите cmd в стартовом меню и в контекстном меню приложения “Командная строка” выберите пункт “Запуск от имени администратора”. Затем отправьте следующую команду, чтобы начать процесс обновления (не забудьте сохранить кавычки):

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate

Как просканировать систему на угрозы из командной строки

Для проверки системы с помощью Защитника Windows нужно снова использовать путь до исполняемого файла, но параметр запуска будет уже другой — ScanType. Данный параметр может принимать три значения:

  • ScanType 1 — Быстрая проверка
  • ScanType 2 — Полная проверка
  • ScanType 3 — Выборочная проверка

Для выполнения быстрой или полной проверки используйте следующую команду (замените X цифрой “1” или “2” в зависимости от необходимого режима проверки).

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType X

Чтобы запустить выборочную проверку, вам нужно указать местоположения директории, которую вы хотите просканировать. Например, для проверки папки с названием bgdftw, расположенной в корневой папке диска С используем следующую команду:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File C:\bgdftw\

Просто убедитесь, что вы правильно указываете путь для сканирования. Если возвращается ошибка, проверьте имя папки, которую вы указали. Вы также можете запустить проверку только определенного файла в папке — для этого достаточно указать полный путь к файлу, включая его расширение.

Вы также можете использовать командную строку для запуска сканирования загрузочного сектора. Эта функция особо полезна, когда вредоносная программа заражает загрузочный сектор и запускается до момента загрузки антивируса, препятствуя удалению и работе системы. Команда для сканирования загрузочного сектора имеет следующий вид:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType -BootSectorScan

Любая из приведенных команд может использоваться для скриптов или BAT файлов, которые помогут автоматизировать процессы сканирования одного или нескольких компьютеров в сети. Команды также можно использовать для эффективной антивирусной защиты или удаления угроз, когда вредоносное ПО смогло инфицировать большое количество устройств.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *