Mshta.exe вирус - как работи, премахване и предпазни мерки

Процесът Mshta.exe е вирус с широка гама от функции. Например, тя е в състояние да извлече криптовалута - за този вид дейност се изискват много ресурси, включително процесора и оперативната памет. Това може да доведе до тяхното унищожаване, както и до увеличаване на сметките ви за електричество. Вашите поверителни данни също са изложени на риск, тъй като могат да бъдат събрани и изпратени на трети страни. Те включват телефонни номера, данни за кредитни карти и пароли, а вашите онлайн сметки, банкови сметки и цифрови портфейли са уязвими към атаки. Ако това не се случи, рискувате да загубите поверителност.

Как да премахнете злонамерения процес на Mshta.exe.

mshta.exe - какъв е този процес

Заплахи, като Mshta.exe, могат също да инсталират допълнителен зловреден софтуер на вашия компютър, включително програми за пренасочване на браузъри, рекламен софтуер и фишинг. Първите две са създадени, за да рекламират във вашия интернет браузър и да генерират трафик, което води до приходи на трети страни. Третият криптира вашите данни и се опитва да ви накара да повярвате, че можете да върнете компютъра си на нормално, като платите за декриптирането. Силно се препоръчва да се избягват такива вируси като Mshta.exe, тъй като те могат да причинят големи щети. За да направите това, трябва да намалите броя на посещенията на подозрителни източници и да инсталирате само разширения на браузър или плъгини, които са потвърдени като безопасни. Ако често изтегляте софтуер от интернет, направете го само от сайтове, които се проверяват от други потребители или антивирусен софтуер. Дори официалните програми могат да бъдат източник на инфекция от процеса, така че винаги избирайте “Индивидуална инсталация” - това ви позволява да премахнете всички ненужни компоненти. Следвайте тези указания и това трябва да е достатъчно, за да предоставите на компютъра необходимата защита.

Симптоми на инфекция с вируса Mshta.exe:

  • Получавате различни видове изскачащи прозорци или предупредителни съобщения.
  • Компютърът ви е бавен.
  • Антивирусът или защитната стена не работят.
  • Пренасочване към подозрителни уебсайтове на трети страни.
  • Троянецът може да промени началната страница на браузъра по подразбиране, търсещата машина и други настройки на браузъра.
  • Някои от инсталираните приложения не се стартират.
  • Не можете да се свържете с интернет или е много бавно.
  • Компютърът се включва или изключва без никакви действия от ваша страна.

Троянски източници Mshta.exe

  • Спам съобщения, съдържащи злонамерени прикачени файлове или хипервръзки.
  • Хакване на уебсайтове.
  • Уязвимост в отключена операционна система Windows.
  • Уязвимости в остарели уеб браузъри.
  • Стартиране от диск.
  • Fake Flash Player Актуализиране на уеб сайтове.
  • Инсталиране на пиратски софтуер или операционни системи.
  • Facebook спам съобщения, съдържащи злонамерени прикачени файлове или връзки.
  • Злонамерени SMS съобщения (троянски може да насочва към мобилни устройства).
  • Реклама - изскачащи и банерни реклами.
  • Саморазпространение (разпространение от един заразен компютър в друг през LAN).
  • Заразени сървъри за игри.
  • Ботнет.
  • Peer to Peer Networks

Къде е?

Проверете за подозрителни заплахи и ключове в следните стартови папки:

  • HKEY_LOCAL_MACHINE Софтуер Microsoft \ t
  • HKEY_LOCAL_MACHINE Софтуер Microsoft \ t
  • HKEY_LOCAL_MACHINE Софтуер Microsoft \ t
  • HKEY_LOCAL_MACHINE Софтуер Microsoft \ t
  • HKEY_LOCAL_MACHINE Софтуер Microsoft Windows NT CurrentVersion Winlogon Userinit.

След това проверете папката HKEY_CURRENT_USER за подозрителни ключове в регистъра. За да премахнете всички следи от троянския кон, трябва да премахнете злонамерените ключове в регистъра, свързани с него.

Как да се определи mshta.exe грешки

ВАЖНО. Ръчното ръководство за премахване се препоръчва само за опитни потребители на компютри. Неправилни промени в настройките на операционната система Windows, настройките на системния регистър или браузъра на Windows могат да доведат до сривове на системата или софтуерни грешки.

Деинсталирайте Mshta.exe с помощта на защитен режим с мрежова поддръжка. Защо да изберете този метод за рестартиране вместо нормалния безопасен режим? Безопасен режим с мрежа ви позволява да получите достъп до интернет, за да изтеглите необходимите инструменти, за да ви помогне да премахнете троянския кон от Mshta.exe от вашия компютър. Можете да стартирате Windows 10 в безопасен режим с поддръжка на мрежа, като използвате един от методите по-долу. В зависимост от вида на грешката, един от описаните методи за стартиране може да не работи правилно.

Стъпка 1: Стартирайте компютъра в безопасен режим с мрежова поддръжка

Ако имате нов компютър с UEFI BIOS и SSD твърд диск, натискането на клавишите F8 и Shift + F8 за превключване в безопасен режим може да не работи. Най-лесният начин да се зареди в безопасен режим с мрежова поддръжка е използването на разширени опции.

  1. Кликнете върху бутона "Windows" в долния ляв ъгъл и изберете "Power", след това задръжте "Shift" и натиснете "Restart". Компютърът ще се рестартира. Ще видите прозорец с няколко параметъра.
  2. Изберете “Отстраняване на неизправности”. След това Разширени опции.
  3. Отидете на „Стартиране на опции“ в прозореца „Разширени опции“.
  4. Кликнете върху бутона „Рестартиране“. Компютърът ще се рестартира отново. Ще видите прозореца "Опции за стартиране" с различни режими за отстраняване на неизправности.
  5. Изберете "Включване на защитен режим с мрежа" и натиснете F5, за да активирате този режим.

Безопасният режим с поддръжката на мрежата ви дава достъп до интернет, за да изтеглите необходимия софтуер, който може да ви помогне да премахнете зловреден софтуер от компютъра.

Стъпка 2: Изтеглете Antivirus

След като стартирате безопасен режим с мрежова поддръжка, стартирайте уеб браузъра и изтеглете надежден антивирусен софтуер, за да сканирате компютъра си за злонамерени файлове и процеси на Mshta.exe. Ако не искате да закупите лиценз за софтуер срещу зловреден софтуер, можете просто да проверите системата си за вируси и след това ръчно да изтриете откритите злонамерени файлове.

Стъпка 3: Изтрийте зловредните файлове, инсталирани от троянския кон

Веднага след като експлойт комплект проникне във вашия компютър, той ще изтегли и инсталира троянски файлове във вашата система. Трябва ръчно да проверите следните системни папки за файлове с разширенията .cmd, .btm, .bat, .bmp, .dll и изпълними файлове (.exe), които могат да бъдат създадени от троянски вирус:

  • % TEMP% \ t
  • APPDATA% \ t
  • % ProgramData% \ t
  • % UserpProfile% \ t

Възможно ли е да го завършите

Силно се препоръчва да затворите антивирусната програма и да почистите системния регистър на Windows, за да премахнете всички записи, свързани с троянските инфекции. Регистърът на Windows съдържа всички настройки и информация за софтуерни приложения и потребителски акаунти в операционната система Windows. За да направите промени в системния регистър, трябва да стартирате помощната програма за редактиране на системния регистър.

  1. Щракнете върху Windows + R и въведете Изпълнение на regedit или regedit.exe в полето Отваряне: търсене. Натиснете бутона OK или клавиша Enter. Когато за първи път отворите редактора на системния регистър, от лявата страна ще видите дърво, съдържащо всички раздели със стойности и данни от дясната страна. След като отворите редактора на системния регистър, трябва да намерите и изтриете ключове в регистъра и стойности, създадени от троянски инфекция.
  2. Натиснете Ctrl + F (или отидете в Меню - Редактиране - Намиране), за да отворите панела за търсене.
  3. Намерете имената на файловете, свързани с заплахата на троянския кон, които засягат компютъра ви и ги въведете в текстовото поле "Търсене". Отметнете всички квадратчета и кликнете върху бутона Намери следващо.
  4. Щракнете с десния бутон върху записа в системния регистър и изберете "Изтрий" в контекстното меню. Повторете този процес за всеки запис в регистъра, свързан със зловреден софтуер или рекламен софтуер.
  5. Кликнете върху „Да“ в прозореца за потвърждение.

Как да се премахне

Как да премахнете mshta.exe? Ако не можете да стартирате компютъра си в безопасен режим с мрежова поддръжка, опитайте да извършите възстановяване на системата чрез безопасен режим, като използвате командния ред. За да премахнете вирус, щракнете върху бутона Windows в долния ляв ъгъл и изберете “Power”, след това натиснете “Restart”. Компютърът ще се рестартира. Ще видите прозорец с няколко параметъра. Изберете “Отстраняване на неизправности”. След това изберете Разширени опции. Отидете на „Стартиране на опции“ в прозореца „Разширени опции“. Кликнете върху бутона „Рестартиране“.

Компютърът ще се рестартира отново. Ще видите прозореца "Опции за стартиране" с различни режими за отстраняване на неизправности. Изберете "Разреши безопасен режим" с командния ред и натиснете F6, за да го активирате. След като компютърът се рестартира, ще се появи прозорец за командния ред на MS-DOS. Въведете cd restore чрез командния ред и натиснете Enter. Въведете rstrui.exe в следващия ред и натиснете Enter. Проверете дали се отваря прозорецът за възстановяване на системата и натиснете бутона Напред, за да продължите. Изберете точка за възстановяване с дата преди заразяване със злонамерен софтуер и кликнете върху бутона Напред.

Съвети за сигурност за защита на компютъра от троянски коне:

  • Редовно архивирайте важни данни. Използвайте външен твърд диск и / или облачна услуга за архивиране.
  • Активиране на възстановяването на системата в операционната система.
  • Деактивирайте макросите в Microsoft Office (Word, Excel, PowerPoint и др.).
  • Инсталирайте Microsoft Office Viewer, за да проверите изтегления Word или Excel документ без макроси.
  • Конфигурирайте пощата, за да блокирате прикачени файлове с подозрителни разширения, като .exe, .vbs и .scr.
  • Не отваряйте прикачени файлове в съобщения, които изглеждат подозрителни.
  • Не следвайте спам връзки в подозрителни имейли.
  • Не кликвайте върху подозрителни хипервръзки или отворени снимки или видеоклипове за възрастни, получени в социални мрежи или незабавни съобщения.
  • Поправете стандартизацията на операционната система Windows.
  • Не използвайте ежедневно потребителски акаунт на Windows с администраторски права.
  • Включете опцията "Показване на разширенията на файловете", за да видите кои типове файлове отваряте. Стойте далеч от подозрителни файлове с разширения като ".exe", ".vbs" и ".scr". Троянските файлове често могат да изглеждат като две разширения - например .pdf.exe, “.avi.exe” или “.xlsx.scr” - така че обръщайте внимание на тези типове файлове.
  • Деактивирайте инфраструктурата на Windows PowerShell.
  • Деактивирайте технологията Windows Script Host (WSH).
  • Използвайте редактора на Windows или локалната политика, за да създадете правила за ограничаване на софтуер за деактивиране на изпълними файлове, стартирани от папките AppData, LocalAppData, Temp, ProgramData и Windows SysWow.
  • Забранете споделянето на файлове, за да се уверите, че троянският вирус ще остане изолиран само на заразения компютър.
  • Деактивирайте протокола за отдалечен работен плот (RDP).
  • Изключете неизползваните Bluetooth или инфрачервени портове.
  • Защитната стена на Windows е включена и конфигурирана правилно.
  • Използвайте защитен от троянски софтуер антивирусен софтуер и поддържайте неговата база данни актуална.
  • Актуализирайте уеб браузърите си.
  • Премахване на остарели и ненужни разширения на браузъра, добавки и добавки.
  • Дръжте Adobe Flash Player, Java и друг важен софтуер актуален.
  • Винаги проверявайте за компресирани или архивирани файлове.
  • Използвайте силни пароли.
  • Инсталирайте разширението на браузъра AdblockPlus, за да блокирате изскачащите прозорци и сигналите, тъй като те се използват и за разпространение на троянски атаки.
  • Деактивирайте AutoPlay, за да спрете автоматично злонамерените процеси, като започнете от външно устройство, като например външни твърди дискове или USB устройства.