Come sbarazzarsi del virus wmpscfgs.exe, una guida fornita da Reader
How-To Geek reader Kan ha scritto una guida completa per sbarazzarsi del brutto virus wmpscfgs.exe, e abbiamo pensato che dovremmo condividerlo con tutti, nel caso in cui qualcun altro incontrasse lo stesso problema in futuro.
Si noti che questa è una guida specifica per sbarazzarsi di un virus specifico ed è stata testata da un lettore specifico. Non abbiamo testato personalmente questi passaggi.
Sintomi del virus wmpscfgs.exe
- Se hai software Malwarebytes o Superantispyware, questi ragazzi lo rileveranno ad ogni scansione e tenteranno di rimuovere questo virus. Ma il virus tornerà dopo un riavvio. Anche un avvio in modalità provvisoria (con o senza rete) non funzionerà.
- Un avvertimento su IE che non è il tuo browser predefinito verrà sempre visualizzato senza nemmeno cliccare o aprire IE. Non consiglierei di fare clic su Sì o No. Basta spostare la finestra in uno degli angoli del monitor e vedere la soluzione di seguito.
- Il controllo dell'account utente Windows si comporta in modo anomalo e continuerà a richiedere se si desidera eseguire un programma di avvio precedentemente eseguito. Questo mi ha dato via il virus, quindi ho iniziato a scannerizzare e investigare. Se si tenta di consentire uno, UAC sarà disabilitato. Stranamente, se lo hai abilitato, Windows non ti chiede di riavviare, il che è anche un omaggio che qualcosa non va! Poiché la modifica delle impostazioni del controllo dell'account utente richiederà sicuramente il riavvio.
- Microsoft Security Essentials rileverà che i programmi di avvio (software antivirus, software antispyware / malware, ecc. Sono virus) e lo segnalano come virus. Un altro giveaway che qualcosa è terribilmente sbagliato!
Se hai i sintomi sopra, hai praticamente il virus che ho avuto ieri. Ecco cosa puoi fare per sbarazzartene. Non preoccuparti della scansione poiché gli scanner non sono in grado di risolvere completamente il tuo problema e finiranno per danneggiare le tue applicazioni.
- Avvio in modalità provvisoria. Il motivo è che in modalità provvisoria non ci sono molti processi in esecuzione. Hai bisogno di questa configurazione nel passaggio 9 di seguito come questo virus è un brutto.
- Apri Windows Explorer e vai su Strumenti -> Opzioni cartella .
un. Assicurati che quanto segue sia TICKED -> Mostra file e cartelle nascosti
b. Assicurati che quanto segue sia UNICked -> Nascondi le estensioni per i tipi di file conosciuti - Vai alle seguenti directory (questo è per Vista Home Premium):
C: \ Programmi \ Internet Explorer
C: \ Utenti \ utente \ AppData \ Local \ Temp
E vedrai lì un file chiamato wmpscfgs.exe. Cancellali. - Apri il tuo task manager, assicurati che 'mostra tutti i processi' sia spuntato e cerca lo stesso processo. Se è in esecuzione. Uccidilo.
A partire da questa parte, i passaggi richiedono più esperienza tecnica. Se non ti senti a tuo agio nel seguire i passaggi seguenti, cerca qualcuno che ti possa aiutare.
- Apri regedit e vai a: HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Esegui
- Cerca la voce Adobe_reader con i dati: "% ProgramFiles% \ Internet Explorer \ wmpscfgs.exe“. Cancellalo. Per me da questo momento quasi tutte le cose scritte nel NET attualmente non hanno i passaggi seguenti. Ed è la ragione per cui questo virus continua a tornare.
- Speriamo che tu non abbia molte applicazioni sotto "HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Esegui". Perché devi visitare ognuno di loro letteralmente perché questo virus dirotta quasi tutte le applicazioni nell'elenco RUN sopra.
- Fondamentalmente rinomina il vecchio file exe da "mcagent.exe" a "mcagent .exe". Con uno spazio tra il nome del file e ".exe" o l'estensione. Creerà quindi una copia di se stesso con lo stesso nome del file eseguibile in modo che quando qualcuno esegue il file, il virus verrà eseguito prima del file. Lo farà per ogni app che hai nella tua lista Run.
Quindi, se vai nella posizione di dire dell'applicazione McAfee mcagent.exe, vedrai due o tre file con lo stesso nome file:
- mcagent.exe -> che è un file da 39 KB, creato molto recentemente e che è il virus che continua ad aggiungere il file wmpscfgs.exe.
- mcagent .exe -> il file mcagent originale, rinominato.
- mcagent.exe.delme -> cancella anche questo. Non vedo che ciò si verifichi ogni volta, ma ho visto alcune app con questo file al loro interno e create di recente.
- Per prima cosa è necessario interrompere il processo corrispondente del file infetto se sono in esecuzione in Gestione attività, rimuovere manualmente il file .exe esistente che si trova a soli 39KB e rinominare il vecchio file eseguibile nel suo nome file precedente. Ripeti l'operazione per ogni applicazione presente nell'elenco Esegui sopra. L'unica cosa che ho visto questo virus non infettare era l'applicazione di Windows Defender. Il resto della mia lista Run è stato fregato. La disinstallazione e la reinstallazione non sono d'aiuto, così come il precedente file di Troia exe verrà conservato nella directory dell'applicazione.
Questo è il motivo per cui Microsoft Security Essentials si è lamentato che i file eseguibili di avvio sono virus.
- Una volta verificato che ogni applicazione nel tuo elenco di esecuzione è stata ripristinata. Per essere completamente sicuro di non avere alcun file di questo tipo nel tuo sistema, fai una ricerca di un disco con 39KB di dimensioni e che è appena stato creato di recente ed esaminali attentamente se sono solo copie del tuo file eseguibile originale . Seguire il passaggio 7 per ogni occorrenza di esso. Finora, ho visto solo questo virus attaccarsi a file eseguibili.
- Se vuoi essere sicuro al 100%, la prossima cosa che devi fare è ricontrollare tutti i processi in esecuzione nel tuo task manager se sono legittimi. Alcuni processi specialmente quelli avviati dal sistema non saranno in grado di portarti al suo file di processo, è ok, ma la maggior parte di essi se fai un clic con il tasto destro su di essi, dovresti vedere un'opzione chiamata "Apri posizione file". Quindi seguire i passaggi 7 sopra.
- Riavvia e basta!
Grazie al lettore Kan per aver scritto con questa guida, e speriamo che aiuti qualcun altro!