題 如何修復受惡意軟件侵擾且極無反應的計算機? [重複]


可能重複:
如何從我的電腦中清除惡意間諜軟件,惡意軟件,病毒或rootkit? 

我正在為朋友排除Windows 7 PC故障。幾天前它開始運行'慢'。事實證明,“緩慢”約為15分鐘,第一次看到桌面,另外30個顯示圖標。它  可能打開任務管理器,似乎沒什麼問題,CPU使用率為1-5%,大量內存空閒。

該機器顯然充斥著惡意軟件,特別是一個名為“Optimizer Pro”的程序要求“刪除5102文件減慢我的電腦速度”。這似乎非常可疑。

我的問題是,我無法訪問 msconfig (我希望將它輸入“開始”菜單並點擊“輸入 - 似乎沒有任何內容”),或基本上任何事情都離開了幾個小時。我可以從Linux Live CD啟動,但我能從那裡做任何有用的事情嗎?

系統還原也沒有修復它,安全模式表現出相同的行為。


102


起源


輸入開始菜單後,您需要等待項目出現。我以前經歷過那個。你看到的延遲,比方說,cmd就是app本身的推出 - Cole Johnson
我最近在家庭成員的筆記本電腦上發生過這種情況。一旦我能夠進入它,我安排了一個chkdsk,在三次嘗試後無法完成,報告說磁盤太亂了,它無法解決任何問題。磁盤正在被替換,我將把它安裝在USB轉SATA設備上,看看我是否可以從中取出任何文件。這可能與您的問題無關,但“檢查”不會有什麼壞處。 - Bratch
security.stackexchange.com/questions/24195/... - Boris Treukhov
“從軌道上攻擊這個網站,這是唯一能確定的方法。” - 在所有嚴重惡意軟件感染的情況下,我建議您使用Linux Live光盤搶救數據,然後重新安裝Windows。否則很有可能你不會清除很多惡意軟件,並且要么必須重新開始修復它或者(並且可能具有破壞性)有人會繼續使用機器,假設它是乾淨的,儘管它不是。 - fgysin
嘗試 format c:/ - Phillip Schmidt


答案:


我建議重新安裝Windows

如果你試圖挽救現有的安裝,你最終會花費數小時,或者可能是幾天工作,並且沒有任何東西可以顯示你的努力。即使您能夠成功運行所有惡意軟件刪除工具,我也不相信 所有 實際上已經刪除了惡意軟件,因為根據定義,惡意軟件作者始終比惡意軟件刪除作者領先一步。一旦機器受到嚴重感染,它可能會加載各種不良內容。

所以...

  1. 格式化硬盤
  2. 安裝Windows

而且,正如其中一位評論者建議的那樣,您應該假設舊安裝中的所有文件和數據都受到感染,並且不應該受到信任。


245



雖然我通常不鼓勵缺乏細節的簡短答案,但這四個詞確實說明了一切。它可能會更容易。 - Shinrai
“從軌道上解開它,它是唯一可以確定的方法” - 據說這聽起來似乎實際上會更快。 - Journeyman Geek♦
這是 對 方法,無論速度如何。 在過去的幾年裡,惡意軟件變得更加狡猾和骯髒。偷偷摸摸的是它以包裝的形式傳播,使用Malwarebytes或其他工具來消除明顯的症狀可能仍然會留下一個不那麼明顯的鍵盤記錄器或rootkit。 Nastier不僅可以展示廣告或工具欄,而且可能適用於信用卡或銀行信息。將這兩者放在一起,再也不值得嘗試清理機器了。在第一次確認的感染時,右鍵進行備份/重新安裝/恢復技術。 - Joel Coehoorn
我在下面發布了這個作為答案,但在採取這一步驟之前,我提醒您首先看看它是否是硬件問題。如果它失敗的硬盤驅動器重新安裝Windows將無能為力。正如OP所述,它僅以1-5%的百分比運行且內存使用率低。它在安全模式下執行相同的操作。這些也是有缺陷的硬件的症狀,因此安全檢查真正的問題是否真的問題是硬盤驅動器故障,然後才發現它仍然在移動速度超慢! - Bob
在採取這一步驟之前,我會同意Bob的意見。啟動linux live CD / USB並查看它是否可用。如果一切都很好,那麼它可能不是硬件問題。使用Linux live CD / USB還允許您在重新安裝之前將可以保存的任何數據(照片,音樂等)複製到外部驅動器中。 - Mart


各種反病毒廠商都有可啟動的救援/掃描CDROM。兩個免費的是:

卡巴斯基救援盤10

卡巴斯基Rescue Disk 10旨在掃描和消毒x86和   已被感染的x64兼容計算機。

當感染嚴重時應使用該應用程序   使用防病毒應用程序無法對計算機進行殺毒   或惡意軟件刪除實用程序 (例如卡巴斯基病毒清除工具)   在操作系統下運行。

AVG Rescue CD

AVG Rescue CD讓您的業務快速恢復運行,以防萬一   系統崩潰。

刪除感染,修復文件和恢復系統。


57



我強烈推薦卡巴斯基可啟動防病毒軟件。理想情況下,有一個 有線 可用於更新病毒定義的Internet連接,而無需擔心設置WiFi連接。 - David Schwartz
好建議!首先嘗試使用上述免費工具清潔系統。如果這沒有幫助,那麼重新安裝Windows系統可能是唯一的選擇。不要忘記備份,安全的賭注是拆卸硬盤並將其作為外部驅動器連接到另一台計算機。 - GregD
@GregD如果您沒有合適的潔淨室和適當的工具,您當然不想嘗試拆卸硬盤驅動器。您可能希望將其從計算機中刪除並將其安裝在另一台(或外部機箱中),但也就是說 遠 來自同一件事。 - α CVn
卡巴斯基是的。 AVG不! - pratnala
當我嘗試類似的情況時,AVG說系統很乾淨。甚至沒有提示病毒。但卡巴斯基抓住了罪魁禍首。之後失去了對AVG的信任。使用它2年以上。現在卡巴斯基從過去3年開始。 KIS不是KAV - pratnala


我要先來這裡再問一下這個問題,然後發表我對計算機的假設。你說它只使用了1-5%的CPU,但它仍然在慢慢移動?雖然我並不是說它沒有充滿病毒或任何東西,因為它可能非常,但我想指出這對我來說是尖叫的錯誤硬件。下次打開任務管理器時,請檢查資源監視器。以下是使用資源監視器的簡單指南。

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

打開任務管理器並轉到“性能”選項卡。底部是資源監視器的按鈕。打開後,查看頂部的“磁盤”選項卡,查看請求的持續時間。看看我的計算機和該網站上的計算機圖像,我猜想對於非SSD驅動器,100毫秒以下的響應時間似乎正是您所尋找的。如果計算機的響應時間超過1秒,則無論您如何啟動計算機,計算機都會變慢。回到這裡,請告訴我們磁盤響應時間是否緩慢。如果是,您可以嘗試在驅動器上運行Check磁盤並等待它完成,看看是否能解決問題。

請記住,這可能不是問題,但如果是,則重新安裝Windows或運行病毒掃描將無法解決問題。


31



多數民眾贊成他可以打開它。他的電腦確實看起來太慢了......根據他所報導的事情,當他回答時,他必須等待一兩個星期。 - Journeyman Geek♦
資源監視器中的一個好指標是磁盤隊列深度 - 如果這一點一直很高,那麼硬盤驅動器就會被打破(即總線速度'瓶頸')。這將導致速度減慢而不會影響RAM或CPU使用率(在良好的PC上進行病毒掃描時檢查它)。 - HaydnWVN
由於當前安裝速度很慢,因此在Live CD中檢查可能更容易。我不確定你會運行哪個程序。 - Brendan Long
這些都是好點。我提到使用資源監視器,因為他說他能夠打開任務管理器,所以我只是假設他也可以獲得資源監視器。 - Bob


將我的想法添加到混合中......

嘗試將有問題的硬盤驅逐出去並將其插入外部球童,然後將其插入正常工作的PC。然後,您可以檢查磁盤,運行防病毒/惡意軟件檢查,碎片整理等。

此外,還可以挽救您所需的文件(注意不要復制任何可能會感染另一台PC的東西。顯然,在執行此操作之前,請確保主機PC已獲得良好的保護。

如果將硬盤驅動器放回後仍然運行不佳,那麼我會考慮重新安裝Windows。嘗試解決任何其他問題所花費的時間是不值得的。


30



這對我來說做得很好,我會修改它以建議使用Linux實時光盤並在整個過程中跨數據運行掃描。使用實時光盤,您可以在受感染的設備上完成所有操作。 - nerdwaller
為什麼這不是最佳答案?它明顯勝過簡單重新安裝的方法。 - stefan
因為方法是保存文檔和照片,然後重新安裝。 - WindowsEscapist
這很危險,因為驅動器很容易感染新計算機。從Linux Live CD啟動並以此方式保存,然後核對並重新安裝會好得多。 - Omnifarious


如果你可以啟動到安全模式,我會這樣做。

以上所有都不會花費你一分錢。

最近在2012年11月6日由Whinston Gordon為Lifehacker撰寫了一篇精彩的文章,我認為這篇文章對所有人都有益, “你對慢速PC做出的假設(以及為什麼它們可能錯了)”。希望你覺得它很有意思!


12



OP表示安全模式仍然像正常一樣慢,所以這不會真正有用。 - ChrisF
像Hiren的啟動CD這樣的啟動CD無法從Windows啟動,因此安全模式的速度與該選項無關。 - Zoot


下載並啟動任何Linux現場發行版,以檢查機器是否有某種程度的障礙(有故障的RAM,壞硬盤,......)或者它只是太舊的Windows安裝(可能是病毒攻擊)。 如果是病毒攻擊,您可以下載 http://free.drweb.com/ 使用病毒掃描程序啟動live cd以確保您的PC乾淨。 免費的drweb掃描儀我們每天更新幾次,因此它能夠檢測和治愈最新的惡意代碼。


11





我用過的最好的工具是 的Malwarebytes。幾年前我在IT工作時使用它。此外,卡巴斯基和AVG(如上所述)或所有的組合一樣好。

另一個很棒的選擇,包括現場Malwarebytes圖像,是 Hiren的BootCD (直接鏈接 去下載)。


8



他們應該如何安裝,更不用說如果需要> 45分鐘才能啟動它? - Synetech
現場光盤。 Hiren的BootCD上有一個獨立的或一個。 - nerdwaller
你應該有 之前說過;現在 太晚了。 - Synetech
因此,為什麼我添加它來幫助。 - nerdwaller
@ paulsm4根據我的經驗,90%的AV套件幾乎錯過了所有的感染(在愚蠢的跟踪Cookie之外,當你意識到人們如何使用Facebook登錄到處時,它們是無害的)。可悲的是,付費的是最嚴重的罪犯......太棒了!在極少數情況下我運行Windows - 它就是 MSE 為了我。 - nerdwaller


在一天結束的時候,我仍然認為狗的答案的@hair可能是“最好的”解決方案。

另一方面,留下問題,可能不是做事的方式。

這實際上是前面一些答案的濃縮版本,還有一些觀察結果。

根據我的經驗,硬盤驅動器是計算機減速的一個重要原因。它們是具有許多故障和錯誤模式的奇特設備。有 其他值得關注的理由

在這種情況下,引導到通用Linux live cd非常有用。在查看可能的驅動器問題時,您想要做兩件事。首先你要問驅動器是否正常 - smartmontools (或其圖形前端, gsmartcontrol這裡很不錯。你想要一般“健康”的結果。當你在它的時候,你可能也想跑 hdparm -Tt /dev/sdXx 幾次獲得磁盤速度的基準測試結果。在健康且足夠相似的磁盤上運行相同的命令以查看它是否存在  慢點。

我還建議在此時進行文件級恢復。不清潔安裝的驅動器不會自動掛載到linux中 - 您需要執行此操作 mount -f /dev/SDXx /mount/point 迫使它安裝。如果根據smartmontools明顯損壞磁盤,請使用以恢復為中心的DD varient進行備份 - Gnu ddrescue 是一個不錯的選擇。這將創建一個跳過壞扇區的圖像

假設磁盤沒問題,那就太棘手了。您可以運行離線AV掃描以嘗試清理它,然後將其彈出到另一個系統以進行維護。

您還可以安裝另一個Windows系統的註冊表配置單元以手動編輯啟動項(很快就可以從Windows系統進行病毒檢查和碎片整理)或使用離線註冊表編輯器 密碼更換器磁盤 假設你知道你在尋找什麼。

如果我們使用Windows工具進行恢復/修復相關活動 - 您可能需要考慮構建PE磁盤(如果您不介意基於XP的實時磁盤,則使用bartpe),或者使用單獨的“一次性”安裝來執行這些任務降低惡意軟件交叉污染的風險。

此時你應該已經解決了磁盤是否很慢,是否是惡意軟件,以及你認為值得花時間修復它的問題。你應該也得到你的數據。如果其惡意軟件以及脫機掃描和註冊表失敗,您可以從livecd運行shred來擦除磁盤。如果其硬件故障,您可以從該dd備份恢復。如果沒有上述內容,事情會變得有趣


8