題 如何從我的PC中刪除惡意間諜軟件,惡意軟件,廣告軟件,病毒,特洛伊木馬或rootkit?


如果我的Windows計算機似乎感染了病毒或惡意軟件,我該怎麼辦?

  • 感染的症狀有哪些?
  • 注意到感染後該怎麼辦?
  • 我該怎麼做才能擺脫它?
  • 如何防止惡意軟件感染?

這個問題經常出現,建議的解決方案通常都是一樣的。這個社區wiki試圖成為最終,最全面的答案。

隨意通過編輯添加您的貢獻。


434
2017-11-30 15:16


起源


絕對不做的一件事是安裝任何“反惡意軟件”工具,當你到達一個網頁上寫著“你的計算機被病毒感染了!”時,你應該這樣做。這些幾乎肯定是惡意軟件本身。您只能使用經過良好審查的工具 - (可能是)下面列出的工具或其他受信任的站點。 - Daniel R Hicks
@Gnoupi這篇文章可能很感興趣 maketecheasier.com/... - Simon
對於任何想要這個問題的人來說,想要tl; dr版本......一旦被感染,就沒有辦法了(嗯......沒有辦法不讓你已經成為一名計算機工程師,投資幾年的生活在機器上進行數字屍檢)以擺脫/確定你已經擺脫了感染。惡意軟件可以隱藏在您的文件,應用程序,操作系統,固件......這就是為什麼您永遠不要相信感染了計算機的原因。 AV供應商會試圖說服你,他們的產品是修復你的系統的銀彈。他們說謊。 - Parthian Shot
@DanielRHicks實際上在某些情況下他們會導致合法的AV產品。上次我在Android上看到了這個令人討厭的“內置廣告支持功能”(廣告欄出現在應用和網頁的底部)。例如,我只是點擊了“刪除病毒!”廣告和我登陸了Google Play商店 360安全 - 防病毒增強 應用頁面。 - David Balažic
當我們考慮虛擬Rootkit和固件Rootkit的擁有性時,我們幾乎可以說:你是骨頭。這兩種類型的Rootkit保存在您無法清理的計算機區域中。如果你想擺脫它們,你需要購買一台新電腦。固件Rootkit很少見,虛擬Rootkit尚不存在但仍然存在:這兩個Rootkit的存在證明,沒有100%的工作單一適合所有解決方案,這將使您的計算機惡意軟件永遠免費。作為一個德國人,我會把它稱為“Eierlegende Wollmilchsau” - BlueWizard


答案:


事情就是這樣:近年來惡意軟件已成為兩者 sneakier 和 厲害

Sneakier,因為它一起旅行。微妙的惡意軟件可以隱藏在更明顯的感染背後。答案中列出了許多可以找到99%惡意軟件的好工具,但總有1%的惡意軟件尚未找到。大多數情況下,1%就是這樣的東西 :惡意軟件工具無法找到它,因為它剛出來並正在使用一些新的漏洞或技術來隱藏工具尚不知道的內容。

惡意軟件的保質期也很短。如果你被感染了,很可能是新的1%的東西 一部分 你感染了它不會是 整個 感染:只是其中的一部分。安全工具將幫助您查找和刪除更明顯和眾所周知的惡意軟件,並且最有可能刪除所有可見的惡意軟件 症狀 (因為你可以繼續挖掘,直到你走得那麼遠),但他們可以留下一些小塊,就像一個鍵盤記錄器或rootkit隱藏在安全工具尚不知道如何檢查的一些新漏洞背後。反惡意軟件工具仍然有它們的位置,但我稍後會談到它。

厲害,因為它不再只是顯示廣告,安裝工具欄或將您的計算機用作殭屍。現代惡意軟件很可能適用於銀行或信用卡信息。建造這些東西的人不再僅僅是尋求名望的劇本小子;他們現在是有組織的專業人士 利潤如果他們不能直接偷你,他們會尋找 某物 他們可以轉身出售。這可能是您計算機中的處理或網絡資源,但它也可能是您的社會安全號碼或加密您的文件並持有它們以獲取贖金。

將這兩個因素放在一起,並且 即使嘗試從已安裝的操作系統中刪除惡意軟件也不再值得。我曾經非常善於刪除這些東西,直到我以這種方式生活的重要部分,我甚至不再嘗試。我並不是說不能這樣做,但我說成本/收益和風險分析結果已經改變了:它不再值得了。有太多的利害關係,而且僅僅獲得結果太容易了 似乎 要有效。

很多人會對此不以為然,但我挑戰他們並沒有足夠強烈地權衡失敗的後果。 你是否願意下注你的人生儲蓄,你的良好信譽,甚至你的身份,你比那些每天賺百萬美元的騙子更擅長這個?  如果您嘗試刪除惡意軟件,然後繼續運行舊系統,那就是 究竟 你在做什麼。

我知道那裡有人在讀這個想法,“嘿,我已經從各種機器上移除了幾次感染,沒有發生任何壞事。”我也是,朋友。我也是。在過去的幾天裡,我已經清理了我的受感染系統。不過,我建議我們現在需要在該聲明的末尾添加“尚未”。你的效率可能達到99%,但你只需要犯錯一次,失敗的後果遠遠高於以往;只有一次失敗的成本很容易超過所有其他成功。你甚至可能已經有一台機器在那裡仍然有一個滴答作響的定時炸彈,只是等待激活或收集正確的信息,然後再報告。即使你現在有100%有效的過程,這些東西也會一直在變化。記住:你每次都必須完美;壞人只需要幸運一次。

總之,這很不幸,但是 如果 你有一個確認的惡意軟件感染,應該是一個完整的計算機重新鋪設 第一 你轉而不是最後一個。


以下是如何實現這一目標:

在你被感染之前,確保您有辦法重新安裝任何購買的軟件,包括操作系統,不依賴於內部硬盤上存儲的任何內容。為此,通常只是意味著掛在cd / dvds或產品密鑰上,但操作系統可能要求您自己創建恢復磁盤。1 不要依賴恢復分區。如果您等到感染後確保您擁有重新安裝所需的內容,您可能會再次為同一軟件付費。隨著勒索軟件的興起,定期備份數據(以及常見的非惡意內容,如硬盤驅動器故障)也非常重要。

當您懷疑自己有惡意軟件時,在這裡尋找其他答案。建議有很多好的工具。我唯一的問題是使用它們的最佳方式:我只依靠它們進行檢測。安裝並運行該工具,但一旦發現真正感染的證據(不僅僅是“跟踪cookie”),只需停止掃描:該工具已完成其工作並確認您的感染。2

在確認感染時, 採取以下步驟:

  1. 檢查您的信用卡和銀行帳戶。當您發現感染時,可能已經造成了真正的損害。採取必要的步驟來保護您的卡,銀行帳戶和身份。在從受感染計算機訪問的任何網站上更改密碼。 請勿使用受感染的計算機執行此操作。 
  2. 備份您的數據(如果您已有數據,則更好)。
  3. 使用直接從OS發布者獲得的原始媒體重新安裝操作系統。確保重新安裝包括完整的磁盤重新格式化;系統還原或系統恢復操作是不夠的。
  4. 重新安裝您的應用程序。
  5. 確保您的操作系統和軟件已完全修補並保持最新。
  6. 運行完整的防病毒掃描以清除第二步中的備份。
  7. 恢復備份。

如果操作正確,這可能需要花費兩到六個實際小時的時間,在等待安裝應用程序,下載Windows更新或大型備份文件等內容時分散兩到三天(甚至更長時間)轉移......但最好還是後來發現騙子耗盡了你的銀行賬戶。不幸的是,這是你應該自己做的事情,或者有一個技術朋友為你做的事情。以每小時100美元/小時的典型諮詢率,購買新機器比購買商店要便宜得多。如果你有一個朋友為你做,做一些很好的事情來表達你的感激之情。甚至是那些喜歡幫助你設置新東西或經常修復破損硬件的極客 討厭 清理工作的單調乏味。如果你自己備份也是最好的...你的朋友不知道你把文件放在哪裡,或者哪些文件對你來說真的很重要。你處於一個比他們好的備份方面你處於更有利的位置。

很快,即使所有這些都可能還不夠,因為現在有惡意軟件能夠感染固件。即使更換硬盤驅​​動器也可能無法消除感染,購買新電腦將是唯一的選擇。值得慶幸的是,在我寫這篇文章的時候,我們還沒有達到這一點,但它肯定會出現并快速逼近。


如果你絕對堅持,除了所有原因,你真的想要清理現有的安裝而不是重新開始,那麼為了上帝的愛,確保你使用的任何方法都涉及以下兩個程序之一:

  • 卸下硬盤驅動器並將其作為來賓磁盤連接到另一台(乾淨!)計算機以運行掃描。

要么

  • 從CD / USB密鑰啟動,使用自己的一組工具運行自己的內核。確保獲取此圖像並在乾淨的計算機上刻錄。如有必要,請朋友為您製作磁盤。

在任何情況下,您都不應該嘗試使用作為受感染操作系統的來賓進程運行的軟件來清理受感染的操作系統。 那隻是愚蠢的。


當然,修復感染的最好方法是首先避免感染,並且有一些事情可以幫助解決這個問題:

  1. 保持系統修補。確保你 及時 安裝Windows更新,Adobe更新,Java更新,Apple更新等。這甚至比防病毒軟件更重要,並且在大多數情況下,只要你保持最新,它就不那麼難了。大多數公司已經非正式地確定了每個月在同一天發布的新補丁,所以如果你保持最新,它不會經常打擾你。 Windows Update中斷通常僅在您忽略它們太長時間時才會發生。如果這種情況經常發生在您身上,那就是它  改變你的行為。這些是 重要,即使現在更容易選擇“稍後安裝”選項也不行。
  2. 默認情況下不要以管理員身份運行。在Windows的最新版本中,它就像打開UAC功能一樣簡單。
  3. 使用一個好的防火牆工具。目前,Windows中的默認防火牆實際上已經足夠好了。您可能希望使用類似WinPatrol的內容來補充此層,以幫助阻止前端的惡意活動。 Windows Defender也在某種程度上以此身份運行。基本Ad-Blocker瀏覽器插件在此級別作為安全工具也變得越來越有用。
  4. 將大多數瀏覽器插件(尤其是Flash和Java)設置為“Ask to Activate”。
  5. 當前 防毒軟件。這是其他選項的第五位,因為傳統的A / V軟件通常不再那麼有效。強調“當前”也很重要。你可以擁有世界上最好的防病毒軟件,但如果它不是最新的,你也可以卸載它。

    因此,我目前推薦使用Microsoft Security Essentials。 (自Windows 8以來,Microsoft Security Essentials是Windows Defender的一部分。)可能有更好的掃描引擎,但Security Essentials將保持自己的最新狀態,而不會有過期註冊的風險。 AVG和Avast也以這種方式運作良好。我只是不能推薦你必須實際付費的任何防病毒軟件,因為付費訂閱失效並且你最終得出的定義過於常見。

    此外值得注意的是,Mac用戶現在也需要運行防病毒軟件。他們可以在沒有它的情況下離開的日子早已不復存在。另外,我認為是 歡鬧的 我現在必須推薦Mac用戶購買防病毒軟件,但建議Windows用戶反對它。

  6. 避免使用torrent網站,warez,盜版軟件和盜版電影/視頻。這些東西通常被破解或發布的人注入惡意軟件 - 並非總是如此,但通常足以避免整個混亂。這是為什麼一個餅乾會這樣做的一部分:通常他們會獲得任何利潤。
  7. 瀏覽網頁時請用頭腦。您是安全鏈中最薄弱的環節。如果聽起來好得令人難以置信,那可能就是這樣。下載新軟件時,最明顯的下載按鈕很少是您想要使用的按鈕,因此在單擊該鏈接之前,請務必閱讀並理解網頁上的所有內容。如果您看到彈出窗口或聽到要求您致電Microsoft或安裝某些安全工具的聲音消息,那就是假的。
    此外,更喜歡直接從供應商或開發人員而不是第三方文件託管網站下載軟件和更新/升級。

1 微軟現在發布了 Windows 10安裝媒體 所以你可以合法地免費下載和寫入8GB或更大的閃存驅動器。您仍然需要有效的許可證,但不再需要基本操作系統的單獨恢復磁盤。

2這是一個指出我在某種程度上軟化了我的方法的好時機。今天,大多數“感染”屬於PUP類別(可能不需要的程序)和其他下載中包含的瀏覽器擴展。通常可以通過傳統方式安全地刪除這些PUP /擴展,並且它們現在是足夠大的惡意軟件百分比,我可以在此時停止並只是嘗試添加/刪除程序功能或普通瀏覽器選項來刪除擴展。然而,在更深層次的第一個跡象 - 任何提示軟件不會正常卸載 - 並且它又回到修復機器。


259



現在,這似乎是最明智的。我想補充說,有些惡意軟件是偷偷摸摸的另一個原因:它們將保持休眠狀態,並將您的計算機用於其他活動。可以代理,存儲或多或少非法的東西,或成為DDOS攻擊的一部分。 - Gnoupi
@ConradFrix太快說了......我還沒有必要對Windows 8 PC這樣做......但我很悲觀,因為它不會導致重新格式化驅動器。 Windows 8包含多項安全性改進,包括從時間0開始運行防病毒軟件作為操作系統的一部分,因此我希望永遠不需要為Windows 8執行此操作。 - Joel Coehoorn
@DanielRHicks閱讀完整的句子。這是你的兩到六個小時的時間,分散在一天或三天,你可以有效地開除一些東西並稍後再回來查看。如果你是嬰兒坐在一切,那麼是的:這將需要一段時間。 - Joel Coehoorn
@JoelCoehoorn僅僅是我,還是惡意軟件這種先進的還會感染各種組件上的固件,使任何刪除工作都徒勞無功? - Enis P. Aginić
請記住,如果您在發現感染後進行備份,則很可能備份本身已被感染。請在嘗試還原之前掃描備份。 - Tejas Kale


如何判斷我的電腦是否被感染?

惡意軟件的一般症狀可以是任何東西。通常是:

  • 機器比平時慢。
  • 隨機故障和不應發生的事情(例如,一些新病毒會在您的計算機上設置組策略限制以防止任務管理器或其他診斷程序運行)。
  • 當您認為您的計算機應處於空閒狀態時(例如<5%),任務管理器會顯示高CPU。
  • 廣告隨機彈出。
  • 從您不記得安裝的防病毒軟件中彈出病毒警告(防病毒程序是假的,並試圖聲稱您有可怕的聲音病毒,其名稱為'bankpasswordstealer.vir'。我們鼓勵您支付此程序來清理這些)。
  • 彈出窗口/假藍屏死機(BSOD)要求您撥打號碼來修復感染。
  • 重定向或阻止的網頁,例如,AV產品或支持網站的主頁(www.symantec.com,www.avg.com,www.microsoft.com)被重定向到充滿廣告的網站,或者虛假網站宣傳虛假網站病毒/“有用”刪除工具,或完全被阻止。
  • 當你沒有安裝任何應用程序(或補丁)時,啟動時間會增加......這個很尷尬。
  • 您的個人文件已加密,您會看到勒索贖金。
  • 如果你“了解”你的系統,你通常會知道什麼時候出了問題。

我怎麼擺脫這個?

使用Live CD

由於受感染的PC病毒掃描程序可能會受到攻擊,因此從Live CD掃描驅動器可能更安全。 CD將在您的計算機上啟動專用操作系統,然後掃描硬盤驅動器。

例如,有 Avira Antivir救援系統 要么 ubcd4win。可以在以下網站找到更多建議 免費可啟動防病毒救援CD下載列表 如:

  • 卡巴斯基救援CD
  • BitDefender Rescue CD
  • F-Secure Rescue CD
  • Avira Antivir救援磁盤
  • Trinity Rescue Kit CD
  • AVG Rescue CD

將硬盤連接到另一台PC

如果要將受感染的硬盤驅動器連接到干淨的系統以進行掃描,請確保更新將用於掃描受感染的驅動器的所有產品的病毒定義。等待一周讓防病毒提供商發布新的病毒定義可以提高您檢測所有病毒的機率。

一旦發現感染系統被感染,請確保您的受感染系統始終與互聯網斷開連接。這將阻止它能夠下載新版本的病毒(以及其他內容)。

從一個好的工具開始,比如 Spybot搜索和銷毀 要么 Malwarebytes的反惡意軟件 並執行完整掃描。也試試 ComboFix是,和 SuperAntiSpyware。沒有任何單一的防病毒產品可以定義所有病毒。使用多種產品是關鍵(不是為了實時保護)。如果即使只有一種病毒留在系統上,也可以下載並安裝所有最新版本的新病毒,到目前為止所有的努力都是徒勞無功的。

從啟動中刪除可疑程序

  1. 以安全模式啟動。
  2. 使用 msconfig 確定啟動時啟動哪些程序和服務(或在Windows 8中的任務管理器下啟動)。
  3. 如果存在可疑的程序/服務,請將其從引導中刪除。否則跳過使用Live CD。
  4. 重新開始。
  5. 如果症狀沒有消失和/或程序在啟動時替換自己,請嘗試使用一個名為的程序 自動運行 找到該程序,並從那裡刪除它。如果您的計算機無法啟動,Autoruns具有可以從名為“Analyze offline PC”的第二台PC運行的功能。特別要注意 Logon 和 Scheduled tasks 標籤。
  6. 如果刪除程序仍然沒有成功,並且您確定它是導致問題的原因,請啟動到常規模式,並安裝一個名為的工具 解鎖
  7. 導航到該病毒文件的位置,並嘗試使用解鎖器將其殺死。可能會發生一些事情:
    1. 該文件已刪除,並且在重新啟動時不會再次出現。這是最好的情況。
    2. 該文件已刪除,但會立即重新出現。在這種情況下,使用一個名為的程序 進程監視器 找出重新創建文件的程序。您還需要刪除該程序。
    3. 該文件無法刪除,解鎖器會提示您在重啟時刪除它。這樣做,看看它是否再次出現。如果是,則必須在啟動時啟動導致該程序發生的程序,並重新檢查在啟動時運行的程序列表。

恢復後該怎麼辦

現在應該安全(希望)啟動到您(之前)受感染的系統。儘管如此,請留意您的感染跡象。病毒可以在計算機上留下更改,即使在病毒被刪除後也可以更容易地重新感染病毒。

例如,如果病毒更改了DNS或代理設置,您的計算機會將您重定向到合法網站的虛假版本,因此下載似乎是一個眾所周知且受信任的程序實際上可能正在下載病毒。

他們還可以通過將您重定向到虛假的銀行帳戶網站或虛假的電子郵件網站來獲取您的密碼。請務必檢查您的DNS和代理設置。在大多數情況下,您的DNS應由ISP提供或由DHCP自動獲取。應禁用您的代理設置。

檢查你的 hosts 檔案(\%systemroot%\system32\drivers\etc\hosts)對於任何可疑的條目並立即刪除它們。還要確保您的防火牆已啟用,並且您擁有所有最新的Windows更新。

接下來,使用良好的防病毒軟件保護您的系統,並使用反惡意軟件產品進行補充。 微軟安全必備 經常被推薦 以及其他產品

如果一切都失敗怎麼辦

應該注意的是,某些惡意軟件非常擅長避免使用掃描儀。一旦感染了它,就可以安裝它 的rootkit 或類似的保持隱形。如果事情真的很糟糕,唯一的選擇是擦除磁盤並從頭開始重新安裝操作系統。有時掃描使用 GMER 或卡巴斯基的 TDSS殺手 如果你有rootkit可以告訴你。

您可能想要進行一些Spybot搜索和銷毀。如果在三次運行後它無法消除侵擾(並且您無法手動執行),請考慮重新安裝。

另一個建議是: ComboFix是 是一個非常強大的刪除工具,當rootkits阻止其他東西運行或安裝。

使用多個掃描引擎當然可以幫助找到最隱藏的惡意軟件,但這是一項艱鉅的任務,良好的備份/恢復策略將更加高效和安全。


獎金:有一個有趣的視頻系列開頭,“了解和對抗惡意軟件:病毒,間諜軟件“ 與Sysinternals ProcessExplorer和Autoruns的創建者Mark Russinovich討論惡意軟件清理問題。


198



擦除驅動器通常是最快和最安全的路線,因為在整個網站上建議作為“最佳答案” - Ivo Flipse♦
根據我的經驗,我不相信spybot是我的第一選擇。根據AV-comparative,Avira,卡巴斯基病毒清除工具和AVG是不錯的自由選擇 av-comparatives.org &AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/... - fluxtendu
一個建議是許多惡意軟件程序 做 竊取密碼和銀行數據,因此一旦你懷疑感染就斷開互聯網並不是一個壞主意。這可能為時已晚,但您可能會限制數據洩漏,或者防止惡意軟件自行更新,直到您成功清理為止。 - emgee
@emgee關於數據洩露的經驗法則:如有疑問,請將其拔出(以太網插頭) - Nate Koppenhaver
Combofix.org不是Combofix的官方下載位置,未經Combofix的作者授權或推薦。官方下載是 這裡。 - Andrew Lambert


傑夫阿特伍德有一些很棒的惡意軟件戰鬥技巧 “如何清理Windows間諜軟件感染”。這是基本過程(請務必閱讀博客文章,了解此摘要所掩蓋的屏幕截圖和其他詳細信息):

  1. 停止當前運行的任何間諜軟件。 Windows內置的任務管理器不會削減它;得到 Sysinternals Process Explorer
    1. 運行Process Explorer。
    2. 按公司名稱對流程列表進行排序。
    3. 殺死任何沒有公司名稱(不包括DPC,中斷,系統和系統空閒流程)或具有您無法識別的公司名稱的流程。
  2. 停止間諜軟件在下次啟動系統時重新啟動。同樣,Windows的內置工具MSconfig是一個部分解決方案,但是 Sysinternals AutoRuns 是使用的工具。
    1. 運行AutoRuns。
    2. 瀏覽整個列表。取消選中可疑條目 - 具有空白髮布者名稱或您無法識別的任何發布者名稱的條目。
  3. 現在重啟。
  4. 重新啟動後,使用Process Explorer和AutoRuns重新檢查。如果某些東西“回歸”,你將不得不深入挖掘。
    • 在Jeff的例子中,回來的一件事是AutoRuns中的可疑驅動程序條目。他通過跟踪在Process Explorer中加載它的過程,關閉句柄,並物理刪除流氓驅動程序來進行討論。
    • 他還發現了一個奇怪命名的DLL文件掛鉤到Winlogon進程,並演示查找並殺死加載該DLL的進程線程,以便AutoRuns最終可以刪除條目。

86



此外,趨勢科技 HijackThis的 是一個免費的實用程序,可以從您的計算機生成註冊表和文件設置的深入報告。我會警告這找到好的和壞的東西,並沒有區別,但如果我們懷疑,谷歌是我們的朋友。 - Umber Ferrule
Sysinternals Process Explorer鏈接已死亡。這些答案都在谷歌的一些調查結果中。有人可以用更新的鏈接更新嗎?我也在尋找它。 - Malavos
Autoruns非常棒,但依賴發布者的建議可能沒用。此stackoverflow問題顯示如何輕鬆修改版本信息(因此欺騙)[stackoverflow.com/questions/284258/...。我在Java DLL上嘗試了這個,Autoruns向發布者顯示錯誤。 - AlainD
您的系統管理員自動運行鏈接已損壞 - Daniel


我刪除惡意軟件的方式是有效的,我從未見過它失敗:

  1. 下載 自動運行 如果您仍然運行32位下載rootkit掃描程序。
  2. 如果可以,啟動進入安全模式並啟動自動運行,然後轉到步驟5。
  3. 如果無法進入安全模式,請將磁盤連接到另一台計算機。
  4. 在該計算機上啟動Autoruns,轉到文件 - >分析脫機系統並填寫。
  5. 等待掃描完成。
  6. 在“選項”菜單中,選擇所有內容。
  7. 按F5再次掃描。事情被緩存後,這將很快。
  8. 瀏覽列表並取消選中任何有疑問或沒有經過驗證的公司的內容。
  9. 可選的: 運行rootkit掃描程序。
  10. 讓頂級病毒掃描程序刪除任何遺留的文件。
  11. 可選的: 運行反惡意軟件和反間諜軟件掃描程序以擺脫垃圾。
  12. 可選的: 運行像HijackThis / OTL / ComboFix這樣的工具來擺脫垃圾。
  13. 重新啟動並享受您的清潔系統。
  14. 可選的: 再次運行rootkit掃描程序。
  15. 確保您的計算機受到足夠的保護!

一些評論:

  • Autoruns是由Microsoft編寫的,因此顯示了自動啟動的任何事物的位置......
  • 從Autoruns取消選中軟件後,它將無法啟動,無法阻止您將其刪除...
  • 64位操作系統不存在rootkit,因為它們需要簽名...

它是有效的,因為它將禁用惡意軟件/間諜軟件/病毒啟動,
您可以自由運行可選工具來清除系統上遺留的任何垃圾。


49





按照下面給出的順序對您的PC進行消毒

  1. 在未受感染的PC上,製作啟動AV光盤,然後從受感染PC上的光盤啟動並掃描硬盤驅動器,刪除它發現的任何感染。我更喜歡 Windows Defender脫機 啟動CD / USB,因為它可以刪除引導扇區病毒,請參閱下面的“注意”。

    或者,你可以嘗試一些 其他AV Boot光盤

  2. 使用引導光盤掃描並刪除惡意軟件後,請立即安裝 MBAM,運行程序並轉到“更新”選項卡並更新它,然後轉到“掃描儀”選項卡并快速掃描,選擇並刪除它找到的任何內容。

  3. 當MBAM完成安裝 SAS 免費版,運行快速掃描,刪除它自動選擇的內容。

  4. 如果Windows系統文件被感染 您可能需要運行SFC 替換文件, 你可能必須離線這樣做 如果由於刪除了受感染的系統文件而無法啟動。我建議您在刪除任何感染後運行SFC。

  5. 在某些情況下,您可能需要 運行啟動修復 (僅限Windows Vista和Windows7)以使其再次正常啟動。在極端情況下,可能需要連續3次啟動維修。

MBAM和SAS不是像Norton這樣的AV軟件,它們是按需掃描儀,只在您運行程序時掃描惡意軟件並且不會干擾您安裝的AV,這些可以每天或每週運行一次以確保您沒有被感染。請務必在每週每週掃描之前更新它們。

注意:Windows Defender Offline產品非常適合刪除 持續的MBR感染 這些日子很常見。

對於高級用戶:

如果你有一個代表自己的軟件感染,即“系統修復”“AV安全2012”等, 請參閱此頁面了解特定的刪除指南


44



擁有專門用於病毒掃描的第二台PC可能是最好的解決方案,因為您不依賴於系統的受感染驅動器。然而,除了計算機支持公司,我懷疑很多人都有這樣的解決方案。 - Gnoupi
如果沒有可用的專用PC,則可以通過使用Live CD引導系統來執行類似的過程 - Ophir Yoktan
@Ophir:Live CD? - Fahad Uddin
例如: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
就像一張紙條一樣 Microsoft獨立系統清理程序 只是 舊名 Windows Defender脫機,以防有人發現。 - Scott Chamberlain


如果您發現任何症狀,那麼要檢查的一件事是網絡連接上的DNS設置。

如果這些已經從“自動獲取DNS服務器地址”或者應該更改為不同的服務器,那麼這是一個感染的好跡象。這將導致重定向遠離反惡意軟件站點,或完全無法訪問該站點。

在感染髮生之前記下您的DNS設置可能是個好主意,這樣您就知道它們應該是什麼。此外,詳細信息將在ISP網站的幫助頁面上提供。

如果您沒有DNS服務器的註釋並且無法在ISP站點上找到信息,那麼使用Google DNS服務器是一個不錯的選擇。對於主服務器和輔助服務器,它們的分別為8.8.8.8和8.8.4.4。

重置DNS無法解決問題,它將允許您a)到達反惡意軟件站點以獲取清理PC所需的軟件,以及b)發現感染是否會再次發生,因為DNS設置將再次發生變化。


36





病毒感染的可能解決方案依次為:(1)防病毒掃描,(2)系統修復,(3)完全重新安裝。

首先確保備份所有數據。

加載並安裝一些防病毒軟件,確保它們是最新的,並深入掃描您的硬盤。我建議至少使用 Malwarebytes的反惡意軟件。我也喜歡Avast。

如果由於任何原因無效,您可以使用救援實時CD病毒掃描程序:我最喜歡 Avira AntiVir救援系統 因為它每天都會更新幾次,因此下載CD是最新的。作為啟動CD,它是自治的,並且無法使用Windows系統。

如果未找到病毒,請使用“sfc / scannow”來修復重要的Windows文件。
看到這個 文章

如果這也不起作用,你應該這樣做 執行修復安裝

如果無效,則應格式化硬盤並重新安裝Windows。


31



當感染了最近的病毒/木馬時,我在USB記憶棒上使用了Knoppix,運行了apt-get wine,在我的葡萄酒會話中安裝了Web Cure-It博士,並運行它來清理我的感染。我不得不這樣做,因為我的筆記本電腦無法啟動其他一些live-CD替代品。 - PP.


有各種各樣的惡意軟件。找到和刪除其中一些是微不足道的。其中一些比較棘手。其中一些很難找到,很難刪除。

但即使您有輕微的惡意軟件,也應該強烈考慮重新格式化並重新安裝操作系統。這是因為您的安全性已經失敗,如果一個簡單的惡意軟件失敗,您可能已經感染了惡意軟件。

使用敏感數據或內部敏感數據的網絡的人應該強烈考慮擦除和重新安裝。時間有價值的人應該強烈考慮擦除和重新安裝(這是最快,最簡單和最可靠的方法)。對高級工具不熟悉的人應該強烈考慮擦除和重新安裝。

但是那些有時間並且喜歡周圍環境的人可以嘗試其他帖子中列出的方法。


31



正確。這個東西旨在解決安全和清潔以及平凡的操作系統使用問題。不要參加軍備競賽。零容忍是唯一的政策。 - XTL


勒索

一種更新,特別可怕的惡意軟件形式 勒索軟件。這種程序通常隨特洛伊木馬(例如電子郵件附件)或瀏覽器漏洞一起提供,通過您的計算機文件,加密它們(使它們完全無法識別和無法使用),並要求贖金將它們返回到可用狀態州。

勒索軟件通常使用 非對稱密鑰密碼學,這涉及兩個鍵: 公鑰 和 私鑰。當您遇到勒索軟件時,計算機上運行的惡意程序會連接到壞人的服務器(命令和控制,或C&C),後者會生成兩個密鑰。它只會將公鑰發送到您計算機上的惡意軟件,因為這就是加密文件所需的全部內容。不幸的是,這些文件只能用私鑰解密,如果勒索軟件寫得很好,私鑰就永遠不會進入你的計算機內存。壞人通常表示,如果你付錢,他們會給你私鑰(從而讓你解密你的文件),但當然你必須相信他們這樣做。

你可以做什麼

最好的選擇是重新安裝操作系統(刪除每一個惡意軟件的痕跡)並從之前的備份中恢復您的個人文件。如果您現在沒有備份,這將更具挑戰性。養成備份重要文件的習慣。

支付可能會讓你恢復你的文件,但是 請不要。這樣做可以支持他們的商業模式此外,我說“可能讓你恢復”,因為我知道至少有兩個版本寫得太差,以至於它們無法挽回你的檔案;甚至相應的解密程序實際上也不起作用。

備擇方案

幸運的是,還有第三種選擇。許多勒索軟件開發人員犯了錯誤,讓優秀的安全專業人員開發出可以消除損害的流程。這樣做的過程完全取決於勒索軟件的壓力,並且該列表不斷變化。一些很棒的人聚在一起 一系列勒索軟件變種,包括應用於鎖定文件的擴展名和勒索音符名稱,可以幫助您識別您擁有的版本。對於相當多的菌株,該列表還有一個免費解密器的鏈接!按照相應的說明(鏈接在Decryptor列中)來恢復文件。 在你開始之前,使用此問題的其他答案,以確保從您的計算機中刪除勒索軟件程序。

如果您無法僅通過擴展名和贖金票據名稱來識別您所遇到的內容,請嘗試在互聯網上搜索贖金票據中的一些獨特短語。拼寫或語法錯誤通常是相當獨特的,你可能會遇到一個識別勒索軟件的論壇帖子。

如果您的版本尚未知曉,或者沒有解密文件的免費方式,請不要放棄希望!安全研究人員正致力於撤銷勒索軟件,執法部門正在尋求開發人員。解密器最終可能會出現。如果贖金是有時間限制的,那麼可以想像,在開發修復程序時,您的文件仍然可以恢復。即使沒有,除非你絕對必須,否則請不要付錢。在您等待的同時,請確保您的計算機沒有惡意軟件,再次使用此問題的其他答案。考慮備份文件的加密版本,以確保它們安全,直到修復程序發布。

一旦你盡可能地恢復(並將其備份到外部媒體!),強烈考慮從頭開始安裝操作系統。同樣,這將徹底摧毀任何深入系統內部的惡意軟件。

其他特定於變體的提示

一些尚未出現在大型電子表格中的勒索軟件變體特定提示:

  • 如果 解密工具 對於 LeChiffre 如果不起作用,您可以使用十六進制編輯器恢復除了每個文件數據的第一個和最後一個8KB之外的所有數據。跳轉到地址0x2000並複制除最後0x2000字節以外的所有字節。小文件將完全破壞,但有些擺弄你可能會從大文件中得到一些幫助。
  • 如果你被擊中了 WannaCrypt 並且你正在運行Windows XP,自感染以來沒有重新啟動,並且很幸運,你可能能夠提取私鑰 Wannakey
  • BitDefender的 有許多免費工具可幫助識別變體並解密某些特定變體。
  • (其他人將在發現時添加)

結論

勒索軟件是令人討厭的,可悲的現實是它並不總是可以從中恢復。為了讓自己在未來安全:

  • 使您的操作系統,Web瀏覽器和防病毒軟件保持最新
  • 不要打開您不期望的電子郵件附件,特別是如果您不了解發件人
  • 避免粗略的網站(即那些具有非法或道德可疑內容的網站)
  • 確保您的帳戶只能訪問您個人需要使用的文檔
  • 一直有 工作備份 在外部媒體上(未連接到您的計算機)!

29



現在有一些程序可以保護你免受勒索軟件攻擊,例如: winpatrol.com/WinAntiRansom (商業計劃)。我從來沒有使用過這個,因為我已不再使用Windows了,但該公司的WinPatrol產品是我多年來使用的產品並經常推薦。一些防病毒開發人員可以使用反勒索軟件工具,有時作為更高成本的選擇。 - fixer1234
有關刪除Petya勒索軟件的具體信息,請參閱此問題和答案: superuser.com/questions/1063695/... - fixer1234
我在結論的建議列表中添加了另一件事:避免訪問宣傳非法或不道德行為的網站,例如媒體和軟件盜版;在世界大部分地區被禁止的內容;這些網站經常與合同 最小 信譽良好的廣告供應商,他們根本無法過濾其“廣告”的內容,這使得犯罪分子可以輕鬆地向您的網頁註入提供惡意軟件的內容或嘗試利用您的瀏覽器訪問您的系統。有時甚至一個好的廣告攔截器也會錯過這些東西。 - Horn OK Please
@allquicatic我在那個靜脈中添加了一個子彈點。如果有任何其他問題可以擴展,請告訴我。謝謝! - Ben N