Jak mogę usunąć złośliwe oprogramowanie szpiegujące, złośliwe oprogramowanie, oprogramowanie reklamowe, wirusy, trojany lub rootkity z mojego komputera?

448

Co powinienem zrobić, jeśli mój komputer z systemem Windows wydaje się być zainfekowany wirusem lub złośliwym oprogramowaniem?

  • Jakie są objawy infekcji?
  • Co powinienem zrobić po zauważeniu infekcji?
  • Co mogę zrobić, aby się go pozbyć?
  • jak zapobiec infekcji złośliwym oprogramowaniem?

To pytanie pojawia się często, a sugerowane rozwiązania są zwykle takie same. Ta wiki społeczności jest próbą podania ostatecznej, jak najbardziej wyczerpującej odpowiedzi.

Dodawaj swoje wpisy poprzez edycje.

Gnoupi
źródło
72
Jedną rzeczą zdecydowanie NIE do zrobienia jest zainstalowanie któregokolwiek z narzędzi „anty-malware”, do których zachęca cię, gdy przejdziesz na stronę internetową z informacją „Twój komputer jest zainfekowany wirusem!” Są prawie na pewno same szkodliwe oprogramowanie. Musisz używać tylko sprawdzonych narzędzi - (prawdopodobnie) wymienionych poniżej lub w innej zaufanej witrynie.
Daniel R Hicks
@Gnoupi Ten artykuł może być interesujący maketecheasier.com/…
Simon
24
Dla każdego, kto właśnie przyjdzie na to pytanie, chcąc wersji tl; dr ... Po zainfekowaniu nie ma mowy (cóż ... nie ma mowy, że nie wymaga się już bycia inżynierem komputerowym i inwestowania kilku lat życia) do wykonania cyfrowej sekcji zwłok na maszynie), aby pozbyć się / upewnić się, że pozbyłeś się infekcji. Złośliwe oprogramowanie może ukrywać się w twoich plikach, aplikacjach, systemach operacyjnych, oprogramowaniu układowym ... Dlatego nigdy nie powinieneś ufać komputerowi, który został zainfekowany. Dostawcy AV będą próbować przekonać Cię, że ich produkt to srebrna kula, która naprawi Twój system. Oni kłamią.
Parthian Shot
@DanielRHicks w niektórych przypadkach prowadzą do uzyskania legalnego produktu AV. Ostatni raz widziałem to na Androidzie z irytującą „wbudowaną funkcją obsługi reklam” (paski reklam pojawiające się na dole aplikacji i stron internetowych). Na przykład właśnie wybrałem „usuń wirusa!” Reklama i wylądowałem w sklepie Google Play na stronie 360 Security - Antivirus Boost apps.
David Balažic
Jeśli weźmiemy pod uwagę możliwość korzystania z wirtualnych rootkitów i rootkitów oprogramowania układowego, możemy prawie powiedzieć: jesteś bez kości. Te dwa rodzaje rootkitów są zapisywane w obszarach komputera, których nie można wyczyścić. Jeśli chcesz się ich pozbyć, musisz kupić nowy komputer. Firmware Rootkity są rzadkie, a Virtual Rootkity jeszcze nie istnieją, ale nadal: Istnienie tych dwóch Rootkitów dowodzi, że nie ma w 100% działającego, uniwersalnego rozwiązania, które utrzyma twoje złośliwe oprogramowanie na komputerze przez całą wieczność i nie tylko. Jako Niemiec przygotowałbym go do „Eierlegende Wollmilchsau”
BlueWizard

Odpowiedzi:

274

Oto rzecz: złośliwe oprogramowanie w ostatnich latach stało się bardziej podstępne i nieprzyjemne :

Sneakier , nie tylko dlatego, że lepiej ukrywa się za pomocą rootkitów lub hacków EEPROM, ale także dlatego, że podróżuje w paczkach. Subtelne złośliwe oprogramowanie może kryć się za bardziej oczywistymi infekcjami. Istnieje wiele dobrych narzędzi wymienionych w odpowiedziach tutaj, które mogą znaleźć 99% złośliwego oprogramowania, ale zawsze jest 1%, którego nie mogą jeszcze znaleźć. Przeważnie ten 1% to coś nowego : narzędzia do złośliwego oprogramowania nie mogą go znaleźć, ponieważ właśnie się ujawniły i wykorzystują nowy exploit lub technikę do ukrywania się, o których narzędzia jeszcze nie wiedzą.

Złośliwe oprogramowanie ma również krótki okres trwałości. Jeśli jesteś zarażony, bardzo prawdopodobne jest, że coś z tego nowego 1% będzie jedną z części twojej infekcji. To nie będzie cała infekcja: tylko jej część. Narzędzia bezpieczeństwa pomogą Ci znaleźć i usunąć bardziej oczywiste i znane złośliwe oprogramowanie, a najprawdopodobniej usuną wszystkie widoczne objawy (ponieważ możesz kopać, dopóki nie zajdziesz tak daleko), ale mogą pozostawić małe kawałki, jak keylogger lub rootkit chowający się za nowym exploitem, którego narzędzie bezpieczeństwa jeszcze nie wie, jak to sprawdzić. Narzędzia anty-malware nadal mają swoje miejsce, ale przejdę do tego później.

Co gorsza , nie będzie już wyświetlać reklam, instalować paska narzędzi ani używać komputera jako zombie. Nowoczesne złośliwe oprogramowanie prawdopodobnie trafi do informacji bankowych lub kart kredytowych. Ludzie budujący te rzeczy nie są już tylko dzieciakami-scenariuszami szukającymi sławy; są teraz zorganizowanymi profesjonalistami motywowanymi zyskiem , a jeśli nie mogą ukraść ci bezpośrednio, będą szukać czegoś, co mogliby zawrócić i sprzedać. Może to być przetwarzanie lub zasoby sieciowe na twoim komputerze, ale może to być również Twój numer ubezpieczenia społecznego lub szyfrowanie plików i przetrzymywanie ich na okup.

Połącz te dwa czynniki i nie warto już nawet próbować usuwać złośliwego oprogramowania z zainstalowanego systemu operacyjnego . Byłem bardzo dobry w usuwaniu tych rzeczy, do tego stopnia, że ​​w ten sposób zarabiałem na życie i nawet nie próbowałem. Nie twierdzę, że nie da się tego zrobić, ale twierdzę, że wyniki analizy kosztów i korzyści oraz analizy ryzyka uległy zmianie: po prostu nie warto. Stawką jest zbyt wiele i zbyt łatwo jest uzyskać wyniki, które wydają się skuteczne.

Wiele osób nie zgadza się ze mną w tej sprawie, ale wzywam, że nie dość mocno ważą konsekwencje niepowodzenia. Czy chcesz postawić na swoje oszczędności życiowe, swój dobry kredyt, a nawet swoją tożsamość, że jesteś w tym lepszy niż oszuści, którzy zarabiają miliony każdego dnia? Jeśli spróbujesz usunąć złośliwe oprogramowanie, a następnie kontynuować działanie starego systemu, właśnie to robisz.

Wiem, że są ludzie czytający to myślenie: „Hej, usunąłem kilka infekcji z różnych maszyn i nic złego się nie wydarzyło”. Ja też, przyjacielu. Ja też. W poprzednich dniach wyczyściłem swój udział w zainfekowanych systemach. Niemniej jednak sugeruję, że musimy teraz dodać „jeszcze” na końcu tego oświadczenia. Możesz być w 99% skuteczny, ale musisz się mylić tylko raz, a konsekwencje niepowodzenia są znacznie wyższe niż kiedyś; koszt jednej awarii może łatwo przewyższyć wszystkie pozostałe sukcesy. Być może masz już maszynę, która wciąż ma wewnątrz tykającą bombę zegarową, tylko czekającą na aktywację lub zebranie odpowiednich informacji przed zgłoszeniem. Nawet jeśli masz teraz w 100% skuteczny proces, te rzeczy cały czas się zmieniają. Pamiętaj: za każdym razem musisz być doskonały;

Podsumowując, jest to niefortunne, ale jeśli masz potwierdzoną infekcję złośliwym oprogramowaniem, całkowite ponowne ułożenie komputera powinno być pierwszym miejscem, w którym się obracasz, a nie ostatnim.


Oto jak to zrobić:

Przed zainfekowaniem upewnij się, że masz możliwość ponownej instalacji zakupionego oprogramowania, w tym systemu operacyjnego, który nie zależy od niczego przechowywanego na wewnętrznym dysku twardym. W tym celu zwykle oznacza to po prostu zawieszenie się na dyskach CD / DVD lub kluczach produktu, ale system operacyjny może wymagać samodzielnego utworzenia dysków do odzyskiwania. 1 Nie polegaj na partycji odzyskiwania. Jeśli poczekasz do momentu infekcji, aby upewnić się, że musisz ponownie zainstalować, możesz ponownie zapłacić za to samo oprogramowanie. Wraz z pojawieniem się oprogramowania ransomware niezwykle ważne jest również regularne tworzenie kopii zapasowych danych (a także, jak wiadomo, regularne nieszkodliwe rzeczy, takie jak awaria dysku twardego).

Jeśli podejrzewasz, że masz złośliwe oprogramowanie , sprawdź inne odpowiedzi tutaj. Sugeruje się wiele dobrych narzędzi. Moim jedynym problemem jest najlepszy sposób ich użycia: polegam tylko na nich w celu wykrycia. Zainstaluj i uruchom narzędzie, ale gdy tylko znajdzie dowody prawdziwej infekcji (nie tylko „śledzące pliki cookie”), po prostu zatrzymaj skanowanie: narzędzie wykonało swoją pracę i potwierdziło twoją infekcję. 2)

W momencie potwierdzonej infekcji wykonaj następujące czynności:

  1. Sprawdź swoje konta kredytowe i bankowe. Zanim dowiesz się o infekcji, prawdziwe szkody mogły już zostać wyrządzone. Podejmij wszelkie niezbędne kroki, aby zabezpieczyć swoje karty, konto bankowe i tożsamość.
  2. Zmień hasła w dowolnej witrynie internetowej, do której uzyskano dostęp z zainfekowanego komputera. Nie używaj zainfekowanego komputera do wykonywania tych czynności.
  3. Zrób kopię zapasową swoich danych (nawet lepiej, jeśli już ją masz).
  4. Ponownie zainstaluj system operacyjny, używając oryginalnych nośników uzyskanych bezpośrednio od wydawcy systemu operacyjnego. Upewnij się, że ponowna instalacja obejmuje pełne ponowne sformatowanie dysku; operacja przywracania lub odzyskiwania systemu nie wystarczy.
  5. Ponownie zainstaluj swoje aplikacje.
  6. Upewnij się, że Twój system operacyjny i oprogramowanie są w pełni poprawione i aktualne.
  7. Uruchom pełne skanowanie antywirusowe, aby wyczyścić kopię zapasową od kroku drugiego.
  8. Przywróć kopię zapasową.

Jeśli zostanie to wykonane prawidłowo, może to zająć od dwóch do sześciu rzeczywistych godzin, rozłożonych na dwa do trzech dni (lub nawet dłużej) podczas oczekiwania na zainstalowanie aplikacji, pobranie aktualizacji systemu Windows lub dużych plików kopii zapasowej do transferu ... ale to lepsze niż później dowiedzieć się, że oszuści opróżnili twoje konto bankowe. Niestety, jest to coś, co powinieneś zrobić sam lub poprosić o pomoc znajomego technika. Przy typowej stawce doradczej wynoszącej około 100 USD / godz. Zakup nowej maszyny może być tańszy niż opłacenie sklepu. Jeśli masz przyjaciela, zrób to dla siebie, zrób coś miłego, aby okazać uznanie. Nawet maniacy, którzy uwielbiają pomagać w konfigurowaniu nowych rzeczy lub naprawianiu uszkodzonego sprzętu, często nienawidząnuda prac porządkowych. Najlepiej jest też, jeśli weźmiesz własną kopię zapasową ... Twoi znajomi nie będą wiedzieć, gdzie umieścić, które pliki lub które są dla Ciebie naprawdę ważne. Jesteś w lepszej pozycji, aby zrobić dobrą kopię zapasową niż oni.

Wkrótce nawet to wszystko może nie wystarczyć, ponieważ obecnie istnieje złośliwe oprogramowanie zdolne do infekowania oprogramowania układowego. Nawet wymiana dysku twardego może nie usunąć infekcji, a zakup nowego komputera będzie jedyną opcją. Na szczęście w chwili, gdy to piszę, nie jesteśmy jeszcze w tym momencie, ale zdecydowanie jest na horyzoncie i zbliża się szybko.


Jeśli bezwzględnie nalegasz, ponad wszelką wątpliwość, że naprawdę chcesz wyczyścić istniejącą instalację, a nie zaczynać od nowa, to na miłość boską upewnij się, że każda metoda, której używasz, obejmuje jedną z następujących dwóch procedur:

  • Wyjmij dysk twardy i podłącz go jako dysk gościa na innym (czystym!) Komputerze, aby uruchomić skanowanie.

LUB

  • Uruchamianie z klucza CD / USB z własnym zestawem narzędzi uruchamiających własne jądro. Upewnij się, że obraz jest uzyskany i nagrany na czystym komputerze. Jeśli to konieczne, poproś znajomego, aby zrobił dla ciebie dysk.

W żadnym wypadku nie należy próbować wyczyścić zainfekowanego systemu operacyjnego za pomocą oprogramowania działającego jako proces gościa w zainfekowanym systemie operacyjnym. To po prostu głupie.


Oczywiście najlepszym sposobem na usunięcie infekcji jest jej uniknięcie, a są pewne rzeczy, które możesz w tym pomóc:

  1. Popraw swój system. Upewnij się, że niezwłocznie instalujesz Aktualizacje Windows, Aktualizacje Adobe, Aktualizacje Java, Aktualizacje Apple itp. Jest to o wiele ważniejsze nawet niż oprogramowanie antywirusowe, i w większości przypadków nie jest tak trudne, o ile utrzymujesz aktualność. Większość z tych firm nieformalnie zdecydowała się na wszystkie nowe łatki tego samego dnia każdego miesiąca, więc jeśli będziesz na bieżąco, nie przeszkadza to tak często. Przerwy w Windows Update zwykle występują tylko wtedy, gdy ignorujesz je zbyt długo. Jeśli zdarza ci się to często, musisz zmienić swoje zachowanie. Są to ważne i nie jest w porządku ciągłe wybieranie opcji „zainstaluj później”, nawet jeśli w tej chwili jest to łatwiejsze.
  2. Nie uruchamiaj domyślnie jako administrator. W najnowszych wersjach systemu Windows jest to tak proste, jak pozostawienie włączonej funkcji UAC.
  3. Użyj dobrego narzędzia zapory. Obecnie domyślna zapora ogniowa w systemie Windows jest wystarczająco dobra. Możesz uzupełnić tę warstwę o coś takiego jak WinPatrol, który pomaga zatrzymać złośliwą aktywność na interfejsie. Program Windows Defender działa również w tym zakresie. Podstawowe wtyczki przeglądarki Ad-Blocker stają się coraz bardziej przydatne na tym poziomie jako narzędzie bezpieczeństwa.
  4. Ustaw większość wtyczek do przeglądarek (zwłaszcza Flash i Java) na „Pytaj o aktywację”.
  5. Uruchom bieżące oprogramowanie antywirusowe. Jest to piąta od pozostałych opcji, ponieważ tradycyjne oprogramowanie A / V często po prostu nie jest już tak skuteczne. Ważne jest również podkreślenie „prądu”. Możesz mieć najlepsze oprogramowanie antywirusowe na świecie, ale jeśli nie jest aktualne, równie dobrze możesz je odinstalować.

    Z tego powodu obecnie polecam Microsoft Security Essentials. (Od Windows 8 Microsoft Security Essentials jest częścią Windows Defender.) Prawdopodobnie istnieją znacznie lepsze silniki skanowania, ale Security Essentials będzie się aktualizować, nie ryzykując wygasłej rejestracji. AVG i Avast również działają w ten sposób. Po prostu nie mogę polecić żadnego oprogramowania antywirusowego, za które trzeba płacić, ponieważ zbyt często zdarza się, że płatna subskrypcja wygasa i kończy się nieaktualna definicja.

    Warto również zauważyć, że użytkownicy komputerów Mac muszą teraz również uruchamiać oprogramowanie antywirusowe. Dawno minęły czasy, kiedy mogli uciec bez niego. Na marginesie, myślę, że to zabawne, muszę teraz polecić użytkownikom komputerów Mac zakup oprogramowania antywirusowego, ale odradzam użytkownikom Windowsa to.

  6. Unikaj stron z torrentami, oprogramowania, pirackiego oprogramowania i pirackich filmów / filmów. Te rzeczy są często wstrzykiwane przez złośliwe oprogramowanie przez osobę, która je złamała lub opublikowała - nie zawsze, ale wystarczająco często, aby uniknąć całego bałaganu. Jest to część tego, dlaczego cracker miałby to zrobić: często dostaną jakiekolwiek zyski.
  7. Podczas przeglądania Internetu używaj głowy. Jesteś najsłabszym ogniwem w łańcuchu bezpieczeństwa. Jeśli coś brzmi zbyt dobrze, aby mogło być prawdziwe, prawdopodobnie tak jest. Najbardziej oczywistym przyciskiem pobierania jest ten, którego nie chcesz już używać podczas pobierania nowego oprogramowania, więc zanim klikniesz ten link, przeczytaj i zrozum wszystko na stronie internetowej. Jeśli zobaczysz wyskakujące okienko lub usłyszysz komunikat dźwiękowy z prośbą o skontaktowanie się z Microsoftem lub zainstalowanie jakiegoś narzędzia bezpieczeństwa, jest to fałszywe.
    Wolisz także pobierać oprogramowanie i aktualizacje / uaktualnienia bezpośrednio od dostawcy lub dewelopera niż stron internetowych z hostingiem plików stron trzecich.

1 Microsoft publikuje teraz nośnik instalacyjny systemu Windows 10, dzięki czemu możesz legalnie pobierać i zapisywać na dyski flash o pojemności 8 GB lub większej za darmo. Nadal potrzebujesz ważnej licencji, ale nie potrzebujesz już osobnego dysku odzyskiwania dla podstawowego systemu operacyjnego.

2 To dobry moment, aby zauważyć, że nieco złagodziłem swoje podejście. Obecnie większość „infekcji” należy do kategorii PUP (potencjalnie niechcianych programów) i rozszerzeń przeglądarki zawartych w innych plikach do pobrania. Często te PUP / rozszerzenia można bezpiecznie usunąć tradycyjnymi metodami, a teraz są one wystarczająco dużym odsetkiem złośliwego oprogramowania, które mogę zatrzymać w tym momencie i po prostu wypróbować funkcję Dodaj / Usuń programy lub zwykłą opcję przeglądarki, aby usunąć rozszerzenie. Jednak przy pierwszej oznaki czegoś głębszego - jakakolwiek wskazówka, że ​​oprogramowanie nie tylko odinstaluje się normalnie - i powraca do ponownego zapisywania komputera.

Joel Coehoorn
źródło
5
Rzeczywiście wydaje się to najmądrzejsze. Dodam, że istnieje jeszcze jeden powód, dla którego niektóre złośliwe oprogramowanie jest podstępne: pozostaną one uśpione i będą używać twojego komputera do innych działań. Może to być proxy, przechowywanie rzeczy mniej lub bardziej nielegalnych lub być częścią ataku DDOS.
Gnoupi
2
@ ConradFrix Za wcześnie, aby powiedzieć ... Nie musiałem tego jeszcze robić na komputerze z systemem Windows 8 ... ale jestem pesymistą, ponieważ nie powoduje to ponownego sformatowania dysku. Windows 8 zawiera kilka ulepszeń bezpieczeństwa, w tym uruchamianie oprogramowania antywirusowego od 0 czasu jako część systemu operacyjnego, dzięki czemu mam nadzieję, że nigdy nie będę musiał tego robić w systemie Windows 8.
Joel Coehoorn
5
@DanielRHicks przeczytaj całe zdanie. To od dwóch do sześciu godzin twojego czasu, rozłożonych na dzień lub trzy, gdzie jesteś efektywny w kopaniu czegoś i sprawdzaniu później. Jeśli wszystko siedzisz, to tak: to zajmie trochę czasu.
Joel Coehoorn,
2
@JoelCoehoorn Czy to tylko ja, czy złośliwe oprogramowanie to zaawansowane zainfekowałoby również oprogramowanie układowe wszelkiego rodzaju komponentami, czyniąc wszelkie próby usunięcia bezskutecznymi?
Enis P. Aginić
3
Pamiętaj, że jeśli wykonasz kopię zapasową PO wykryciu infekcji, wysoce prawdopodobne jest, że sama kopia zapasowa zostanie zainfekowana. Przed przystąpieniem do przywracania wykonaj kopię zapasową.
Tejas Kale
201

Jak mogę sprawdzić, czy mój komputer jest zainfekowany?

Ogólne objawy szkodliwego oprogramowania mogą być dowolne. Zwykle są to:

  • Maszyna jest wolniejsza niż normalnie.
  • Przypadkowe awarie i rzeczy, które się zdarzają, gdy nie powinny (np. Niektóre nowe wirusy nakładają ograniczenia zasad grupy na twój komputer, aby uniemożliwić uruchomienie menedżera zadań lub innych programów diagnostycznych).
  • Menedżer zadań pokazuje wysoki procesor, gdy uważasz, że komputer powinien być bezczynny (np. <5%).
  • Reklamy pojawiają się losowo.
  • Ostrzeżenia o wirusach wyskakujące z antywirusa, którego nie pamiętasz (program antywirusowy jest fałszywy i próbuje twierdzić, że masz strasznie brzmiące wirusy o nazwach takich jak „bankpasswordstealer.vir”. Zachęcamy do zapłaty za ten program, aby je wyczyścić ).
  • Wyskakujące okienka / fałszywy niebieski ekran śmierci (BSOD) z prośbą o połączenie z numerem w celu usunięcia infekcji.
  • Strony internetowe przekierowane lub zablokowane, na przykład strony główne produktów AV lub witryny pomocy technicznej (www.symantec.com, www.avg.com, www.microsoft.com) są przekierowywane do witryn wypełnionych reklamami lub fałszywych witryn promujących fałszywe anty narzędzia do usuwania wirusów / „pomocne” lub są całkowicie zablokowane.
  • Wydłużony czas uruchamiania, gdy nie instalujesz żadnych aplikacji (ani łatek) ... Ta jest niezręczna.
  • Twoje pliki osobiste są zaszyfrowane i zobaczysz notatkę o okupie.
  • Coś nieoczekiwanego, jeśli „znasz” swój system, zazwyczaj wiesz, kiedy coś jest bardzo nie tak.

Jak się tego pozbyć?

Korzystanie z Live CD

Ponieważ skaner antywirusowy zainfekowanego komputera może zostać zainfekowany, prawdopodobnie bezpieczniej jest przeskanować dysk z Live CD. Dysk CD uruchomi na komputerze specjalistyczny system operacyjny, który następnie przeskanuje dysk twardy.

Istnieją na przykład Avira Antivir Rescue System lub ubcd4win . Więcej sugestii można znaleźć na DARMOWEJ liście rozruchowych ratunkowych płyt CD z programem antywirusowym, takich jak:

  • Kaspersky Rescue CD
  • Płyta ratunkowa BitDefender
  • F-Secure Rescue CD
  • Dysk ratunkowy Avira Antivir
  • Płyta CD Trinity Rescue Kit
  • Płyta ratunkowa AVG

Podłączanie dysku twardego do innego komputera

Jeśli podłączasz zainfekowany dysk twardy do czystego systemu w celu jego przeskanowania, upewnij się, że zaktualizowałeś definicje wirusów dla wszystkich produktów, których będziesz używać do skanowania zainfekowanego dysku. Poczekanie tygodnia, aż dostawcy oprogramowania antywirusowego opublikują nowe definicje wirusów, może zwiększyć szanse na wykrycie wszystkich wirusów.

Upewnij się, że zainfekowany system pozostaje odłączony od Internetu, gdy tylko go wykryjesz. Uniemożliwi to pobieranie nowych edycji wirusów (między innymi).

Zacznij od dobrego narzędzia, takiego jak Spybot Search and Destroy lub Malwarebytes 'Anti-Malware i wykonaj pełne skanowanie. Wypróbuj także ComboFix i SuperAntiSpyware . Żaden pojedynczy produkt antywirusowy nie będzie miał każdej definicji wirusa. Kluczem jest używanie wielu produktów ( nie ochrona w czasie rzeczywistym ). Jeśli w systemie pozostanie choćby jeden wirus, być może będzie on w stanie pobrać i zainstalować wszystkie najnowsze wersje nowych wirusów i do tej pory wysiłek byłby na nic.

Usuń podejrzane programy z rozruchu

  1. Uruchom w trybie awaryjnym.
  2. Służy msconfigdo określania, które programy i usługi mają być uruchamiane podczas rozruchu (lub uruchamiania w menedżerze zadań w systemie Windows 8).
  3. Jeśli istnieją podejrzane programy / usługi, usuń je z rozruchu. W przeciwnym razie przejdź do korzystania z płyty CD na żywo.
  4. Uruchom ponownie
  5. Jeśli objawy nie znikną i / lub program sam się zastąpi podczas uruchamiania, spróbuj użyć programu o nazwie Autoruns, aby znaleźć program i usunąć go stamtąd. Jeśli komputer nie może się uruchomić, Autoruns ma funkcję, dzięki której można go uruchomić z drugiego komputera o nazwie „Analizuj komputer offline”. Zwróć szczególną uwagę na zakładki Logoni Scheduled tasks.
  6. Jeśli nadal nie możesz usunąć programu i masz pewność, że jest to przyczyną problemów, uruchom system w trybie normalnym i zainstaluj narzędzie o nazwie Unlocker
  7. Przejdź do lokalizacji pliku, który jest tym wirusem, i spróbuj użyć programu odblokowującego, aby go zabić. Może się zdarzyć kilka rzeczy:
    1. Plik jest usuwany i nie pojawia się ponownie przy ponownym uruchomieniu. To jest najlepszy przypadek.
    2. Plik zostanie usunięty, ale natychmiast się ponownie pojawi. W takim przypadku użyj programu o nazwie Process Monitor, aby znaleźć program, który ponownie utworzył plik. Musisz także usunąć ten program.
    3. Pliku nie można usunąć, odblokowanie poprosi o usunięcie go przy ponownym uruchomieniu. Zrób to i sprawdź, czy pojawi się ponownie. Jeśli tak, musisz mieć program w trakcie rozruchu, który powoduje, że tak się dzieje, i ponownie sprawdź listę programów uruchamianych podczas rozruchu.

Co robić po przywróceniu

Teraz powinno być bezpieczne (mam nadzieję) uruchomienie systemu w (wcześniej) zainfekowanym systemie. Nadal miej oczy otwarte na oznaki infekcji. Wirus może pozostawić zmiany na komputerze, które ułatwiłyby ponowną infekcję nawet po jej usunięciu.

Na przykład, jeśli wirus zmieni ustawienia DNS lub proxy, komputer przekieruje cię do fałszywych wersji legalnych stron internetowych, tak że pobieranie tego, co wydaje się być dobrze znanym i zaufanym programem, może faktycznie ściągać wirusa.

Mogą również uzyskać Twoje hasła, przekierowując Cię na fałszywe strony kont bankowych lub fałszywe strony e-mail. Sprawdź ustawienia DNS i proxy. W większości przypadków twój DNS powinien być dostarczony przez twojego usługodawcę internetowego lub automatycznie uzyskany przez DHCP. Twoje ustawienia proxy powinny być wyłączone.

Sprawdź hostsplik ( \%systemroot%\system32\drivers\etc\hosts) pod kątem podejrzanych wpisów i usuń je natychmiast. Upewnij się również, że zapora jest włączona i że masz wszystkie najnowsze aktualizacje systemu Windows.

Następnie chroń swój system za pomocą dobrego programu antywirusowego i uzupełnij go o produkt antywirusowy. Microsoft Security Essentials jest często zalecany wraz z innymi produktami .

Co zrobić, jeśli wszystko zawiedzie

Należy zauważyć, że niektóre złośliwe oprogramowanie bardzo dobrze zapobiega skanerom. Możliwe, że po zainfekowaniu może zainstalować rootkity lub podobne programy, aby pozostać niewidocznym. Jeśli wszystko jest naprawdę złe, jedyną opcją jest wyczyszczenie dysku i ponowna instalacja systemu operacyjnego od zera. Czasami skanowanie przy użyciu GMER lub programu TDSS Killer firmy Kaspersky Lab może pokazać, czy masz rootkita.

Możesz wykonać kilka uruchomień Spybot Search and Destroy. Jeśli po trzech uruchomieniach nie będzie w stanie usunąć infekcji (a nie zrobisz tego ręcznie), rozważ ponowną instalację.

Inna sugestia: Combofix to bardzo potężne narzędzie do usuwania, gdy rootkity uniemożliwiają uruchomienie lub instalację innych rzeczy.

Korzystanie z wielu silników skanowania może z pewnością pomóc w znalezieniu złośliwego oprogramowania najlepiej ukrytego, ale jest to wybredne zadanie, a dobra strategia tworzenia kopii zapasowych / przywracania będzie bardziej wydajna i bezpieczna.


Premia: Istnieje ciekawa seria wideo rozpoczynająca się od „ Zrozumienie i zwalczanie złośliwego oprogramowania: wirusy, oprogramowanie szpiegujące” z udziałem Marka Russinowicza, twórcy Sysinternals ProcessExplorer & Autoruns, na temat usuwania złośliwego oprogramowania.

William Hilsum
źródło
74
Czyszczenie dysku jest często najszybszą i najbezpieczniejszą trasą, jak sugeruje się na tej stronie jako „najlepszą odpowiedź”
Ivo Flipse
1
Z mojego doświadczenia nie ufałbym spybotowi jako mojemu pierwszemu wyborowi. Avira, Kaspersky Virus Removal Tool i AVG są dobrym wolnym wyborem według AV-porównawczych av-comparatives.org i AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/…
fluxtendu
18
Jedną z propozycji jest to, że wiele z tych szkodliwych programów zrobić kradzieży haseł i danych bankowych, więc nie jest to zły pomysł, aby odłączyć się od Internetu po stają się podejrzane o zakażenie. Bardzo dobrze może być za późno, ale istnieje szansa, że ​​ograniczysz wycieki danych lub uniemożliwisz aktualizację złośliwego oprogramowania, dopóki nie uda Ci się wyczyścić.
emgee
4
@emgee Dobra reguła dotycząca ekstrakcji danych: w razie wątpliwości wyciągnij ją (wtyczka Ethernet)
Nate Koppenhaver
6
Combofix.org nie jest oficjalną lokalizacją pobierania Combofix i nie jest autoryzowana ani zalecana przez autora Combofix. Oficjalne pobieranie jest tutaj .
Andrew Lambert
87

Kilka świetnych wskazówek na temat walki ze złośliwym oprogramowaniem znajduje się w „Jak usunąć szkodliwe oprogramowanie Windows Spyware” Jeffa Atwooda . Oto podstawowy proces (koniecznie przeczytaj post na blogu, aby uzyskać zrzuty ekranu i inne szczegóły, nad którymi to podsumowanie się znajduje):

  1. Zatrzymaj aktualnie uruchomione oprogramowanie szpiegujące. Menedżer zadań wbudowany w system Windows nie chce go wyciąć; pobierz Sysinternals Process Explorer .
    1. Uruchom Process Explorer.
    2. Posortuj listę procesów według nazwy firmy.
    3. Zabij wszelkie procesy, które nie mają nazwy firmy (z wyjątkiem DPC, przerwań, procesów systemowych i bezczynności systemu) lub które mają nazwy firm, których nie rozpoznajesz.
  2. Zatrzymaj ponowne uruchamianie oprogramowania szpiegującego przy następnym uruchomieniu systemu. Ponownie, wbudowane narzędzie Windows, MSconfig, jest rozwiązaniem częściowym, ale Sysinternals AutoRuns jest narzędziem do użycia.
    1. Uruchom AutoRuns.
    2. Przejrzyj całą listę. Odznacz podejrzane wpisy - te z pustymi nazwami wydawców lub dowolnymi nazwami wydawców, których nie rozpoznajesz.
  3. Teraz uruchom ponownie.
  4. Po ponownym uruchomieniu sprawdź ponownie za pomocą Process Explorer i AutoRuns. Jeśli coś „wróci”, będziesz musiał kopać głębiej.
    • W przykładzie Jeffa jedną z rzeczy, które powróciły, był podejrzany wpis sterownika w AutoRuns. Opowiada o śledzeniu procesu, który załadował go do Process Explorera, zamykaniu uchwytu i fizycznym usuwaniu nieuczciwego sterownika.
    • Znalazł także plik DLL o dziwnej nazwie zaczepiający się w procesie Winlogon i demonstruje znajdowanie i zabijanie wątków procesu ładujących tę bibliotekę DLL, aby AutoRuns mógł w końcu usunąć wpisy.
quixote
źródło
3
Ponadto Trend Micro Hijack To bezpłatne narzędzie, które generuje szczegółowy raport rejestru i ustawień plików z twojego komputera. Ostrzegam, że znajdzie dobre i złe rzeczy i nie czyni rozróżnienia, ale Google jest naszym przyjacielem, jeśli jesteśmy podejrzliwi.
Umber Ferrule
2
Łącze Sysinternals Process Explorer jest martwe. Te odpowiedzi są na temat niektórych najważniejszych wyników Google. Czy ktoś może to zaktualizować za pomocą zaktualizowanego linku? Ja też tego szukam.
Malavos
Autoruns jest fantastyczny, ale sugestia polegania na Wydawcy może nie być przydatna. To pytanie stackoverflow pokazuje informacje o wersji można łatwo modyfikować (a więc sfałszowane) [ stackoverflow.com/questions/284258/... . Próbowałem tego na DLL Java i Autoruns nieprawidłowo pokazał wydawcy.
AlainD
Twój link do automatycznego uruchamiania systernali jest zepsuty
Daniel
50

Mój sposób usuwania złośliwego oprogramowania jest skuteczny i nigdy nie widziałem, aby zawiódł:

  1. Pobierz Autoruns, a jeśli nadal działa 32-bit, pobierz skaner rootkitów.
  2. Uruchom komputer w trybie awaryjnym i uruchom autouruchamianie, jeśli możesz, a następnie przejdź do kroku 5.
  3. Jeśli nie możesz przejść do trybu awaryjnego, podłącz dysk do innego komputera.
  4. Uruchom Autoruns na tym komputerze, przejdź do Plik -> Analizuj system offline i wypełnij go.
  5. Poczekaj na zakończenie skanowania.
  6. W menu Opcje wybierz wszystko.
  7. Niech skanuje ponownie, naciskając F5. To pójdzie szybko, jak rzeczy są buforowane.
  8. Przejrzyj listę i odznacz wszystko, co jest podejrzane lub nie ma zweryfikowanej firmy.
  9. Opcjonalnie: Uruchom skaner rootkitów.
  10. Pozwól, aby górny skaner antywirusowy usunął wszystkie pozostałe pliki.
  11. Opcjonalnie: uruchom skanery anty-malware i anty-spyware, aby pozbyć się śmieci.
  12. Opcjonalnie: uruchom narzędzia takie jak HijackThis / OTL / ComboFix, aby pozbyć się śmieci.
  13. Uruchom ponownie i ciesz się czystym systemem.
  14. Opcjonalnie: Uruchom ponownie skaner rootkitów.
  15. Upewnij się, że komputer jest wystarczająco chroniony!

Kilka uwag:

  • Autoruns jest napisany przez Microsoft i pokazuje wszystkie lokalizacje rzeczy, które automatycznie się uruchamiają ...
  • Gdy oprogramowanie zostanie odznaczone z Autoruns, nie uruchomi się i nie może uniemożliwić jego usunięcia ...
  • Nie istnieją rootkity dla 64-bitowych systemów operacyjnych, ponieważ trzeba by je podpisać ...

Jest skuteczny, ponieważ uniemożliwi uruchamianie złośliwego oprogramowania / programów szpiegujących / wirusów,
możesz uruchomić opcjonalne narzędzia, aby usunąć wszelkie śmieci pozostawione w systemie.

Tom Wijsman
źródło
Zainfekowałem 64-bitowy system Windows 7 wirusem, nie pozwalając na uruchamianie programów antywirusowych i narzędzi systemowych, a Autoruns nadal nie pomagał. Zrobiłem pytanie na ten temat. superuser.com/questions/1444463/… . Uważam, że narzędzie to powinno być uruchamiane podczas uruchamiania systemu, aby kontrolować zachowanie systemu operacyjnego.
WebComer
45

Postępuj zgodnie z kolejnością podaną poniżej, aby wyleczyć komputer

  1. Na komputerze, który nie jest zainfekowany, utwórz rozruchowy dysk AV, a następnie uruchom komputer z dysku na zainfekowanym komputerze i przeskanuj dysk twardy, usuwając wszelkie znalezione infekcje. Wolę rozruchowy dysk CD / USB systemu Windows Defender Offline, ponieważ może usuwać wirusy sektora rozruchowego, patrz „Uwaga” poniżej.

    Możesz też wypróbować inne dyski AV Boot .

  2. Po przeskanowaniu i usunięciu złośliwego oprogramowania za pomocą dysku rozruchowego zainstaluj bezpłatną MBAM , uruchom program i przejdź do karty Aktualizacja i zaktualizuj ją, a następnie przejdź do karty Skaner i wykonaj szybkie skanowanie, wybierz i usuń wszystko, co znajdzie.

  3. Po zakończeniu MBAM zainstaluj bezpłatną wersję SAS , uruchom szybkie skanowanie, usuń to, co automatycznie wybierze.

  4. Jeśli pliki systemowe Windows zostały zainfekowane , może być konieczne uruchomienie SFC w celu zastąpienia plików, może być konieczne zrobienie tego w trybie offline, jeśli nie uruchomi się z powodu usunięcia zainfekowanych plików systemowych. Polecam uruchomić SFC po usunięciu infekcji.

  5. W niektórych przypadkach może być konieczne uruchomienie naprawy uruchamiania (tylko Windows Vista i Windows7), aby ponownie uruchomić się poprawnie. W skrajnych przypadkach mogą być potrzebne 3 naprawy startowe z rzędu.

MBAM i SAS nie są oprogramowaniem typu AV, takim jak Norton, są skanerami na żądanie, które skanują tylko w poszukiwaniu złośliwych programów podczas uruchamiania programu i nie zakłócają zainstalowanego oprogramowania AV. Można je uruchamiać raz dziennie lub w tygodniu, aby zapewnić, że nie zostaniesz zainfekowany. Pamiętaj o ich aktualizacji przed każdym codziennym skanowaniem co tydzień.

Uwaga: produkt Windows Defender Offline bardzo dobrze usuwa trwałe infekcje MBR, które są obecnie powszechne.

.

Dla zaawansowanych użytkowników:

Jeśli masz pojedynczą infekcję, która przedstawia się jako oprogramowanie, np. „Poprawka systemu”, „AV Security 2012” itp., Zobacz na tej stronie szczegółowe instrukcje usuwania

.

Moab
źródło
3
Posiadanie drugiego komputera przeznaczonego do skanowania w poszukiwaniu wirusów jest prawdopodobnie najlepszym rozwiązaniem, ponieważ system nie polega na zainfekowanym dysku. Jednak oprócz firm wsparcia komputerowego wątpię, aby wiele osób miało takie gotowe rozwiązanie.
Gnoupi
2
Jeśli nie jest dostępny dedykowany komputer, można przeprowadzić podobną procedurę, uruchamiając system z płyty CD na żywo
Ophir Yoktan
@Ophir: Live CD?
fuddin
Uwaga: samodzielna zamiatarka systemu Microsoft to po prostu stara nazwa Windows Defender Offline, na wypadek, gdyby ktoś to znalazł.
Scott Chamberlain
37

Jeśli zauważysz którykolwiek z symptomów, należy sprawdzić ustawienia DNS połączenia sieciowego.

Jeśli zostały one zmienione z „Uzyskaj adres serwera DNS automatycznie” lub na inny serwer niż ten, który powinien być, to dobry znak, że masz infekcję. Spowoduje to przekierowanie z dala od stron anty-malware lub całkowity brak dostępu do strony.

Prawdopodobnie dobrym pomysłem jest zanotowanie ustawień DNS przed wystąpieniem infekcji, abyś wiedział, jakie powinny być. Szczegółowe informacje będą również dostępne na stronach pomocy witryny internetowej usługodawcy internetowego.

Jeśli nie masz notatek na temat serwerów DNS i nie możesz znaleźć informacji na swojej stronie ISP, skorzystanie z serwerów Google DNS jest dobrą alternatywą. Można je znaleźć odpowiednio w wersji 8.8.8.8 i 8.8.4.4 dla serwerów głównych i pomocniczych.

Zresetowanie DNS nie rozwiąże problemu, ale pozwoli ci a) dotrzeć do stron anty-malware, aby uzyskać oprogramowanie potrzebne do wyczyszczenia komputera ib) wykryć, czy infekcja się powtórzy, ponieważ ustawienia DNS ponownie się zmienią.

ChrisF
źródło
33

Ransomware

Nowszą, szczególnie okropną formą złośliwego oprogramowania jest oprogramowanie ransomware . Ten rodzaj programu, zwykle dostarczany z trojanem (np. Załącznikiem e-mail) lub exploitem przeglądarki, przegląda pliki komputera, szyfruje je (czyniąc je całkowicie nierozpoznawalnymi i nieużytecznymi) i żąda okupu, aby przywrócić je do użytecznego stan.

Ransomware zazwyczaj wykorzystuje kryptografię z kluczem asymetrycznym , która obejmuje dwa klucze: klucz publiczny i klucz prywatny . Gdy zostaniesz zainfekowany przez oprogramowanie ransomware, złośliwy program działający na twoim komputerze łączy się z serwerem złych facetów (Command-and-Control lub C&C), który generuje oba klucze. Wysyła tylko klucz publiczny do złośliwego oprogramowania na twoim komputerze, ponieważ to wszystko, czego potrzebuje do szyfrowania plików. Niestety pliki można odszyfrować tylko za pomocą klucza prywatnego, który nigdy nie trafi do pamięci komputera, jeśli oprogramowanie ransomware jest dobrze napisane. Złoczyńcy zwykle twierdzą, że dadzą ci klucz prywatny (umożliwiając w ten sposób odszyfrowanie plików), jeśli zapłacisz, ale oczywiście musisz im zaufać, aby to zrobić.

Co możesz zrobić

Najlepszą opcją jest ponowna instalacja systemu operacyjnego (w celu usunięcia wszelkich śladów złośliwego oprogramowania) i przywrócenie plików osobistych z wcześniej utworzonych kopii zapasowych. Jeśli nie masz teraz kopii zapasowych, będzie to trudniejsze. Przyzwyczaj się do tworzenia kopii zapasowych ważnych plików.

Zapłata prawdopodobnie pozwoli ci odzyskać swoje pliki, ale nie rób tego . Takie postępowanie wspiera ich model biznesowy. Mówię też „prawdopodobnie pozwolę ci odzyskać”, ponieważ znam przynajmniej dwa szczepy, które są tak źle napisane, że nieodwracalnie psują twoje pliki; nawet odpowiedni program deszyfrujący nie działa.

Alternatywy

Na szczęście istnieje trzecia opcja. Wielu programistów ransomware popełniło błędy, które pozwalają dobrym specjalistom ds. Bezpieczeństwa opracować procesy, które usuwają szkody. Proces robienia tego zależy całkowicie od odmiany oprogramowania ransomware, a lista ta ciągle się zmienia. Niektórzy wspaniali ludzie stworzyli dużą listę wariantów oprogramowania ransomware , w tym rozszerzenia zastosowane do zablokowanych plików i nazwę notatki okupu, które mogą pomóc ci zidentyfikować wersję, którą posiadasz. W przypadku kilku odmian ta lista zawiera również link do bezpłatnego deszyfratora! Postępuj zgodnie z odpowiednimi instrukcjami (łącza znajdują się w kolumnie Deszyfrator), aby odzyskać pliki. Zanim zaczniesz , użyj innych odpowiedzi na to pytanie, aby upewnić się, że program ransomware został usunięty z komputera.

Jeśli nie możesz zidentyfikować, na co trafiłeś, tylko na podstawie rozszerzeń i nazwy noty okupu, spróbuj wyszukać w Internecie kilka charakterystycznych fraz z noty okupu. Błędy ortograficzne lub gramatyczne są zazwyczaj dość unikalne i prawdopodobnie natkniesz się na wątek forum, który identyfikuje oprogramowanie ransomware.

Jeśli Twoja wersja nie jest jeszcze znana lub nie masz darmowego sposobu na odszyfrowanie plików, nie trać nadziei! Badacze bezpieczeństwa pracują nad usunięciem oprogramowania ransomware, a ściganie ściga programistów. Możliwe, że w końcu pojawi się deszyfrator. Jeśli okup jest ograniczony czasowo, możliwe jest, że pliki będą nadal możliwe do odzyskania po opracowaniu poprawki. Nawet jeśli nie, proszę nie płacić, chyba że absolutnie musisz. Podczas oczekiwania upewnij się, że na komputerze nie ma złośliwego oprogramowania, ponownie wykorzystując inne odpowiedzi na to pytanie. Rozważ wykonanie kopii zapasowej zaszyfrowanych wersji plików, aby zapewnić ich bezpieczeństwo, dopóki nie pojawi się poprawka.

Gdy odzyskasz jak najwięcej (i wykonasz kopie zapasowe na nośniku zewnętrznym!), Zdecydowanie rozważ instalację systemu operacyjnego od zera. Ponownie usunie to złośliwe oprogramowanie, które osadziło się głęboko w systemie.

Dodatkowe wskazówki dla poszczególnych wariantów

Niektóre wskazówki dotyczące wariantów ransomware, których nie ma jeszcze w dużym arkuszu kalkulacyjnym:

  • Jeśli narzędzie deszyfrujące dla LeChiffre nie działa, możesz odzyskać wszystkie oprócz pierwszego i ostatniego 8 KB danych każdego pliku za pomocą edytora szesnastkowego. Przejdź do adresu 0x2000 i skopiuj wszystkie bajty 0x2000 oprócz ostatnich. Małe pliki zostaną całkowicie zniszczone, ale przy niektórych skrzypkach możesz uzyskać coś pomocnego z większych.
  • Jeśli zostałeś trafiony WannaCrypt i korzystasz z systemu Windows XP, nie zrestartowałeś się od czasu infekcji i masz szczęście, możesz wyodrębnić klucz prywatny za pomocą Wannakey .
  • Bitdefender ma wiele bezpłatnych narzędzi, które pomagają zidentyfikować wariant i odszyfrować niektóre konkretne warianty.
  • (inne zostaną dodane, gdy zostaną odkryte)

Wniosek

Ransomware jest paskudny, a smutna rzeczywistość polega na tym, że nie zawsze można go odzyskać. Aby zapewnić sobie bezpieczeństwo w przyszłości:

  • Aktualizuj system operacyjny, przeglądarkę internetową i oprogramowanie antywirusowe
  • Nie otwieraj załączników e-mail, których się nie spodziewałeś, zwłaszcza jeśli nie znasz nadawcy
  • Unikaj szkicowych stron internetowych (tj. Zawierających nielegalne lub etycznie wątpliwe treści)
  • Upewnij się, że twoje konto ma dostęp tylko do dokumentów, z którymi osobiście potrzebujesz pracować
  • Zawsze miej działające kopie zapasowe na nośnikach zewnętrznych (niepodłączonych do komputera)!
Ben N.
źródło
Obecnie dostępnych jest kilka programów, które rzekomo chronią Cię przed oprogramowaniem ransomware, na przykład: winpatrol.com/WinAntiRansom (program komercyjny). Nigdy tego nie używałem, ponieważ nie korzystam już z systemu Windows, ale produkt WinPatrol tej firmy jest tym, z którego korzystałem od lat i często go polecam. Niektórzy twórcy oprogramowania antywirusowego dysponują narzędziami przeciw ransomware, które są niekiedy droższą opcją.
fixer1234,
Aby uzyskać informacje na temat usuwania ransomware Petya, zobacz także to pytanie i odpowiedź: superuser.com/questions/1063695/…
fixer1234
2
Dodam jeszcze jedną rzecz do listy porad zawartych we wniosku: Unikaj odwiedzania stron promujących nielegalne lub niemoralne zachowania, takie jak piractwo medialne i oprogramowanie; treści, które są zakazane w większości części świata; itp. Strony te często zawierają umowy z najmniej renomowanymi dostawcami reklam, którzy w ogóle nie podejmują żadnego wysiłku, aby filtrować treść swoich „reklam”, co ułatwia przestępcom wstrzykiwanie na twoją stronę treści dostarczających złośliwe oprogramowanie lub próby wykorzystania przeglądarki aby uzyskać dostęp do systemu. Czasami nawet dobry adblocker będzie tęsknił.
allquixotic
@allquicatic Dodałem punktor w tej żyle. Daj mi znać, jeśli coś jeszcze można rozszerzyć. Dzięki!
Ben N
31

Istnieje wiele różnych rodzajów złośliwego oprogramowania. Niektóre z nich są łatwe do znalezienia i usunięcia. Niektóre z nich są trudniejsze. Niektóre z nich są naprawdę trudne do znalezienia i bardzo trudne do usunięcia.

Ale nawet jeśli masz łagodne złośliwe oprogramowanie, powinieneś mocno rozważyć zreformowanie i ponowne zainstalowanie systemu operacyjnego. Wynika to z faktu, że Twoje zabezpieczenia już zawiodły, a jeśli zawiodły w przypadku zwykłego złośliwego oprogramowania, być może jesteś już zainfekowany złośliwym złośliwym oprogramowaniem.

Osoby pracujące z danymi wrażliwymi lub w sieciach, w których przechowywane są dane wrażliwe, powinny rozważyć wyczyszczenie i ponowną instalację. Ludzie, których czas jest cenny, zdecydowanie powinni rozważyć wyczyszczenie i ponowną instalację (jest to najszybsza, najłatwiejsza i najpewniejsza metoda). Ludzie, którzy nie czują się dobrze z zaawansowanymi narzędziami, powinni zdecydowanie wyczyścić i ponownie zainstalować.

Ale ludzie, którzy mają czas i lubią makaron, mogą wypróbować metody wymienione w innych postach.

DanBeale
źródło
3
Poprawny. Te rzeczy zostały zaprojektowane z myślą o bezpieczeństwie i czyszczeniu oraz zwykłym używaniu systemu operacyjnego. Nie bierz udziału w wyścigu zbrojeń. Zero tolerancji jest jedyną polityką.
XTL,
30

Możliwe rozwiązania infekcji wirusowej są następujące: (1) skanowanie antywirusowe, (2) naprawa systemu, (3) całkowita ponowna instalacja.

Najpierw upewnij się, że utworzono kopię zapasową wszystkich danych.

Załaduj i zainstaluj niektóre antywirusy, upewnij się, że są aktualne i głęboko skanuj dysk twardy. Polecam używanie przynajmniej Malwarebytes 'Anti-Malware . Lubię też Avast.

Jeśli to nie działa z jakiegokolwiek powodu, możesz użyć skanera ratunkowego na żywo CD: Najbardziej podoba mi się Avira AntiVir Rescue System, ponieważ jest aktualizowany kilka razy dziennie, więc płyta CD jest aktualna. Jako rozruchowy dysk CD jest autonomiczny i nie działa w systemie Windows.

Jeśli nie zostanie znaleziony wirus, użyj polecenia „sfc / scannow”, aby naprawić ważne pliki systemu Windows.
Zobacz ten artykuł .

Jeśli to też nie zadziała, należy wykonać instalację naprawczą .

Jeśli nic nie działa, należy sformatować dysk twardy i ponownie zainstalować system Windows.

harrymc
źródło
2
Po zainfekowaniu niedawnym wirusem / trojanem użyłem Knoppiksa na pendrivie, uruchomiłem apt-get wine, zainstalowałem Dr Web Cure-It podczas mojej sesji winiarskiej i uruchomiłem to, aby usunąć infekcję. Musiałem to zrobić w ten sposób, ponieważ mój laptop nie uruchamiałby niektórych innych alternatyw CD na żywo.
PP.
23

Innym narzędziem, które chciałbym dodać do dyskusji, jest skaner bezpieczeństwa Microsoft . Został wydany kilka miesięcy temu. To trochę przypomina narzędzie do usuwania złośliwego oprogramowania , ale zostało zaprojektowane do użytku offline. Będzie mieć najnowsze definicje od momentu pobrania i będzie można go używać tylko przez 10 dni, ponieważ uzna plik definicji za „zbyt stary, aby go używać”. Pobierz go z innym komputerem i uruchom go w trybie awaryjnym. Działa całkiem dobrze.

Scott Chamberlain
źródło
22

Najpierw trochę teorii: proszę zrozumieć, że nic nie zastąpi zrozumienia .

Ostatecznym programem antywirusowym jest zrozumienie tego, co robisz i co ogólnie dzieje się z twoim systemem, z własnym umysłem iw tak zwanej rzeczywistości.

Żadna ilość oprogramowania ani sprzętu nie ochroni Cię w pełni przed tobą i twoimi działaniami, które w większości przypadków przede wszystkim przedostają się do systemu.

Najnowocześniejsze złośliwe oprogramowanie, oprogramowanie reklamowe i szpiegujące „na poziomie produkcyjnym” polega na różnych sztuczkach „inżynierii społecznej”, aby oszukać Cię w instalowaniu „przydatnych” aplikacji, dodatków, pasków narzędzi przeglądarki, „skanerów antywirusowych” lub klikania dużych zielonych Downloadprzycisków, które instalują złośliwe oprogramowanie na twoja maszyna.

Nawet instalator rzekomo zaufanej aplikacji, takiej jak np. UTorrent, instalowałby domyślnie oprogramowanie reklamowe i ewentualnie oprogramowanie szpiegujące, jeśli po prostu klikniesz Nextprzycisk i nie poświęcisz czasu na przeczytanie, co oznaczają wszystkie pola wyboru.

Najlepszym sposobem na walkę ze sztuczkami socjotechnicznymi stosowanymi przez hakerów jest inżynieria społeczna odwrotna - jeśli opanujesz tę technikę, uda ci się uniknąć większości rodzajów zagrożeń i utrzymasz system w czystości i zdrowiu, nawet bez programu antywirusowego lub zapory ogniowej.

Jeśli zauważysz oznaki złośliwych / niechcianych form życia zamieszkujących Twój system, jedynym czystym rozwiązaniem byłoby pełne przeformatowanie i ponowna instalacja systemu. Wykonaj kopię zapasową zgodnie z opisem w innych odpowiedziach tutaj, szybko sformatuj dyski i ponownie zainstaluj system, a nawet lepiej przenieś przydatne dane do pamięci zewnętrznej i ponownie zeskanuj partycję systemową z czystego zrzutu partycji, który wykonałeś wcześniej.

Niektóre komputery mają opcję BIOS, aby przywrócić system do oryginalnych ustawień fabrycznych. Nawet jeśli może się to wydawać przesadą, nigdy nie zaszkodzi, a co ważniejsze, rozwiąże wszystkie pozostałe ewentualne problemy, bez względu na to, czy jesteś o nich świadomy, czy też nie, bez konieczności rozpatrywania każdego problemu jeden po drugim.

Najlepszym sposobem na „naprawienie” zaatakowanego systemu jest w ogóle nie naprawienie go, ale zamiast tego powrót do znanej „dobrej” migawki za pomocą oprogramowania do tworzenia obrazów partycji, takiego jak Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, lub np. ddjeśli wykonałeś kopię zapasową z Linuksa.

ccpizza
źródło
12

W nawiązaniu do Williama Hilsuma „Jak się tego pozbyć: Korzystanie z Live CD” powyżej:

Wirus nie będzie mógł działać w środowisku Live CD, więc możesz tymczasowo korzystać z komputera bez obawy o dalszą infekcję. Najlepsze jest to, że możesz uzyskać dostęp do wszystkich swoich plików. 20 czerwca 2011 r. Justin Pot napisał broszurę zatytułowaną „50 fajnych zastosowań dla płyt CD na żywo”. Na początku broszury wyjaśniono, jak uruchomić komputer z dysku CD, dysku flash lub karty SD, a strony 19–20 wyjaśniają skanowanie za pomocą różnych „programów antymalware”, o których już wspomniano. Podane porady są nieocenione w tym scenariuszu i wyjaśnione w łatwym do zrozumienia języku angielskim. Oczywiście reszta broszury jest nieoceniona ze względu na inne potrzeby związane z komputerem. (link do pliku do pobrania (w formacie PDF) znajduje się w linku poniżej. Zawsze pamiętaj, aby zachować rozsądek podczas korzystania z Internetu, nie kusz się, by błąkać się w „miejscach” gdzie najprawdopodobniej czai się złośliwe oprogramowanie, i powinno być dobrze. Każdy program antywirusowy, pakiet Internet Security Suite itp., Który może być używany, powinien mieć najnowsze aktualizacje, a którykolwiek system operacyjny, którego używasz, powinien być aktualizowany.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

Po kliknięciu lub skopiowaniu i wklejeniu powyższego linku kliknij przycisk

POBIERZ 50 fajnych zastosowań dla Live CD (napisanych na niebiesko)

Uwaga : Próbowałem napisać to w sekcji komentarzy, ale nie mogłem tego zmieścić. Podałem to w oficjalnej odpowiedzi, ponieważ jest to bezcenne.

Simon
źródło
Nie powinienem się zgadzać: IMHO, jeśli wirus jest obecny w jednym pliku na dysku twardym, nawet jeśli system uruchomi się Wyczyść z trybu odtwarzania , zawsze możliwe jest wykonanie złośliwego kodu po uruchomieniu zainfekowanego pliku. Jeśli nie zostanie wykryty lub zatrzymany, może nawet rozprzestrzeniać się na inne pliki lub urządzenia.
Hastur
9

Dwa ważne punkty:

  1. Nie zarażaj się przede wszystkim. Korzystaj z dobrej zapory ogniowej i antywirusa oraz ćwicz „bezpieczne korzystanie z komputera” - trzymaj się z dala od podejrzanych witryn i unikaj pobierania rzeczy, gdy nie wiesz, skąd pochodzą.
  2. Pamiętaj, że wiele witryn w Internecie powie Ci, że jesteś „zarażony”, gdy nie jesteś - chcą oszukać Cię, aby kupić ich śmieciowe oprogramowanie antyszpiegowskie lub, co gorsza, chcą, abyś pobierał rzeczy, które: w rzeczywistości oprogramowanie szpiegujące przebrane za „bezpłatną aplikację antyszpiegowską”. Podobnie należy pamiętać, że wielu na tej stronie, głównie z powodu głupoty, zdiagnozuje każdy „dziwny” błąd, szczególnie rodzaj uszkodzenia rejestru, z którego słynie Windows, jako oznaki oprogramowania szpiegującego.
Daniel R. Hicks
źródło
8

Jak zasugerowano wcześniej w tym temacie, jeśli masz pewność, że jesteś zainfekowany, użyj linuksowego dysku CD na żywo, aby uruchomić komputer i natychmiast wykonać kopię zapasową wszystkich wrażliwych danych.

Dobrą praktyką jest również przechowywanie poufnych plików na dysku twardym innym niż dysk rozruchowy systemu operacyjnego. w ten sposób możesz bezpiecznie sformatować zainfekowany system i przeprowadzić kompleksowe skanowanie poufnych danych, aby być po bezpiecznej stronie.

W rzeczywistości nie ma najlepszego rozwiązania niż sformatowanie partycji systemowej, aby zapewnić uruchomienie środowiska wolnego od wirusów i złośliwego oprogramowania. Nawet jeśli uruchomisz dobre narzędzie (i bez wątpienia jest ich wiele), zawsze pozostały resztki, a twój system może wydawać się w tej chwili czysty, ale z pewnością staje się bombą zegarową, która czeka na wybuch w późniejszym czasie.

Lorenzo Von Matterhorn
źródło
6

8 grudnia 2012 r. Remove-Malware wydało samouczek wideo zatytułowany „Remove Malware Free 2013 Edition” wraz z uzupełniającym przewodnikiem opisującym, w jaki sposób pozbyć się złośliwego oprogramowania z zainfekowanego komputera za darmo.

Zarysowują

  • Kopia zapasowa - Jak wykonać kopię zapasową ważnych dokumentów osobistych na wypadek, gdyby komputer stał się niedostępny.
  • Zebranie potrzebnego oprogramowania do tego przewodnika.
  • Bootowalny antywirus - dlaczego bootowalny antywirus jest najlepszym sposobem na usunięcie złośliwego oprogramowania.
  • Rozruchowy dysk antywirusowy - Jak utworzyć rozruchowy dysk antywirusowy.
  • Rozruchowy dysk antywirusowy - Jak przeskanować komputer za pomocą rozruchowego dysku antywirusowego.
  • Oczyszczanie - Zaokrąglij resztki i usuń je.
  • Zapobiegaj ponownemu wystąpieniu

Samouczek wideo trwa ponad 1 godzinę i wraz z pisemnym przewodnikiem jest doskonałym źródłem informacji.

Samouczek wideo: link

Przewodnik pisemny: link

Aktualizacja:

Bardzo pouczający artykuł, napisany dziś 1 lutego 2013 r. Przez J. Brodkina, zatytułowany „Wirusy, trojany i robaki, och mój: Podstawy złośliwego oprogramowania Mobilne złośliwe oprogramowanie może być modne, ale złośliwe oprogramowanie dla komputerów PC wciąż stanowi duży problem”. z arstechnica.com podkreśla ciągły problem złośliwego oprogramowania i różnych rodzajów złośliwego oprogramowania wraz z wyjaśnieniem każdego z nich, podkreślając:

  • Backdoors
  • Trojany dostępu zdalnego
  • Złodzieje informacji
  • Ransomware

W artykule podkreślono również rozprzestrzenianie się złośliwego oprogramowania, działanie botnetów i atakowanych firm.

Simon
źródło
1

KRÓTKA ODPOWIEDŹ:

  1. Utwórz kopię zapasową wszystkich plików.
  2. Sformatuj partycję systemową.
  3. Zainstaluj ponownie system Windows.
  4. Zainstaluj program antywirusowy.
  5. Zaktualizuj swoje okna.
  6. Przed rozpoczęciem korzystania z niego wykonaj skanowanie antywirusa .

Dziś nigdy nie możesz być pewien, że całkowicie usunąłeś infekcję, chyba że wyczyścisz dysk i zaczniesz od nowa.

svin83
źródło
0

Nie sądzę, że programy AV, takie jak MSE, MCAfee, Norton, Kaspersky itp., Mogą cię chronić w 100%, ponieważ ich pliki definicji zawsze pojawiają się po fakcie - po tym, jak złośliwe oprogramowanie jest już dostępne w Internecie i może wiele zrobić uszkodzenia. I wiele z nich nie chroni Cię przed PUP i adware.

Nie sądzę też, że skanery takie jak Malwarbytes, Superantispyware, skaner Bitdefender i inne mogą bardzo pomóc, gdy złośliwe oprogramowanie już uszkodziło twój system. Jeśli masz wystarczającą liczbę skanerów, będziesz w stanie usunąć szkodliwe oprogramowanie, ale nie będziesz w stanie naprawić szkód wyrządzonych przez to szkodliwe oprogramowanie.

Dlatego opracowałem strategię dwuwarstwową:

  1. Tworzę cotygodniowe obrazy (używam bezpłatnego Macrium ) mojej partycji systemowej i mojej partycji danych na dwóch dyskach zewnętrznych, które są podłączone tylko podczas obrazowania. W ten sposób żadne złośliwe oprogramowanie nie może się do nich dostać. Jeśli coś nie działa w moim systemie, zawsze mogę przywrócić najnowszy obraz. Zwykle przechowuję pół tuzina pełnych zdjęć na wypadek, gdybym musiał cofnąć się dalej niż w poprzednim tygodniu. Ponadto mam włączone przywracanie systemu w moim systemie operacyjnym, dzięki czemu mogę szybko zresetować system w przypadku wadliwej aktualizacji. Ale obrazy systemowe (cienie) nie są zbyt wiarygodne, ponieważ mogą znikać z różnych powodów. Poleganie na samych obrazach systemowych nie wystarczy.

  2. Większość mojej pracy w Internecie wykonuję z wirtualnej partycji Linux. Sam Linux nie jest celem szkodliwego oprogramowania, a złośliwe oprogramowanie Windows nie może wpływać na Linuksa. Z tym systemem mam

wszystkie moje pobrania i sprawdzanie ich za pomocą Virus Total przed przeniesieniem ich do systemu Windows. Virus Total uruchamia plik do 60 najbardziej znanych programów antywirusowych, a jeśli okaże się czysty, istnieje duże prawdopodobieństwo, że jest czysty.

wszelki dostęp do stron internetowych, w których nie jestem w 100% pewien, że są one czyste - jak np. ta strona tutaj.

cała moja poczta. To zaleta Gmaila i AOL. Mogę sprawdzić pocztę za pomocą przeglądarki. Tutaj mogę otworzyć każdą pocztę bez obawy o wirusa. I załączniki uruchamiam przez Virus Total.

cała moja bankowość internetowa. Linux zapewnia mi dodatkową warstwę bezpieczeństwa

Przy takim podejściu od lat nie widziałem żadnego złośliwego oprogramowania. Jeśli chcesz wypróbować wirtualną partycję Linux, oto jak to zrobić .

whs
źródło
W jaki sposób jest to odpowiedź na „Co powinienem zrobić, jeśli mój komputer z Windows wydaje się być zainfekowany wirusem lub złośliwym oprogramowaniem?”
Andrew Morton
@whs: Andrew Morton ma rację, że nie jest to odpowiedź na to pytanie, ale jest to świetna odpowiedź na inne pytanie, a szkoda byłoby, gdyby został odrzucony za bycie w niewłaściwym miejscu. Zadaj nowe pytanie, na przykład „Jak mogę uniknąć infekcji złośliwym oprogramowaniem poza uruchomieniem programu A / V i unikaniem podejrzanych stron internetowych”, i opublikuj tam tę odpowiedź.
fixer1234
Wiem, że to stara odpowiedź, ale muszę dodać 2 centy. Linux nie jest odporny na wszystkie złośliwe oprogramowanie. en.wikipedia.org/wiki/Linux_malware Również ciągłe tworzenie kopii zapasowych komputera osobistego nie należy do 99% przeciętnych użytkowników.
computercarguy
-2

Jakie są objawy infekcji?


może to być nic, co użytkownik może zrozumieć w kategoriach wydajności lub w jakikolwiek inny sposób, w tych przypadkach bez 100% dokładności mógł zobaczyć coś w działającym menedżerze zadań i nie ma pojęcia, co to jest ani jak to się stało. ... ale zdarzają się przypadki, że wydajność komputerów spada, programy działają wolniej lub wcale, albo cokolwiek ... objawy naprawdę się różnią i zdarzają się przypadki, że infekcja może być oczywista prawie bez zastanowienia, są przypadki jest o wiele trudny do zrozumienia, nawet jeśli coś idzie nie tak. wszystko zależy od tego, z czego jesteś zarażony (wirus, trojan, nazwij go tak, jak chcesz), a przede wszystkim od przyczyny, która go spowodowała.


Co powinienem zrobić po zauważeniu infekcji? Co mogę zrobić, aby się go pozbyć? 1. Przeskanuj komputer za pomocą programu antywirusowego. (KAspersky Internet Security, McAfee, Avast itp.). Pamiętaj, że nawet przy użyciu BEST Antivirus może znaleźć to, z czego jesteś zainfekowany, ale NIE jest to leczenie100% gwarancji. 2. zachowaj kopię zapasową plików (upewnij się, że nie są one również zainfekowane) i upewnij się, że pozbyłeś się wszystkich zainfekowanych plików na komputerze, nawet jeśli oznacza to ich usunięcie. jeśli ich użyjesz, ponownie zostaniesz zainfekowany, więc i tak uważaj je za utracone. Możesz spróbować użyć innego programu antywirusowego i jest to w porządku, ale nie masz wielkich nadziei. 3. najlepszym / szybszym / najskuteczniejszym sposobem na pozbycie się infekcji jest sformatowanie dysku i dokonanie czystej instalacji systemu operacyjnego. 4. Jeśli masz zamiar użyć JAKIEJKOLWIEK kopii zapasowej, pamiętaj o jej ponownym przeskanowaniu za pomocą programu antywirusowego przed zastosowaniem. może również zostać zainfekowany, zanim będziesz w stanie zrozumieć, że coś jest nie tak.

jak zapobiec infekcji złośliwym oprogramowaniem?

  1. Korzystając z antywirusa, obecnie większość programów antywirusowych jest rozwiązaniem dla prawie wszystkich rodzajów złośliwego oprogramowania / wirusów itp. Należy pamiętać, że lepiej jest zapobiegać niż próbować rozwiązać problem później. W większości pomagają. Aplikacje takie jak SpyHunter, bajty złośliwego oprogramowania, Spybot itp. Również świetnie nadają się do dodatkowej ochrony. Korzystanie z zapory również pomaga. Należy pamiętać, że nawet jeśli komputer jest w trybie offline i nie ma połączenia z Internetem, nadal potrzebny jest program antywirusowy. Powód? możesz użyć płyt CD, pamięci USB, DVD lub innych plików pochodzących od znajomych / klientów itp., które mogą zostać zainfekowane. mimo to ochrona antywirusowa nawet w tym przypadku jest nieoceniona
  2. Pobieranie / instalowanie / używanie oprogramowania z zaufanych źródeł.
  3. Wchodzenie na zaufane strony internetowe.
  4. Upewnij się, że Twój system operacyjny jest ZAWSZE AKTUALNY! Aktualizacje służą nie tylko najlepszej wydajności, ale także bezpieczeństwu.
George Mavrikis
źródło
To pytanie ma dziewięć lat i zawiera 19 innych odpowiedzi. Co dodajesz, co jeszcze nie zostało powiedziane?
Scott
Witamy w Super User i dziękuję za próbę przyczynienia się do tego wątku. Być może zastanawiasz się, dlaczego przyciągnęło to głosowanie negatywne. W rzeczywistości, gdyby było to typowe pytanie, odpowiedź mogłaby być dobra. Jako nowy użytkownik nie znasz żadnego kontekstu. To jedno z naszych „kanonicznych” pytań. Jeśli spojrzysz na wizyty i opinie, to dlatego, że odsyłamy do dyskusji większość osób z problemami złośliwego oprogramowania. Aby wesprzeć to wykorzystanie, próbowaliśmy uporządkować to w określone tematy, a posty w większości zostały napisane przez niektórych z naszych najbardziej doświadczonych użytkowników. (kont.)
fixer1234
Posty zostały również bardzo dopracowane. Twoja odpowiedź tak naprawdę nie przyczynia się do niczego, co nie zostało jeszcze lepiej uwzględnione w innych odpowiedziach. Jako baza wiedzy jednym z celów witryny jest to, że każda odpowiedź zawiera coś istotnie odmiennego od tego, co już zostało wniesione. Zachęcam więc do dalszego dzielenia się wiedzą, ale rozważ usunięcie tego konkretnego postu.
fixer1234
-14

Problem ze skanowaniem złośliwego oprogramowania na zewnątrz lub z dysku CD na żywo polega na tym, że wiele z tych paskudnych programów łączy się z procesami pamięci, sterownikami i wieloma innymi. Jeśli system operacyjny komputera PC nie jest załadowany, nie powoduje to frustrującego procesu usuwania. ZAWSZE skanuj w poszukiwaniu złośliwego oprogramowania podczas uruchamiania zainfekowanego systemu operacyjnego.

Powiedziawszy to, załaduj Windows kopią RKILL na dysku USB. Uruchomienie tego narzędzia zabija wszelkie procesy złośliwego oprogramowania odpychające się w tle, co pozwala na postęp w usuwaniu. Jest BARDZO skuteczny. Nie spotkałem się jeszcze z sytuacją, w której program zawiódł i jestem zaskoczony, jak wielu techników nigdy o nim nie słyszało.

Następnie wybieram skanowanie za pomocą bajtów złośliwego oprogramowania lub ComboFix. Zaletą tych skanerów jest to, że nie wykorzystują definicji wirusów, ponieważ nieustannie lokalizują złośliwe oprogramowanie na podstawie zachowania - jest to bardzo skuteczna technika. Słowo ostrzeżenia - są również znacznie bardziej niebezpieczne i NAPRAWDĘ mogą zniszczyć poważny sklep z twoim systemem operacyjnym. Upewnij się, że masz kopię zapasową.

90 procent czasu powyższego procesu działa dla mnie i codziennie usuwam TONĘ tych rzeczy. Jeśli masz dodatkowy paranoik, uruchomienie skanowania przy użyciu czegoś takiego jak AVG, SuperAntiSpyware lub Microsoft Security Essentials może nie być złym pomysłem. Chociaż nie widziałem, aby programy te wykrywały znacznie więcej niż nieszkodliwe pliki cookie do śledzenia, niektóre osoby przysięgają na nie. Daj sobie spokój ducha i rób to, jeśli musisz.

Skandalist
źródło
10
ALWAYS scan for malware while the infected OS is booted... to tak jakby powiedzieć: Zawsze walcz z wrogiem, gdy oni zwracają uwagę . Jeśli twój skaner złośliwego oprogramowania nie może znaleźć złośliwego kodu, gdy jest on spoczywający w pliku, nie ma szans w stosunku do kodu, gdy jest w pamięci, aby wykonać akrobacje maskowania voodoo.
Twisty Impersonator
1
Więc chcesz załadować system operacyjny, aby działały złośliwe procesy, a następnie chcesz je zabić, aby je usunąć? To tylko moim zdaniem wstecz.
svin83