Jak mogę naprawić komputer, który został zainfekowany złośliwym oprogramowaniem i bardzo nie odpowiada? [duplikować]


103

Możliwa duplikat:
Jak pozbyć się złośliwego oprogramowania szpiegującego, złośliwego oprogramowania, wirusów lub rootkitów z mojego komputera?

Rozwiązuję problemy z komputerem z systemem Windows 7 dla znajomego. Kilka dni temu zaczęło działać „wolno”. Okazuje się, że „powolny” to około 15 minut do pierwszego spojrzenia na pulpit, a kolejne 30 na wyświetlenie ikon. Możliwe jest otwarcie Menedżera zadań i nic nie wydaje się złe, zużycie procesora na 1-5%, dużo wolnej pamięci.

Maszyna jest jednak wyraźnie zainfekowana złośliwym oprogramowaniem, w szczególności program o nazwie „Optimizer Pro” żąda pieniędzy na „usunięcie 5102 plików spowalniających mój komputer”. To wydaje się bardzo podejrzane.

Mój problem polega jednak na tym, że nie mam dostępu msconfig(zostawiłem go na kilka godzin po tym, jak mam nadzieję, że wpisałem go do menu Start i wcisnąłem Enter - nic się nie załadowało), ani nic w ogóle. Mogę uruchomić komputer z Linux Live CD, ale czy mogę zrobić coś przydatnego?

Funkcja przywracania systemu również go nie naprawiła, a tryb awaryjny zachowuje się tak samo.


Po wpisaniu w menu Start musisz poczekać na pojawienie się elementów. Doświadczyłem tego wcześniej. Opóźnienie, które widzisz, powiedzmy, cmd, jest samą aplikacją
Cole Johnson

5
Miałem to ostatnio na laptopie członka rodziny. Gdy tylko mogłem się do niego dostać, zaplanowałem polecenie chkdsk, które nie zakończy się po trzech próbach, zgłaszając, że dysk był tak pomieszany, że nic nie mógł naprawić. Dysk jest wymieniany i zamierzam go zamontować na urządzeniu USB-SATA, aby sprawdzić, czy mogę wyciągnąć z niego jakieś pliki. Może to nie być związane z Twoim problemem, ale nie zaszkodzi „sprawdzić”.
Bratch


29
„Odszukaj witrynę z orbity, to jedyny sposób, aby się upewnić”. - Podobnie jak we wszystkich przypadkach poważnego zainfekowania złośliwym oprogramowaniem, sugerowałbym uratowanie danych, które można użyć przy użyciu dysku Live Linux, a następnie ponowną instalację systemu Windows. W przeciwnym razie istnieje spora szansa, że ​​nie usuniesz bardzo dużo złośliwego oprogramowania i albo będziesz musiał ponownie go naprawić później LUB (i potencjalnie niszcząc) ktoś będzie nadal korzystał z urządzenia, zakładając, że jest czysty, chociaż tak nie jest.
fgysin

2
spróbujformat c:/
Phillip Schmidt

Odpowiedzi:


244

Zalecam ponowną instalację systemu Windows

Jeśli spróbujesz uratować istniejącą instalację, spędzisz godziny lub prawdopodobnie dni pracując nad nią i nie będziesz miał nic do pokazania. I nawet jeśli udało Ci się uruchomić wszystkie narzędzia do usuwania złośliwego oprogramowania, nie ufałbym, że wszystkie złośliwe oprogramowanie zostało faktycznie usunięte, ponieważ z definicji autorzy złośliwego oprogramowania są zawsze o krok przed autorami usuwania złośliwego oprogramowania. Gdy maszyna jest tak bardzo zainfekowana, prawdopodobnie jest obciążona różnego rodzaju złymi rzeczami.

Więc...

  1. Sformatuj dysk twardy
  2. Zainstaluj system Windows

I, jak sugerował jeden z komentujących, powinieneś założyć, że wszystkie pliki i dane ze starej instalacji są zainfekowane i nie należy im ufać.


60
Chociaż zwykle odradzam krótkie odpowiedzi z brakiem szczegółów, te cztery słowa naprawdę mówią wszystko. Prawdopodobnie będzie łatwiej.
Shinrai

34
„Nuke to z orbity, to jedyny sposób, aby się upewnić” - z tego, co zostało powiedziane, brzmi to tak, jakby faktycznie było szybciej.
Journeyman Geek

48
To właściwe podejście, niezależnie od prędkości. W ciągu ostatnich kilku lat złośliwe oprogramowanie stało się bardziej złośliwe i złośliwe. Bardziej sprytne w tym, że podróżuje w paczkach, a używanie czegoś takiego jak Malwarebytes lub inne narzędzia do usuwania oczywistych objawów może nadal pozostawić mniej oczywisty keylogger lub rootkit. Co gorsza, zamiast po prostu wyświetlać reklamy lub pasek narzędzi, prawdopodobnie trafią one na dane karty kredytowej lub informacje bankowe. Złóż je razem, a po prostu nie warto ryzykować próbowania czyszczenia maszyny. Idź w prawo po technikę tworzenia kopii zapasowych / ponownej instalacji / przywracania przy pierwszej potwierdzonej infekcji.
Joel Coehoorn

36
Opublikowałem to poniżej jako odpowiedź, ale przed wykonaniem tego kroku ostrzegam, aby najpierw sprawdzić, czy jest to problem sprzętowy. Jeśli jest to uszkodzony dysk twardy, ponowna instalacja systemu Windows nic nie zrobi. Jak stwierdził PO, działa tylko przy 1-5% procentach i niskim zużyciu pamięci. Robi to samo w trybie awaryjnym. Są to również objawy wadliwego sprzętu, więc nie może zaszkodzić, aby być bezpiecznym i sprawdzić, czy prawdziwym problemem jest awaria dysku twardego, zanim przestaniesz się nudzić, ale dowiesz się, że wciąż działa bardzo wolno!
Bob

16
Przed podjęciem tego kroku zgodziłbym się z Bobem. Uruchom Linux CD / USB na żywo i sprawdź, czy można go tam użyć. Jeśli wszystko jest w porządku, to prawdopodobnie nie jest to problem sprzętowy. Korzystanie z Linux Live CD / USB pozwala także skopiować wszystkie dane, które można zapisać (zdjęcia, muzykę itp.) Na dysk zewnętrzny przed ponowną instalacją.
Mart

57

Różni dostawcy oprogramowania antywirusowego mają rozruchowe dyski CD-ROM z funkcją ratowania / skanowania. Dwa bezpłatne to:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 został zaprojektowany do skanowania i leczenia zainfekowanych komputerów kompatybilnych z x86 i x64.

Z aplikacji należy korzystać, gdy infekcja jest tak poważna, że ​​nie można wyleczyć komputera za pomocą aplikacji antywirusowych lub narzędzi do usuwania złośliwego oprogramowania (takich jak Kaspersky Virus Removal Tool) działających w systemie operacyjnym.

Płyta ratunkowa AVG

Płyta ratunkowa AVG Przywróć swoją firmę do pracy w przypadku awarii systemu.

Usuwa infekcje, naprawia pliki i odzyskuje systemy.


5
Bardzo polecam bootowalny antywirus. Najlepiej jest mieć przewodowe połączenie internetowe, aby zaktualizować definicje wirusów bez martwienia się o konfigurację połączenia WiFi.
David Schwartz

1
Dobry pomysł! Najpierw spróbuj wyczyścić system za pomocą bezpłatnych narzędzi opisanych powyżej. Jeśli to nie pomoże, jedyną opcją może być ponowna instalacja systemu Windows. Nie zapomnij o utworzeniu kopii zapasowej, bezpiecznym rozwiązaniem byłoby zdemontowanie dysku twardego i podłączenie go jako dysku zewnętrznego w innym komputerze.
GregD

3
@GregD Na pewno nie chcesz demontować dysku twardego, jeśli nie masz odpowiedniego pomieszczenia czystego i odpowiednich narzędzi. Możesz usunąć go z komputera i zainstalować go w innej (lub w zewnętrznej obudowie), ale jest daleko od tej samej rzeczy.
CVn

3
Kaspersky tak. AVG Nie!
pratnala

2
Kiedy próbowałem w podobnej sytuacji, AVG powiedział, że system jest czysty. Ani śladu wirusa. Ale Kaspersky złapał winowajcę. Po tym stracił zaufanie do AVG. Używany przez ponad 2 lata. Teraz w Kaspersky od 3 lat. KIS nie KAV
pratnala

31

Wskoczę tutaj i zapytam najpierw o to, a potem opublikuję swoje założenia dotyczące komputera. Powiedziałeś, że używa tylko 1-5% procesora, ale wciąż porusza się powoli? Chociaż nie mówię, że nie jest on pełen wirusów ani niczego innego, ponieważ może być, ale chcę podkreślić, że to krzyczy do mnie wadliwy sprzęt. Następnym razem, gdy otworzysz Menedżera zadań, przejdź do monitora zasobów. Oto prosty przewodnik korzystania z monitora zasobów.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Otwórz menedżera zadań i przejdź do zakładki Wydajność. Na dole znajduje się przycisk monitora zasobów. Po otwarciu sprawdź kartę Dysk u góry i sprawdź, jak długo trwają żądania. Patrząc na mój komputer i obraz komputera znaleziony w tej witrynie, zgaduję, że w przypadku dysku innego niż SSD czas odpowiedzi poniżej 100 milisekund wydaje się być tym, czego szukasz. Jeśli komputer ma ponad 1 sekundę czasu odpowiedzi na wszystko, komputer będzie działał wolno, niezależnie od tego, JAK go uruchomisz. Skomentuj tutaj i daj nam znać, jeśli czas reakcji dysku jest wolny. Jeśli tak, możesz spróbować uruchomić dysk Check na dysku i czekać wiecznie, aż zakończy się, i sprawdź, czy to rozwiąże problem.

Pamiętaj, że to nie może być problem, ale jeśli tak, to ponowne zainstalowanie systemu Windows lub skanowanie antywirusowe nie rozwiąże problemu.


2
To zakładając, że może to otworzyć. Jego komputer wydaje się zbyt wolny dla ... czegokolwiek z tego, co zgłasza, i musiałby czekać tydzień lub dwa, kiedy odbierze.
Journeyman Geek

4
Dobrym wskaźnikiem w Monitorze zasobów jest głębokość kolejki dysków - jeśli jest ona stale wysoka, a dysk twardy jest miażdżony (tj. „Wąskie gardło” magistrali). Spowoduje to spowolnienie bez większego wpływu na użycie pamięci RAM lub procesora (sprawdź to podczas skanowania antywirusowego na dobrym komputerze).
HaydnWVN

1
Może to być łatwiejsze do sprawdzenia na Live CD, ponieważ bieżąca instalacja jest tak wolna. Nie jestem jednak pewien, który program byś uruchomił.
Brendan Long,

To są wszystkie dobre punkty. Wspomniałem o korzystaniu z Monitora zasobów, ponieważ powiedział, że był w stanie otworzyć Menedżera zadań, więc po prostu zakładałem, że może on również uzyskać Monitor zasobów.
Bob

30

Aby dodać moje pomysły do ​​miksu ...

Spróbuj wyjąć uszkodzony dysk twardy i podłączyć go do zewnętrznego komputera, a następnie podłącz go do działającego komputera. Następnie możesz sprawdzić dysk, uruchomić testy antywirusowe / złośliwego oprogramowania, defragmentować itp.

Odzyskaj także wszystkie potrzebne pliki (uważając, aby nie skopiować niczego, co mogłoby potencjalnie zainfekować inny komputer. Oczywiście, zanim to zrobisz, upewnij się, że komputer hosta ma dobrą ochronę.

Jeśli po ponownym włożeniu dysku twardego i nadal działa on źle, rozważę ponowną instalację systemu Windows. Czas poświęcony na rozwiązanie innych problemów nie będzie tego wart.


7
Zrobiłem to już wcześniej, chciałbym to zmienić, aby zasugerować użycie dysku Live Linux i uruchomić skanowanie w całym procesie na danych. Korzystając z dysku na żywo, możesz to wszystko zrobić na zainfekowanym urządzeniu.
nerdwaller

1
Dlaczego nie jest to najlepsza odpowiedź tutaj? Wyraźnie wygrywa z podejściem zwykłej ponownej instalacji.
Stefan

1
Ponieważ podejściem byłoby zapisanie dokumentów i zdjęć, a następnie ponowna instalacja.
WindowsEscapist

3
Jest to niebezpieczne, ponieważ dysk może łatwo zainfekować nowy komputer. O wiele lepiej jest uruchomić komputer z Linux Live CD i zapisać w ten sposób rzeczy, a następnie nuke go i zainstalować ponownie.
Wszechobecny

12

Jeśli możesz uruchomić system w trybie awaryjnym, zrobiłbym to.

  • Malwarebytes antimalware to doskonały darmowy program, jak wspomniano powyżej, który właśnie wydał program Antirootkit, chociaż w wersji beta

  • Jestem także fanem DR Web Cureit Free Antivirus (skaner na żądanie)

  • Hiren's Boot CD jest prawdopodobnie jedną z najbardziej wszechstronnych dostępnych płyt CD ze złośliwym oprogramowaniem do uruchamiania

  • Może się zdarzyć, że Twój komputer jest bardzo rozdrobniony i może wymagać defragmentacji. W takim przypadku polecam Ultradefrag Free Edition

  • Ccleaner, aby wyczyścić wszystkie śmieci w systemie

Wszystkie powyższe nie będą kosztować ani grosza.

Niedawno 6 listopada 2012 r. Whinston Gordon dla Lifehacker napisał świetny artykuł, który moim zdaniem byłby korzystny dla wszystkich, zatytułowany „Założenia, które robisz o swoim powolnym komputerze (i dlaczego są prawdopodobnie błędne)” . Mam nadzieję, że uznasz to za interesujące!


6
OP stwierdza, że ​​Tryb awaryjny jest nadal tak wolny jak zwykle, więc to naprawdę nie pomogłoby.
ChrisF,

Płyty rozruchowe, takie jak płyta rozruchowa Hiren, nie uruchamiają się z systemu Windows, więc prędkość trybu awaryjnego nie ma związku z tą opcją.
Zoot

11

Pobierz i uruchom dowolną dystrybucję Linuksa na żywo, aby sprawdzić, czy maszyna jest w jakiś sposób upośledzona (wadliwa pamięć RAM, zły dysk twardy ...) lub czy jest to po prostu zbyt stara instalacja systemu Windows (być może atak wirusa). W przypadku ataku wirusa możesz pobrać http://free.drweb.com/ bootowalną Live CD ze skanerem wirusów, aby upewnić się, że Twój komputer jest czysty. Darmowy skaner drweb aktualizował nas kilka razy dziennie, dzięki czemu jest w stanie wykryć i wyleczyć nawet najnowszy złośliwy kod.


8

Najlepszym narzędziem, jakiego użyłem, jest Malwarebytes . Użyłem go, kiedy kilka lat temu pracowałem w IT. Ponadto Kaspersky jest dobry, podobnie jak AVG (jak sugerowano powyżej), lub kombinację wszystkich.

Inną świetną opcją, która obejmuje obraz na żywo Malwarebytes, jest BootCD Hirena ( bezpośredni link do pobrania).


A jak dokładnie mają zainstalować, nie mówiąc już o uruchomieniu, jeśli uruchomienie zajmuje więcej niż 45 minut?
Synetech

1
Dysk na żywo. Na dysku Boot Hiren znajduje się samodzielny lub jeden.
nerdwaller

2
Powinieneś był to powiedzieć wcześniej ; teraz jest już za późno .
Synetech

1
Dlatego dodałem go, aby pomóc.
nerdwaller

1
@ paulsm4 Z mojego doświadczenia wynika, że ​​90% pakietów AV brakuje prawie wszystkich infekcji (poza głupimi śledzącymi plikami cookie, które są nieszkodliwe, gdy zdasz sobie sprawę, jak ludzie używają Facebooka do logowania się wszędzie). Niestety opłacani są najgorszymi przestępcami ... Niesamowite! W rzadkich przypadkach uruchamiam system Windows - to dla mnie MSE .
nerdwaller

8

Pod koniec dnia nadal uważam, że @hair z odpowiedzią psa jest prawdopodobnie „najlepszym” rozwiązaniem.

Z drugiej strony pozostawienie obecnego problemu prawdopodobnie nie jest sposobem na zrobienie czegoś.

To jest naprawdę skrócona wersja niektórych poprzednich odpowiedzi, z kilkoma dodatkowymi spostrzeżeniami.

Z mojego doświadczenia wynika, że ​​dyski twarde są ważnym powodem spowalniania komputerów. Są dziwacznymi urządzeniami z wieloma trybami awarii i błędów. Są też inne powody, na które warto zwrócić uwagę

Uruchamianie ogólnego linuxowego live CD jest dość przydatne w tym przypadku. Są dwie rzeczy, które chcesz zrobić, patrząc na możliwe problemy z napędem. Najpierw chcesz zapytać dysk, czy jest w porządku - smartmontools(lub jego graficzny interfejs gsmartcontrol) jest tutaj całkiem niezły. Chcesz ogólnie „zdrowych” wyników. W tym momencie możesz także uruchomić hdparm -Tt /dev/sdXxkilka razy, aby uzyskać wynik testu szybkości dysku. Uruchom to samo polecenie na zdrowym i wystarczająco podobnym dysku, aby sprawdzić, czy jest naprawdę wolniejszy.

W tym momencie sugerowałbym również odzyskanie plików. Napęd, który został nieczysto zamontowany, nie zamontuje się automatycznie w systemie Linux - musisz go zrobić, mount -f /dev/SDXx /mount/pointaby zmusić go do zamontowania. Jeśli dysk jest w oczywisty sposób uszkodzony według smartmontools, skorzystaj z wariantu DD zorientowanego na odzyskiwanie, aby wykonać kopię zapasową - dobrym pomysłem jest Gnu ddrescue . Spowoduje to utworzenie obrazu pomijającego złe sektory

Zakładając, że dysk jest w porządku, staje się trudny. Prawdopodobnie możesz uruchomić skanowanie AV w trybie offline, aby spróbować je wyczyścić, a następnie wrzucić do innego systemu w celu konserwacji.

Możesz także zamontować gałąź rejestru innego systemu Windows, aby ręcznie edytować wpisy startowe (świetny czas na sprawdzenie wirusa z systemu Windows i defragmentację) lub użyć edytora rejestru z dysku zmieniacza haseł offline, zakładając, że wiesz, co „ szukam.

Jeśli wykonujemy czynności związane z odzyskiwaniem / naprawą za pomocą narzędzi systemu Windows - możesz rozważyć zbudowanie dysku PE (jeśli nie masz nic przeciwko dyskowi na żywo opartemu na systemie XP) lub skorzystanie z oddzielnej, „jednorazowej” instalacji do tych zadań w celu zmniejszenia ryzyka zanieczyszczenia krzyżowego złośliwym oprogramowaniem.

W tym momencie powinieneś się dowiedzieć, czy dysk jest wolny, czy jest złośliwe i czy uważasz, że warto go naprawić. Powinieneś także pobrać swoje dane. Jeśli jego złośliwe oprogramowanie, a skanowanie offline i regedity nie powiodły się, możesz uruchomić niszczarkę z trybu podglądu na żywo, aby wyczyścić dysk. Jeśli jego awaria sprzętowa, możesz przywrócić z tej kopii zapasowej dd. Jeśli nie ma żadnego z powyższych, sprawy stają się interesujące


5

Hiren jest twoim przyjacielem.

http://www.hirensbootcd.org/download/

Pobierz, wypal, uruchom z wolnego komputera.

Jest tam szereg narzędzi do sprawdzania błędów, w tym dysk twardy, procesor, pamięć itp.

Uruchom kilka z nich, aby zobaczyć, co znajdziesz.

Zawiera także niektóre programy zabezpieczające, które umożliwiają skanowanie AV / Malware.

Wysoce rekomendowane.


2

Czy sprawdziłeś dyski twarde? Być może ma kilka wadliwych sektorów, co powoduje duże opóźnienie przy każdym dostępie do niektórych plików. Spróbuj uruchomić chkdsk /rw trybie awaryjnym (lub użyj innego narzędzia do naprawy dysku).


1

Zalecana jest ponowna instalacja. Jeśli jednak na urządzeniu znajdują się dane, na których utratę nie możesz sobie pozwolić, możesz wypróbować program Microsoft Defender Offline .

Zasadniczo pozwala to na ominięcie systemu operacyjnego, a następnie można wykonać skanowanie dysku twardego. Pobierz nową kopię, aby mieć najnowsze definicje antywirusowe.

Jeśli komputer nadal działa powoli, możesz spróbować uruchomić system z dysku CD / USB systemu Linux, aby skopiować dane, a następnie ponownie zainstalować system Windows. Ale pamiętaj, aby przeskanować dysk twardy kopii zapasowej na innym (chronionym) komputerze przed skopiowaniem go z powrotem na stary komputer.


1

Przynajmniej to złośliwe oprogramowanie spowalnia komputer w sposób przyjazny dla środowiska i nie maksymalizuje procesora!

Krótka odpowiedź na pierwotne pytanie to ponowna instalacja, jak wspomniano wcześniej. W dzisiejszych czasach autorzy szkodliwego oprogramowania wiedzą, że większość ludzi po prostu instaluje ponownie zamiast próbować ich usunąć, więc większość podejmuje tylko środki zaradcze przeciwko zautomatyzowanym narzędziom, a nie ma wiedzy osoby na terminalu. Jeśli więc ponowna instalacja nie jest pożądana i nie masz nic przeciwko marnowaniu kilku godzin (lub więcej), zwykle usunięcie większości złośliwego oprogramowania nie jest zbyt trudne.

Musisz jednak znać wiersz polecenia i odróżniać złośliwe oprogramowanie od legalnego oprogramowania. Nie ma tu żadnego doświadczenia, ale poniższe podejście okazało się skuteczne.

Najpierw przygotuj środowisko:

  1. Z innego czystego komputera pobierz kopię pakietu Sysinternals i skopiuj ją na pamięć USB (lub bezpośrednio na dysk twardy komputera, jeśli to możliwe).
  2. Zmień nazwę dwóch narzędzi, procexp.exe i autoruns.exe na losowe nazwy plików (ale zanotuj je, abyś mógł je rozpoznać!)
  3. Odłącz wszelkie połączenia sieciowe.
  4. Uruchom komputer w trybie awaryjnym, przejdź na pulpit. Tryb awaryjny nie jest niezbędny, ale pomaga, ponieważ będzie mniej uruchomionych procesów do przejścia, a złośliwe oprogramowanie powinno łatwiej się wyróżniać. Korzystanie z czystego profilu użytkownika może również pomóc z tego samego powodu, ale może to ukryć infekcję, ponieważ prawdopodobnie w rejestrze użytkownika znajdują się wpisy.
  5. Otwórz wiersz polecenia jako administrator i uruchom, taskkill /F /IM explorer.exeaby zabić eksploratora. Zatrzymuje to znaczną ilość złośliwego oprogramowania na swoich śladach, ułatwiając usuwanie. Jeśli nie można uruchomić wiersza polecenia, kopia o zmienionej nazwie z innego komputera może być skuteczna (czasami można uniknąć zwykłego kopiowania na tym samym komputerze).
  6. Z wiersza polecenia uruchom procexp i autoruns poprzez pliki wykonywalne o zmienionej nazwie. Pamiętaj, że możliwe jest, że złośliwe oprogramowanie może wykryć skróty lub inne cechy i uniemożliwić uruchomienie tych narzędzi, ale mieszanie przynajmniej nie byłoby niezawodnym podejściem, ponieważ są one dość często aktualizowane. Zwykle wszelkie środki zaradcze przeciwko tym narzędziom szukają nazwy pliku.

Stąd możesz używać autorunów i procexp do usuwania złośliwego oprogramowania, ale to tyle samo sztuki, co nauki. Procexp pokazuje, co jest aktualnie uruchomione, a autoruns pokazuje, jak się uruchomił. Wzory do wyszukiwania to:

  • Nazwy plików, które wyglądają na generowane losowo
  • Oprogramowanie działające z tymczasowych katalogów
  • Oprogramowanie działające w profilu użytkownika. W systemie Vista i nowszych wersjach uruchamianie oprogramowania z profilu stało się bardziej powszechne, aby uniknąć monitów o podniesienie uprawnień, ale większość legalnych programów nadal instaluje się w Program Files. Biorąc pod uwagę, że ten wyraźnie ma dostęp do roota, będziesz go szukał w katalogach systemowych, ale może tam być obserwator i zwykle infekcja pochodzi z jakiegoś profilu użytkownika (pliki do pobrania, tymczasowe pliki internetowe).
  • Ostatnio zmodyfikowane pliki w C: \ Windows i System32
  • Nazwy zbliżone do prawidłowych plików binarnych systemu Windows, takie jak cmd.exe, services.exe (lub te same nazwy plików, ale w niewłaściwej lokalizacji). Widziałem cnd.exe, service.exe. explore.exe w moim czasie.
  • Wpisy Rundll32.exe. Wiele z nich jest uzasadnionych, ale sprawdza procesy, aby zobaczyć, które biblioteki DLL są ładowane.

Wskazówki dotyczące usuwania:

  • Pomocne może być po prostu zebranie informacji przed próbą zabicia procesów i usunięcia wpisów - daje to bardziej całościowy przegląd, a podejmowanie wielu kroków w krótkich odstępach czasu będzie bardziej skuteczne niż robienie rzeczy w izolacji, ponieważ procesy obserwatora mogą bardzo szybko wrócę do kroku 1.
  • Dla cokolwiek oczywistego użyj funkcji zabicia i usunięcia procexp. Jeśli to się nie powiedzie, czasem echo > "c:\path\to\malware.exe"może zadziałać użycie w wierszu polecenia pustego pliku, po którym następuje zabicie i usunięcie.
  • Użyj autouruchamiania, aby dowiedzieć się, gdzie jest podłączony. Używam tego narzędzia, ponieważ wydaje się, że jest kompletne, brakuje rootkita lub modyfikuje pliki wykonywalne systemu, nie ma wielu innych sposobów na uruchomienie złośliwego oprogramowania, jeśli w ogóle. Aby zaoszczędzić czas, skorzystaj z opcji „Ukryj wpisy Microsoft”, która jest domyślnie wyłączona.
  • Jeśli znajdziesz hak w autorunach, który ładuje bibliotekę DLL przy każdym pliku exe, uruchomione procesy (w tym narzędzia do wykrywania) utrzymają złośliwe oprogramowanie przy życiu. W takim przypadku musisz wyczyścić niepoprawną bibliotekę DLL za pomocą echa, jak powyżej, zabić i ponownie uruchomić całe oprogramowanie (powinno powodować błąd DLL przy każdym uruchomieniu programu), a następnie uruchomić ponownie. Ale najpierw upewnij się, że usunąłeś inne haki.
  • Może istnieć proces obserwatora, który szuka modyfikacji złośliwego oprogramowania i przywraca go. W takim przypadku może być konieczne wykonanie wielu działań jednocześnie, a jedynym niezawodnym sposobem na to jest użycie skryptu wsadowego. Jednak w zależności od interwału sprawdzania może być wystarczające szybkie wykonanie kolejnych kroków.
  • Jeśli nie możesz nic znaleźć, a okazuje się, że jest to rootkit, znalezienie i usunięcie go staje się znacznie trudniejsze - potrzebujesz narzędzi, które omijają api systemu Windows wyższego poziomu. Prawdopodobnie jest to nieco poza zakresem tego, co można udzielić w odpowiedzi Superuser, ale użycie RootkitRevealer, a następnie płyty CD z systemem Linux do usunięcia rzeczywistych plików może być skuteczne (pamiętaj o zmianie nazwy exe).
  • Jeśli musisz zrestartować komputer, zanim będziesz pewny całkowitego usunięcia, odcięcie mocy zamiast rutynowego restartu usuwa jeszcze jedną szansę na ponowną infekcję. Upewnij się tylko, że najpierw wykonałeś kopię zapasową ich danych.

Biorąc pod uwagę, że to konkretne złośliwe oprogramowanie wymaga pieniędzy na naprawę komputera i spowalnia go, prawdopodobne jest podejście do ładowania DLL. Prawdopodobnie nie modyfikuje plików systemowych ani nie instaluje rootkita, ponieważ wiąże się to z większym ryzykiem całkowitego uszkodzenia systemu. Powinieneś być w stanie usunąć go, stosując powyższe ogólne podejście, ale jeśli przegapisz tylko jeden hak, prawdopodobnie wrócisz do kwadratu przy następnym uruchomieniu.

Jeśli brzmi to jak duży wysiłek, tak właśnie jest. Ponowna instalacja jest zwykle łatwiejsza i nigdy nie można w pełni zaufać komputerowi, który ma na nim złośliwe oprogramowanie. Ale osobiście uważam to za dobrą zabawę - to ty kontra twórca szkodliwego oprogramowania i masz wyraźną zaletę bycia człowiekiem przy konsoli!


0

Możesz rzucić okiem na Windows Defender Offline , skanuje on w poszukiwaniu złośliwego oprogramowania i daje opcję naprawy.


1
To oczywiście nie jest realne rozwiązanie na maszynie działającej tak wolno. Jak byś to otworzył? Ten facet potrzebuje sposobu, aby to naprawić POZA Zepsutym środowiskiem, cokolwiek to jest. To pytanie wymaga zainstalowania i uruchomienia w bieżącej instalacji systemu Windows.
Caleb

1
Co to robi. Jest w trybie offline, uruchom dysk CD lub USB z zainstalowanym, aby przeskanować
niedziałający

@Caleb: Nie rozumiem, co jest nie tak z tą odpowiedzią.
Mehrdad

0

Aby uprościć, albo masz problem ze sprzętem, albo z oprogramowaniem, albo z jednym i drugim.

Dowiedz się, czy komputer ma rozruch z dysku CD lub rozruch z USB, i kroki, aby uruchomić komputer z zewnętrznego nośnika, jeśli jest domyślnie wyłączony. Szybkie wyszukiwanie w Google często przyspiesza ten proces.

Użyj płyty CD na żywo, takiej jak Ultimate Boot CD, aby sprawdzić pamięć RAM i dysk twardy pod kątem błędów. Przetestuj pamięć RAM za pomocą Memtest86 + i użyj pakietu testowego producenta dysku twardego, takiego jak DLG dla dysków twardych WD . Wykluczy to większość problemów z pamięcią i problemami z dyskiem twardym. Możesz również sprawdzić temperatury systemu, jeśli chcesz wykluczyć problemy termiczne.

Następnie uruchom Linux Live CD lub uruchom dystrybucję Linuksa z USB. Jeśli nie powoduje to żadnych problemów i działa znacznie szybciej niż zainstalowany system bez problemów ze stabilnością, oznacza to czas rozruchu i rozruchu. W tym momencie przenieś wszelkie elementy „nie można zgubić” z dysku twardego na jakiś nośnik zewnętrzny. Będziesz chciał przeskanować te pliki w poszukiwaniu złośliwego oprogramowania, zanim znajdziesz je w pobliżu czystego komputera. Lepiej jest skanować je w jakimś środowisku na żywo.

Jeśli jeszcze nie próbowałeś partycji przywracania, możesz wybrać opcję „przywracania destrukcyjnego”, ale nie wierzę w partycje przywracania, ponieważ mogą one zostać zainfekowane złośliwym oprogramowaniem, tak jak normalne partycje . W tym miejscu bycie użytkownikiem Linuksa jest przyjemne, ponieważ nie musisz się przejmować kluczami licencyjnymi i instalować multimediów.

Jeśli wolisz pozostać w systemie Windows, wykonaj następujące kroki:

Znajdź dysk przywracania systemu lub prawidłową wersję systemu operacyjnego, który chcesz zainstalować. Sprawdź, czy jest to wersja „pełna” i nie jest wersją „uaktualniającą”, która wymaga zainstalowania poprzedniej wersji systemu operacyjnego. Upewnij się, że masz klucz licencyjny i wprowadź go poprawnie. Przygotuj się, aby zadzwonić do producenta, jeśli przywracanie nie działa poprawnie, lub do Microsoft, jeśli instalacja systemu operacyjnego nie powiedzie się.

Weź wspomnianą wcześniej „Ultimate Boot CD” i uruchom Darik's Boot and Nuke . Usunięcie dysku zajmie trochę czasu. Ponieważ planujesz ponowną instalację, możesz użyć jednego z szybszych trybów formatowania. „Szybkie kasowanie” lub „DoD short” powinno załatwić sprawę.

Zainstaluj system operacyjny od zera na (teraz pustym) dysku twardym.

W razie potrzeby przenieś stare pliki, które zostały wielokrotnie przeskanowane w poszukiwaniu wirusów, z powrotem do nowej instalacji systemu operacyjnego. Ciesz się procesem instalowania aktualizacji oprogramowania i systemu.

Przeklinaj się, że nie masz najnowszej kopii zapasowej lub nie wdrożyłeś procedury tworzenia kopii zapasowej obrazu systemu. Przysięgnij, że będziesz w tym lepszy i mam nadzieję, że nie będzie następnego razu. Prawdopodobnie będzie następnym razem.


-1

Właściwym rozwiązaniem jest nuke it i ponownie zainstalować system Windows. Jeśli to po prostu nie jest rozwiązaniem, jedynym innym właściwym rozwiązaniem jest użycie instalacji linux CD / USB na żywo do uruchomienia pakietów oprogramowania antywirusowego spoza instalacji systemu Windows.

Przejrzałem podane odpowiedzi i jestem zaskoczony, że zestaw ratunkowy Trinity nie został jeszcze wymieniony!

Ten pakiet oprogramowania jest moim rozwiązaniem goto, gdy próbuję usunąć złośliwe oprogramowanie / wirusy / rootkity z zainfekowanego komputera. Ma 3-4 różne rozwiązania programowe, które trafią do sieci i pobiorą najnowsze definicje, zanim rozpocznie proces skanowania / czyszczenia.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.