Вопрос Как удалить вредоносные программы-шпионы, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего ПК?


Что делать, если мой компьютер Windows заражен вирусом или вредоносным ПО?

  • Каковы симптомы инфекции?
  • Что делать после заражения?
  • Что я могу сделать, чтобы избавиться от него?
  • как предотвратить заражение вредоносными программами?

Этот вопрос часто возникает, и предлагаемые решения обычно одинаковы. Эта вики сообщества является попыткой стать окончательным, наиболее полным ответом.

Не стесняйтесь добавлять свои взносы через изменения.


431
2017-11-30 15:16


происхождения


Единственное, что НЕ нужно делать, это установить любые инструменты «анти-вредоносного ПО», которые вам настоятельно рекомендуется, когда вы попадаете на веб-страницу, в которой говорится: «Ваш компьютер заражен вирусом!». Это почти наверняка вредоносная программа. Вы должны использовать только те инструменты, которые хорошо проверены - (предположительно) те, которые указаны ниже или на другом доверенном сайте. - Daniel R Hicks
@Gnoupi Эта статья может быть интересна maketecheasier.com/... - Simon
Для тех, кто просто подходит к этому вопросу, желая версию tl; dr ... После заражения нет никакого способа (ну ... ни в коем случае это не связано с тем, что вы уже являетесь инженером-программистом и инвестируете несколько лет своей жизни для проведения цифрового вскрытия на машине), чтобы избавиться / быть уверенным, что вы избавились от инфекции. Вредоносные программы могут скрываться в ваших файлах, ваших прикладных программах, ваших операционных системах, прошивке ... Вот почему вы никогда не должны доверять компьютеру с инфекцией. Поставщики AV попытаются убедить вас, что ваш продукт - это серебряная пуля, которая исправит вашу систему. Они лгут. - Parthian Shot
@DanielRHicks фактически в некоторых случаях они приводят к законному продукту AV. В прошлый раз я видел это на андроиде с его раздражающей «встроенной функцией поддержки объявлений» (рекламные панели появляются внизу приложений и веб-страниц). Например, я просто нажал «удалить вирус!». и я приземлился в Google Play Store на 360 - защита от вирусов приложений. - David Balažic
Когда мы рассмотрим возможность создания виртуальных руткитов и прошивки Rootkits, тогда мы можем в значительной степени сказать: «Вы обмануты. Эти два типа Rootkit сохраняются в областях вашего компьютера, которые вы не можете очистить. Если вы хотите избавиться от них, вам нужно купить новый компьютер. Прошивки Rootkits редки, и Virtual Rootkits еще не существует, но все еще: Существование этих двух Rootkits доказывает, что нет 100% -ного работающего однопользовательского решения, которое будет защищать ваше компьютерное вредоносное ПО на всю вечность и за его пределами. Будучи немцем, я бы согласился на «Eierlegende Wollmilchsau», - BlueWizard


ответы:


Вот что: вредоносные программы в последние годы стали хитрее а также противней:

хитрее, потому что он путешествует в пакетах. Тонкие вредоносные программы могут скрываться за более очевидными инфекциями. Есть много хороших инструментов, перечисленных в ответах здесь, которые могут найти 99% вредоносных программ, но всегда есть, что 1% они не могут найти. В основном, это 1% - это материал, который новый: вредоносные программы не могут найти его, потому что он только что вышел и использует какой-то новый эксплойт или технику, чтобы скрыть себя от того, что инструменты еще не знают.

Вредоносное ПО также имеет короткий срок хранения. Если вы инфицированы, что-то из этого нового 1%, скорее всего, будет одна часть вашей инфекции. Это не будет все инфекция: просто ее часть. Инструменты безопасности помогут вам найти и удалить более очевидные и известные вредоносные программы и, скорее всего, удалить все видимые симптомы (потому что вы можете продолжать копать, пока не дойдете до этого), но они могут оставить небольшие кусочки позади, например, кейлоггер или руткит, скрывающийся за некоторым новым эксплойтом, который инструмент безопасности еще не знает, как проверить. У средств защиты от вредоносных программ все еще есть свое место, но я позабочусь об этом позже.

противней, поскольку он не будет просто показывать рекламу, устанавливать панель инструментов или использовать ваш компьютер в качестве зомби. Современная вредоносная программа, скорее всего, подходит для банковской или кредитной карты. Люди, строящие этот материал, уже не просто сценаристы, искавшие славу; теперь они организованы профессионалами, мотивированными прибыль, и если они не могут украсть у вас прямо, они будут искать что нибудь они могут развернуться и продать. Это может быть обработка или сетевые ресурсы на вашем компьютере, но это может быть ваш номер социального страхования или шифрование ваших файлов и их хранение для выкупа.

Объедините эти два фактора и уже не стоит пытаться удалить вредоносное ПО из установленной операционной системы, Раньше я был очень хорош в том, чтобы удалить этот материал, до такой степени, что я сделал значительную часть своей жизни таким образом, и я больше не делаю попытку. Я не говорю, что этого не может быть сделано, но я говорю, что результаты затрат / выгод и анализа рисков изменились: это просто не стоит того. Слишком много на карту, и слишком легко получить результаты, которые только казаться чтобы быть эффективной.

Многие люди не согласятся со мной по этому поводу, но я сомневаюсь, что они недостаточно взвешивают последствия неудачи. Готовы ли вы делать ставки на свои сбережения, свой хороший кредит и даже свою личность, чтобы вы были лучше, чем мошенники, которые делают миллионы каждый день?  Если вы попытаетесь удалить вредоносную программу, а затем продолжаете работать с старой системой, это в точку что ты делаешь.

Я знаю, что есть люди, читающие это мышление: «Эй, я удалил несколько инфекций с разных машин и ничего плохого не произошло». Я тоже, друг. Я тоже. В прошлые дни я очистил свою долю зараженных систем. Тем не менее, я предлагаю теперь добавить «еще» в конец этого утверждения. Вы можете быть эффективны на 99%, но вы должны быть только один раз, а последствия неудачи намного выше, чем когда-то; стоимость одного отказа может легко перевесить все другие успехи. У вас может даже быть машина, уже находящаяся там, в которой все еще есть бомба замедленного действия, ожидающая активации или сбор правильной информации, прежде чем сообщить об этом. Даже если у вас есть 100% -ный эффективный процесс, этот материал меняется все время. Помните: вы должны быть совершенны каждый раз; плохим парням нужно только однажды удаться.

Таким образом, это печально, но если у вас есть подтвержденная инфекция вредоносного ПО, полная переустановка компьютера должна быть первый вместо этого вы поворачиваете вместо последнего.


Вот как это сделать:

Прежде чем заразиться, убедитесь, что у вас есть способ переустановить любое приобретенное программное обеспечение, включая операционную систему, которое не зависит от чего-либо, хранящегося на вашем внутреннем жестком диске. Для этой цели обычно это означает, что вы наведете на cd / dvds или ключи продукта, но для операционной системы может потребоваться создать диски восстановления самостоятельно. Не используйте для этого раздел восстановления. Если вы подождете после заражения, чтобы убедиться, что у вас есть то, что вам нужно переустановить, вы можете снова заплатить за то же программное обеспечение. С появлением ransomware чрезвычайно важно регулярно получать резервные копии ваших данных (плюс, вы знаете, обычные не вредоносные вещи, такие как сбой жесткого диска).

Когда вы подозреваете, что у вас есть вредоносное ПО, посмотрите на другие ответы здесь. Есть много хороших инструментов. Моя единственная проблема - лучший способ их использования: я полагаюсь только на них для обнаружения. Установите и запустите инструмент, но как только он обнаружит доказательства реальной инфекции (больше, чем просто «отслеживание куки»), просто прекратите сканирование: инструмент выполнил свою работу и подтвердил вашу инфекцию.1

Во время подтвержденной инфекции, выполните следующие действия:

  1. Проверьте свои кредитные и банковские счета. К тому времени, когда вы узнаете об этой инфекции, реальный ущерб может быть уже нанесен. Примите любые меры, необходимые для защиты ваших карточек, банковского счета и личности. Измените пароли на любом веб-сайте, к которому вы обращались с зараженного компьютера. Не используйте скомпрометированный компьютер для этого. 
  2. Сделайте резервную копию своих данных (даже лучше, если у вас уже есть).
  3. Переустановите операционную систему, используя диски, поставляемые с компьютером, приобретаемые отдельно или диск восстановления, который вы должны были создать, когда компьютер был новым. Убедитесь, что переустановка включает полный переформатирование вашего диска; недостаточно восстановления системы или восстановления системы.
  4. Переустановите свои приложения.
  5. Убедитесь, что ваша операционная система и программное обеспечение полностью исправлены и обновлены.
  6. Запустите полную антивирусную проверку, чтобы очистить резервную копию с шага два.
  7. Восстановите резервную копию.

Если все сделано правильно, это может занять от двух до шести реальных часов вашего времени, распространяться в течение двух-трех дней (или даже дольше), пока вы ждете таких вещей, как приложения для установки, обновления окон для загрузки или большие файлы резервных копий для передачи ... но лучше, чем выяснять позже, что мошенники истощили ваш банковский счет. К сожалению, это то, что вам нужно сделать самому, или иметь того, кто поработает с вами. При типичной ставке консалтинга около $ 100 / час, можно дешевле купить новую машину, чем платить за магазин, чтобы сделать это. Если у вас есть друг, сделайте это за вас, сделайте что-нибудь приятное, чтобы выразить свою признательность. Даже вундеркинды, которые любят помогать вам создавать новые вещи или часто исправлять неисправное оборудование ненавидеть утомительная работа по очистке. Это также лучше, если вы возьмете свою собственную резервную копию ... ваши друзья не будут знать, где вы размещаете файлы, или какие из них действительно важны для вас. Вы находитесь в лучшем положении, чтобы взять хорошую резервную копию, чем они есть.

Вскоре даже этого может быть недостаточно, так как теперь есть вредоносная программа, способная заражать прошивку. Даже замена жесткого диска может не удалить инфекцию, и покупка нового компьютера станет единственным вариантом. К счастью, в то время, когда я пишу это, мы пока не до конца, но это определенно на горизонте и быстро приближается.


Если вы абсолютно настаиваете, вне всякой причины, что вы действительно хотите очистить свою существующую установку, а не начинать, то для любви к Богу убедитесь, что любой метод, который вы используете, включает одну из следующих двух процедур:

  • Удалите жесткий диск и подключите его как гостевой диск на другом (чистом!) Компьютере для запуска сканирования.

ИЛИ

  • Загрузитесь с CD / USB-ключа с помощью собственного набора инструментов, работающих под собственным ядром. Убедитесь, что изображение для этого получено и сожжено на чистом компьютере. Если необходимо, попросите друга сделать диск для вас.

Ни при каких обстоятельствах вы не должны пытаться очистить зараженную операционную систему, используя программное обеспечение, запущенное как гостевой процесс скомпрометированной операционной системы. Это просто глупо.


Конечно, лучший способ исправить инфекцию - это избежать этого, в первую очередь, и есть некоторые вещи, которые вы можете сделать, чтобы помочь в этом:

  1. Сохраните свою систему. Убедись, что ты быстро установить обновления для Windows, обновления Adobe, обновления для Java, обновления Apple и т. д. Это гораздо важнее, чем антивирусное программное обеспечение, и по большей части это не так сложно, если вы продолжаете работать. Большинство из этих компаний неофициально поселились во всех выпусках новых патчей в тот же день каждый месяц, поэтому, если вы продолжаете действовать, это не мешает вам часто. Прерывания Windows Update обычно происходят только при слишком длительном игнорировании. Если это случается с вами часто, оно включено вы изменить свое поведение. Эти важный,
  2. Не запускайте как администратор по умолчанию. В последних версиях Windows это так же просто, как оставить включенную функцию UAC.
  3. Используйте хороший инструмент брандмауэра. В наши дни брандмауэр по умолчанию в Windows на самом деле достаточно хорош. Возможно, вы захотите дополнить этот слой чем-то вроде WinPatrol, который помогает остановить вредоносную активность на лицевой стороне. Защитник Windows работает в этом качестве в некоторой степени. Основные плагины браузера Ad-Blocker также становятся все более полезными на этом уровне в качестве инструмента безопасности.
  4. Установите большинство подключаемых модулей браузера (особенно Flash и Java) на «Попросить активировать».
  5. Бег текущий антивирусная программа. Это далека пятая по сравнению с другими вариантами, поскольку традиционное программное обеспечение A / V часто просто неэффективно. Также важно подчеркнуть «текущий». У вас может быть лучшее антивирусное программное обеспечение в мире, но если оно не обновлено, вы можете просто удалить его.

    По этой причине я в настоящее время рекомендую Microsoft Security Essentials. (Начиная с Windows 8, Microsoft Security Essentials является частью Защитника Windows.) Там, вероятно, гораздо лучшие механизмы сканирования, но Security Essentials будет постоянно обновляться, даже не рискуя истекшей регистрацией. Таким образом, AVG и Avast также хорошо работают. Я просто не могу рекомендовать какое-либо антивирусное программное обеспечение, за которое вы действительно должны платить, потому что слишком распространено, что платная подписка упускается, и вы получаете устаревшие определения.

    Также стоит отметить, что теперь пользователям Mac необходимо запустить антивирусное программное обеспечение. Дни, когда они могли уйти без этого, давно прошли. В стороне, я думаю, что это веселый Теперь я должен рекомендовать пользователям Mac покупать антивирусное программное обеспечение, но рекомендовать пользователям Windows против него.

  6. Избегайте торрент-сайтов, warez, пиратского программного обеспечения и пиратских фильмов / видео. Этот материал часто вводится вредоносной программой человеком, который взломал или разместил его - не всегда, но достаточно часто, чтобы избежать всего беспорядка. Это часть того, почему взломщик будет делать это: часто они получат сокращение прибыли.
  7. Используйте свою голову при просмотре веб-страниц. Вы - самое слабое звено в цепочке безопасности. Если что-то звучит слишком хорошо, чтобы быть правдой, возможно, это так. Наиболее очевидной кнопкой загрузки является редкость, которую вы хотите использовать больше при загрузке нового программного обеспечения, поэтому перед тем, как щелкнуть эту ссылку, обязательно прочитайте и поймите все на веб-странице. Кроме того, вы предпочитаете загружать программное обеспечение и обновления / обновления непосредственно от поставщика или разработчика, а не от сторонних файловых веб-сайтов.

1 Хорошее время, чтобы указать, что я немного смягчил свой подход за последний год. Сегодня большинство «инфекций» относятся к категории PUP (потенциально нежелательных программ) и расширениям браузера, включенным в другие загрузки. Часто эти PUP / расширения можно безопасно удалить с помощью традиционных средств. В настоящее время это достаточно большой процент вредоносного ПО, который я могу остановить на этом этапе, и просто попробуйте функцию «Установка и удаление программ» или обычный вариант браузера, чтобы удалить расширение. Тем не менее, при первом признаке чего-то более глубокого - любой намек на то, что программное обеспечение не просто удалит нормально - и оно вернется к повторной обработке машины.


257



Кажется, это самый мудрый, в наше время. Я бы добавил, что есть некоторая причина для того, чтобы некоторые вредоносные программы были подлыми: они останутся бездействующими и будут использовать ваш компьютер для других действий. Может быть проксирование, хранение вещей более или менее незаконным или быть частью атаки DDOS. - Gnoupi
@ConradFrix Слишком скоро сказать ... Мне не нужно было делать это на ПК с Windows 8 еще ... но я пессимистичен, потому что это не приводит к переформатированию диска. Windows 8 включает в себя несколько улучшений безопасности, включая запуск антивирусного программного обеспечения со времени 0 как часть ОС, так что я надеюсь, что никогда не понадобится делать это для Windows 8 вообще. - Joel Coehoorn
@DanielRHicks читает полное предложение. Это от двух до шести часов вашего времени, разбросаны в течение дня или трех, где вы эффективно пинаете что-то и проверяете позже. Если ты все-таки сидишь, то да: это займет немного времени. - Joel Coehoorn
@JoelCoehoorn Является ли это только мной, или вредоносное ПО, это продвинутое, также заражает прошивку на всех видах компонентов, делающих любые попытки удаления бесполезными? - Enis P. Aginić
Помните, что если вы берете резервную копию ПОСЛЕ обнаружения заражения, очень вероятно, что сама резервная копия заражена. Скачайте резервную копию перед попыткой восстановления. - Tejas Kale


Как узнать, заражен ли мой компьютер?

Общими симптомами для вредоносного ПО могут быть все. Обычными являются:

  • Машина работает медленнее, чем обычно.
  • Случайные сбои и все, что происходит, когда они не должны (например, некоторые новые вирусы устанавливают ограничения групповой политики на вашем компьютере, чтобы предотвратить запуск диспетчера задач или других диагностических программ).
  • Диспетчер задач показывает высокий уровень производительности процессора, если вы считаете, что ваша машина не работает (например, <5%).
  • Объявления появляются случайно.
  • Предупреждения о вирусах появляются из антивируса, который вы не помните при установке (антивирусная программа является подделкой и пытается заявить, что у вас есть ужасные звуковые вирусы с именами, такими как «bankpasswordstealer.vir». Вам рекомендуется заплатить за эту программу, чтобы очистить эти ).
  • Всплывающие / поддельные синий экран смерти (BSOD) с просьбой позвонить номер, чтобы исправить инфекцию.
  • Интернет-страницы, перенаправленные или заблокированные, например, домашние страницы AV-продуктов или сайтов поддержки (www.symantec.com, www.avg.com, www.microsoft.com) перенаправляются на сайты, заполненные рекламными объявлениями, или поддельные сайты, продвигающие фиктивные антивирусы вирусов / «полезных» инструментов удаления или полностью заблокированы.
  • Увеличенное время запуска, когда вы не устанавливали никаких приложений (или патчей) ... Это неудобно.
  • Ваши личные файлы зашифрованы, и вы видите примечание о выкупе.
  • Что-то синее, если вы «знаете» свою систему, вы обычно знаете, когда что-то очень не так.

Как мне избавиться от этого?

Использование Live CD

Так как зараженный компьютер может быть скомпрометирован, вероятно, более безопасно сканировать диск с Live CD. На компакт-диске загрузится специализированная операционная система на вашем компьютере, которая затем сканирует жесткий диск.

Есть, например, Аварийная спасательная система Avira Antivir или UBCD4Win, Больше предложений можно найти по адресу Список загружаемых компакт-дисков такие как:

  • Kaspersky Rescue CD
  • BitDefender Rescue CD
  • F-Secure Rescue CD
  • Аварийный диск Avira Antivir
  • Комплект компакт-дисков Trinity Rescue Kit
  • AVG Rescue CD

Подключение жесткого диска к другому ПК

Если вы подключаете зараженный жесткий диск к чистой системе, чтобы проверить его, убедитесь, что вы обновили определения вирусов для всех продуктов, которые будут использоваться для сканирования зараженного диска. Ожидание недели, позволяющее антивирусным провайдерам выпускать новые определения вирусов, может повысить ваши шансы на обнаружение всех вирусов.

Убедитесь, что ваша зараженная система остается отключенной от Интернета, как только вы обнаружите, что она заражена. Это предотвратит возможность загрузки новых выпусков вирусов (среди прочего).

Начните с хорошего инструмента, такого как Поиск и уничтожение Spybot или Malwarebytes 'Anti-Malware и выполнить полное сканирование. Также попробуйте ComboFix, а также SuperAntiSpyware, Ни один антивирусный продукт не будет иметь каждого определения вируса. Использование нескольких продуктов является ключевым (не для защиты в режиме реального времени). Если хотя бы один вирус останется в системе, он сможет загружать и устанавливать все последние версии новых вирусов, и все усилия до сих пор были бы напрасными.

Удаление подозрительных программ из загрузки

  1. Запуск в безопасном режиме.
  2. использование msconfig для определения того, какие программы и службы запускаются при загрузке (или запуск в диспетчере задач в Windows 8).
  3. Если есть подозрительные программы / службы, удалите их из загрузки. Else перейдите к использованию Live CD.
  4. Перезапуск.
  5. Если симптомы не исчезают и / или программа заменяет себя при запуске, попробуйте использовать программу, называемую Autoruns найти программу и удалить ее оттуда. Если ваш компьютер не запускается, Autoruns имеет функцию, в которой ее можно запустить со второго компьютера под названием «Анализ автономного ПК». Обратите особое внимание на Logon а также Scheduled tasks Вкладки.
  6. Если по-прежнему нет успеха в удалении программы, и вы уверены, что это причина ваших проблем, загрузитесь в обычный режим и установите инструмент, называемый Unlocker
  7. Перейдите к местоположению файла, который является этим вирусом, и попытайтесь использовать unlocker, чтобы его убить. Может произойти несколько вещей:
    1. Файл удаляется и не появляется при перезапуске. Это лучший случай.
    2. Файл удаляется, но сразу же появляется. В этом случае используйте программу, называемую Монитор процессов чтобы узнать программу, которая заново создала файл. Вам также потребуется удалить эту программу.
    3. Файл не может быть удален, разблокировка предложит вам удалить его при перезагрузке. Сделайте это и посмотрите, появится ли оно снова. Если это так, у вас должна быть загруженная программа, которая заставляет это произойти, и пересмотреть список программ, запускаемых при загрузке.

Что делать после восстановления

Теперь он должен быть безопасным (надеюсь) для загрузки в вашу (ранее) зараженную систему. Тем не менее, держите глаза открытыми для признаков инфекции. Вирус может оставлять изменения на компьютере, что облегчит повторное заражение даже после удаления вируса.

Например, если вирус изменил настройки DNS или прокси-сервера, ваш компьютер перенаправит вас на поддельные версии законных веб-сайтов, так что загрузка того, что, как представляется, является хорошо известной и надежной программой, может фактически загрузить вирус.

Они также могут получать ваши пароли, перенаправляя вас на поддельные сайты банковских счетов или поддельные почтовые сайты. Обязательно проверьте настройки DNS и прокси. В большинстве случаев ваш DNS должен быть предоставлен вашим интернет-провайдером или автоматически приобретен DHCP. Настройки прокси-сервера должны быть отключены.

Проверьте свои hosts файл (\%systemroot%\system32\drivers\etc\hosts) для любых подозрительных записей и немедленно удалить их. Также убедитесь, что ваш брандмауэр включен и что у вас есть все последние обновления Windows.

Затем защитите свою систему с помощью хорошего антивируса и добавьте ее в продукт Anti-malware. Основы безопасности Microsoft часто рекомендуется наряду с другими продуктами,

Что делать, если все не удается

Следует отметить, что некоторые вредоносные программы очень хорошо избегают сканеров. Возможно, что как только вы заразитесь, он может установить руткитов или подобным, чтобы оставаться невидимым. Если все действительно плохо, единственный вариант - стереть диск и переустановить операционную систему с нуля. Иногда сканирование с использованием GMER или Kaspersky Убийца TDSS может показать вам, есть ли у вас руткит.

Вы можете сделать несколько прогонов поиска и уничтожения Spybot. Если после трех прогонов он не может удалить заражение (и вы не можете сделать это вручную), подумайте о переустановке.

Еще одно предложение: Combofix это очень мощный инструмент для удаления, когда руткиты предотвращают запуск или установку других вещей.

Использование нескольких механизмов сканирования, безусловно, может помочь найти скрытые скрытые файлы, но это непростая задача, и хорошая стратегия резервного копирования / восстановления будет более эффективной и безопасной.


Бонус: есть интересная серия видеороликов, начиная с "Понимание и борьба с вредоносными программами: вирусы, шпионские программы " с Марком Руссиновичем, создателем Sysinternals ProcessExplorer и Autoruns, о очистке вредоносных программ.


197



Протирание диска часто является самым быстрым и безопасным маршрутом, поскольку предлагается на всем протяжении этого сайта как «лучший ответ», - Ivo Flipse♦
По моему опыту, я бы не стал доверять шпиботу в качестве своего первого выбора. Avira, Kaspersky Virus Removal Tool и AVG являются хорошим выбором по сравнению с AV-сравнительным av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/... - fluxtendu
Одно из предложений заключается в том, что многие из этих вредоносных программ делать крадут пароли и банковские данные, поэтому неплохо было бы отключиться от Интернета, как только вы стали подозрительными к заражению. Это очень хорошо, может быть, слишком поздно, но есть вероятность, что вы ограничите утечку данных или не сможете самим обновить вредоносное ПО до тех пор, пока вы не добьетесь успеха в вашей очистке. - emgee
@emgee Хорошее эмпирическое правило: если вы сомневаетесь, вытащите его (вилка Ethernet) - Nate Koppenhaver
Combofix.org не является официальным местом загрузки Combofix и не авторизован или не рекомендован автором Combofix. Официальная загрузка Вот, - Andrew Lambert


В Jeff Atwood есть несколько замечательных советов по защите от вредоносных программ «Как очистить заражение программ-шпионов Windows», Вот основной процесс (обязательно прочитайте сообщение в блоге для скриншотов и других подробностей, которые этот краткий глоссал):

  1. Остановите все запущенные программы-шпионы. Встроенный диспетчер задач Windows не будет его обрезать; получить Проводник процессов Sysinternals,
    1. Запустите Process Explorer.
    2. Отсортируйте список процессов по названию компании.
    3. Убейте любые процессы, у которых нет имени компании (за исключением DPC, прерываний, системного и системного режима ожидания) или у которых есть имена компаний, которые вы не узнаете.
  2. Остановите запуск шпионских программ при следующем запуске системы. Опять же, встроенный инструмент Windows, MSconfig, является частичным решением, но Автозапуск Sysinternals это инструмент для использования.
    1. Запустите AutoRuns.
    2. Пройдите весь список. Снимите отметки с подозрительных записей - те, у которых есть пустые имена издателей или любое имя издателя, которое вы не распознаете.
  3. Теперь перезагрузитесь.
  4. После перезагрузки перепроверьте с помощью Process Explorer и AutoRuns. Если что-то «вернется», вам придется копать глубже.
    • В примере Джеффа, что-то, что вернулось, было подозрительной записью драйвера в AutoRuns. Он рассказывает об отслеживании процесса, который загружал его в Process Explorer, закрывая дескриптор и физически удаляя драйвер изгоев.
    • Он также обнаружил, что в процесс Winlogon подключен файл DLL с необычным именем и демонстрирует обнаружение и уничтожение потоков процессов, загружающих эту DLL, чтобы AutoRuns могли окончательно удалить записи.

86



Кроме того, Trend Micro HijackThis это бесплатная утилита, которая создает подробный отчет о настройках реестра и файла с вашего компьютера. Я предупреждаю, что это находит хорошие и плохие вещи, и не делает различий, но Google - наш друг, если мы подозрительны. - Umber Ferrule
Ссылка Sysinternals Process Explorer мертва. Эти ответы касаются некоторых результатов Google. Может ли кто-нибудь обновить это с обновленной ссылкой? Я тоже ищу его. - Malavos
Автонастройки фантастичны, но предложение полагаться на издателя может оказаться нецелесообразным. Этот вопрос stackoverflow показывает, как информация о версии может быть легко изменена (и, следовательно, подделана) [stackoverflow.com/questions/284258/..., Я пробовал это на Java DLL, и Autoruns неправильно отображали издателя. - AlainD
нарушена ссылка автонастройки systernals - Daniel


Мой способ удаления вредоносных программ эффективен, и я никогда не видел его сбой:

  1. Скачать Autoruns и если вы все еще запускаете 32-разрядную загрузку руткит-сканера.
  2. Загрузитесь в безопасный режим и запустите Autoruns, если вы в состоянии, а затем перейдите к шагу 5.
  3. Если вы не можете войти в безопасный режим, подключите диск к другому компьютеру.
  4. Запустите Autoruns на этом компьютере, перейдите в File -> Analyse Offline System и заполните его.
  5. Подождите, пока сканирование будет выполнено.
  6. В меню «Параметры» выберите все.
  7. Позвольте снова сканировать, нажав F5. Это будет быстро, поскольку все кэшируется.
  8. Перейдите в список и снимите отметку со всего, что является сочувственным или не имеет подтвержденной компании.
  9. Необязательный: Запустите руткит-сканер.
  10. Позвольте первому вирусописателю удалить все оставшиеся файлы.
  11. Необязательный: Запустите антивирусные программы и антишпионские сканеры, чтобы избавиться от мусора.
  12. Необязательный: Запустите инструменты, такие как HijackThis / OTL / ComboFix, чтобы избавиться от мусора.
  13. Перезагрузите и наслаждайтесь чистой системой.
  14. Необязательный: Запустите руткит сканер снова.
  15. Убедитесь, что ваш компьютер достаточно защищен!

Некоторые замечания:

  • Автозапуск написан Microsoft и, таким образом, показывает все места, которые автоматически запускаются ...
  • После того, как программное обеспечение отключено от Autoruns, оно не запускается и не может помешать вам удалить его ...
  • Там не существует руткитов для 64-разрядных операционных систем, потому что они должны быть подписаны ...

Он эффективен, поскольку он отключит вредоносное ПО / шпионское ПО / вирусы от запуска,
вы можете запускать дополнительные инструменты для очистки любого нежелательного файла, который остался в вашей системе.


49





Следуйте приведенному ниже порядку для дезинфекции вашего ПК.

  1. На ПК, который не заражен, сделайте загрузочный AV-диск, затем загрузитесь с диска на зараженный компьютер и сканируйте жесткий диск, удалите все обнаруженные инфекции. Я предпочитаю Защитник Windows загрузите CD / USB, поскольку он может удалить вирусы загрузочного сектора, см. «Примечание» ниже.

    Или, вы можете попробовать некоторые другие диски AV Boot,

  2. После сканирования и удаления вредоносных программ с помощью загрузочного диска установите бесплатный МБАМ, запустите программу и перейдите на вкладку «Обновление» и обновите ее, затем перейдите на вкладку «Сканер» и выполните быстрое сканирование, выберите и удалите все, что он найдет.

  3. Когда MBAM выполняется, установите ПАВ бесплатную версию, запустите быстрое сканирование, удалите то, что он автоматически выбирает.

  4. Если системные файлы Windows были заражены вам может потребоваться запустить SFC для замены файлов, вам, возможно, придется делать это в автономном режиме если он не будет загружен из-за удаления зараженных системных файлов. Я рекомендую вам запустить SFC после удаления любого заражения.

  5. В некоторых случаях вам, возможно, придется запустить автозапуск (Только для Windows Vista и Windows7), чтобы снова загрузиться. В крайних случаях может потребоваться 3 ремонтных работ подряд.

MBAM и SAS не являются программными продуктами AV, такими как Norton, они являются сканерами по требованию, которые только сканируют на гадости при запуске программы и не будут мешать вашему установленному AV, их можно запустить один раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновите их перед каждым ежедневным еженедельным просмотром.

Обратите внимание: что автономный продукт Windows Defender очень хорош при удалении постоянные MBR-инфекции которые являются общими в наши дни.

,

Для продвинутых пользователей:

Если у вас есть одна инфекция, которая представляет собой программное обеспечение, то есть «Системное исправление» «AV Security 2012» и т. см. эту страницу для конкретных руководств по удалению

,


44



Возможно, лучшим решением является второй компьютер, посвященный антивирусной проверке, поскольку вы не полагаетесь на зараженный диск для своей системы. Однако, помимо фирм компьютерной поддержки, я сомневаюсь, что у многих людей есть такое готовое решение. - Gnoupi
Если нет выделенного ПК, аналогичную процедуру можно выполнить, загрузив систему с помощью live CD - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
например: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Также как примечание Подсистема автономной системы Microsoft просто старое название Защитника Windows Оффлайн, если кто-то тоже это обнаружит. - Scott Chamberlain


Если вы заметили какой-либо из симптомов, необходимо проверить одно из параметров DNS в вашем сетевом соединении.

Если они были изменены либо с «Получить адрес DNS-сервера автоматически», либо на другой сервер из того, который должен быть, то это хороший признак того, что у вас есть инфекция. Это будет причиной перенаправления с сайтов защиты от вредоносных программ или полного отказа от доступа к сайту.

Вероятно, это хорошая идея, чтобы принять к сведению ваши настройки DNS до заражения, чтобы вы знали, какими они должны быть. Также информация будет доступна на страницах справки вашего веб-сайта вашего интернет-провайдера.

Если вы не заметили DNS-серверы и не можете найти информацию на своем сайте провайдера, то использование DNS-серверов Google является хорошей альтернативой. Они могут быть найдены в 8.8.8.8 и 8.8.4.4 для первичного и вторичного серверов соответственно.

Хотя сброс DNS не устранит проблему, он позволит вам: а) дойти до сайтов защиты от вредоносных программ, чтобы получить программное обеспечение, необходимое для очистки ПК, и b) указать, если заражение повторяется, когда параметры DNS снова изменятся.


35





Возможные решения для вирусной инфекции: (1) антивирусное сканирование, (2) восстановление системы, (3) полная переустановка.

Сначала убедитесь, что все ваши данные скопированы.

Загрузите и установите некоторые антивирусы, убедитесь, что они в актуальном состоянии, и сканируйте ваш жесткий диск. Я рекомендую использовать хотя бы Malwarebytes 'Anti-Malware, Мне также нравится Аваст.

Если это не работает по какой-либо причине, вы можете использовать сканер для спасения live-CD-вирусов: мне нравится больше всего Аварийная система Avira AntiVir потому что он обновляется несколько раз в день, поэтому загрузочный компакт-диск является актуальным. В качестве загрузочного компакт-диска он автономный и не работает с вашей системой Windows.

Если вирус не найден, используйте «sfc / scannow» для восстановления важных файлов Windows.
Видеть это статья,

Если это также не сработает, вы должны Выполнение ремонтной установки,

Если ничего не работает, вы должны отформатировать жесткий диск и переустановить Windows.


31



Когда я заразился недавним вирусом / трояном, я использовал Knoppix на USB-накопителе, запустил apt-get wine, установил Dr Web Cure-It на сеансе вина и провел его, чтобы очистить мою инфекцию. Я должен был сделать это так, потому что мой ноутбук не загрузил некоторые другие альтернативы live-CD. - PP.


Существует большое количество вредоносных программ. Некоторые из них тривиально найти и удалить. Некоторые из них сложнее. Некоторые из них действительно трудно найти и очень трудно удалить.

Но даже если у вас есть умеренное вредоносное ПО, вам следует серьезно подумать о перестройке и переустановке ОС. Это связано с тем, что ваша безопасность уже потерпела неудачу, и если она не удалась для простой вредоносной программы, возможно, вы уже заражены вредоносной программой.

Люди, работающие с конфиденциальными данными или внутри сетей, где хранятся конфиденциальные данные, должны серьезно подумать об удалении и повторной установке. Люди, чье время ценно, должны сильно подумать о том, чтобы стереть и переустановить (это самый быстрый и простой и надежный метод). Люди, которым не нравятся продвинутые инструменты, должны серьезно подумать об удалении и повторной установке.

Но люди, которые имеют время и наслаждаются лакомством, могут попробовать методы, перечисленные в других сообщениях.


30



Верный. Этот материал предназначен для того, чтобы обойти безопасность, очистку и обычное использование ОС. Не принимайте участие в гонке вооружений. Нулевой перенос - единственная политика. - XTL


Вымогатели

Более новая, особенно ужасная форма вредоносного ПО вымогателей, Эта программа, обычно поставляемая с троянцем (например, вложением электронной почты) или эксплойтом браузера, проходит через файлы вашего компьютера, шифрует их (делает их полностью неузнаваемыми и непригодными) и требует выкупа, чтобы вернуть их в полезную государство.

Ransomware обычно использует криптография с асимметричным ключом, который включает в себя два ключа: открытый ключ и закрытый ключ, Когда вы попадаете в систему ransomware, вредоносная программа, запущенная на вашем компьютере, подключается к серверу плохих парней (команда и управление или C & C), которая генерирует оба ключа. Он только отправляет открытый ключ на вредоносную программу на вашем компьютере, так как это все, что нужно для шифрования файлов. К сожалению, файлы могут быть дешифрованы только с помощью закрытого ключа, который никогда не попадает в память вашего компьютера, если реконструировано хорошо написанное. Плохие парни обычно заявляют, что они дадут вам секретный ключ (тем самым позволяя вам расшифровать ваши файлы), если вы заплатите, но, конечно, вы должны доверять им, чтобы сделать это.

Что ты можешь сделать

Лучшим вариантом является переустановка ОС (для удаления всех следов вредоносного ПО) и восстановление ваших личных файлов из резервных копий, которые вы делали ранее. Если у вас нет резервных копий сейчас, это будет более сложной задачей. Сделайте привычку создавать резервные копии важных файлов.

Выплата средств, вероятно, позволит вам восстановить ваши файлы, но не делайте, Это поддерживает их бизнес-модель. Кроме того, я говорю: «Вероятно, вы выздоровеете», потому что я знаю, по крайней мере, два штамма, которые так плохо написаны, что они непоправимо искажают ваши файлы; даже соответствующая программа дешифрования фактически не работает.

альтернативы

К счастью, есть третий вариант. Многие разработчики Ransomware допустили ошибки, которые позволяют хорошим профессионалам безопасности разрабатывать процессы, которые устраняют ущерб. Процесс для этого полностью зависит от напряжения выкупа, и этот список постоянно меняется. Некоторые замечательные люди собрались вместе большой список вариантов вымогательства, включая расширения, применяемые к заблокированным файлам, и имя выписки выкупа, которое может помочь вам определить, какая версия у вас есть. Для довольно многих штаммов этот список также имеет ссылку на бесплатный дешифратор! Следуйте инструкциям (ссылки находятся в столбце Decryptor) для восстановления ваших файлов. Прежде чем вы начнете, используйте другие ответы на этот вопрос, чтобы убедиться, что программа ransomware удалена с вашего компьютера.

Если вы не можете определить, с чего вы попали, только из названий расширений и выкупа, попробуйте найти в Интернете несколько отличительных фраз из примечания о выкупе. Ошибки орфографии или грамматики обычно довольно уникальны, и вы, скорее всего, придете к теме форума, которая идентифицирует выкуп.

Если ваша версия еще не известна или у вас нет свободного доступа к расшифровке файлов, не теряйте надежды! Исследователи безопасности работают над отменой выкупа, а правоохранительные органы продолжают работу над разработчиками. Вполне возможно, что в конечном итоге появится расшифровка. Если выкуп ограничен временем, возможно, что ваши файлы по-прежнему будут восстановлены, когда исправление будет разработано. Даже если нет, пожалуйста, не платите, если вам абсолютно не нужно. Пока вы ждете, убедитесь, что на вашем компьютере нет вредоносного ПО, снова используя другие ответы на этот вопрос. Подумайте о резервном копировании зашифрованных версий ваших файлов, чтобы сохранить их в безопасности до тех пор, пока не появится исправление.

Как только вы восстановите как можно больше (и сделайте резервное копирование его на внешний носитель!), Настоятельно рекомендуем установить ОС с нуля. Опять же, это сдует любую вредоносную программу, которая глубоко проникла внутрь системы.

Дополнительные специальные рекомендации

Некоторые подсказки, разработанные с помощью ремиксов, которые еще не находятся в большой таблице:

  • Если инструмент дешифрования для LeChiffre не работает, вы можете восстановить все, кроме первого и последнего 8 Кбайт данных каждого файла, используя шестнадцатеричный редактор. Перейдите на адрес 0x2000 и скопируйте все, кроме последних 0x2000 байт. Маленькие файлы будут полностью разрушены, но с некоторыми попытками вы сможете получить что-то полезное из более крупных.
  • Если вы попали WannaCrypt и вы используете Windows XP, не перезагружались с момента заражения, и вам повезло, вы можете извлечь закрытый ключ с помощью Wannakey,
  • (другие будут добавлены по мере их обнаружения)

Вывод

Ransomware неприятен, и печальная реальность заключается в том, что из нее не всегда можно оправиться. Чтобы быть в безопасности в будущем:

  • Обновляйте свою операционную систему, веб-браузер и антивирус
  • Не открывайте вложения электронной почты, которых вы не ожидали, особенно если вы не знаете отправителя
  • Избегайте отрывочных веб-сайтов (т. Е. Тех, кто содержит незаконный или этически сомнительный контент)
  • Убедитесь, что ваша учетная запись имеет доступ только к документам, которые вам лично необходимы для работы с
  • Всегда есть рабочие резервные копии на внешние носители (не подключенные к компьютеру)!

28



Есть несколько доступных программ, которые якобы защищают вас от вымогательства, например: winpatrol.com/WinAntiRansom (коммерческая программа). Я никогда не использовал это, потому что я больше не в Windows, но продукт этой компании WinPatrol - это тот, который я использовал в течение многих лет и часто рекомендую. Некоторые из разработчиков антивирусов имеют доступные средства защиты от угроз, иногда в качестве более дорогостоящего варианта. - fixer1234
Для получения дополнительной информации о том, как удалить Petya ransomware, также см. Этот вопрос и ответ: superuser.com/questions/1063695/... - fixer1234
Я бы добавил еще одну вещь в список рекомендаций в заключении: избегайте посещать сайты, которые способствуют неправомерному или аморальному поведению, таким как пиратство в средствах массовой информации и в программном обеспечении; содержание, которое объявлено вне закона в большинстве стран мира; и т. д. Эти сайты часто наименее которые не делают никаких реальных попыток фильтровать контент своих «объявлений» вообще, что позволяет преступникам вводить вашу веб-страницу с содержанием, которое предоставляет вредоносное ПО или пытается использовать ваш браузер для доступа к вашей системе. Иногда даже хороший рекламный блок пропустит этот материал. - allquixotic
@allquicatic Я добавил маркер в эту жилку. Дайте мне знать, если что-то еще можно расширить. Благодаря! - Ben N


Еще один инструмент, который я хотел бы добавить к обсуждению, - это Сканер безопасности Microsoft, Он был выпущен всего несколько месяцев назад. Это немного похоже на Средство удаления вредоносных программ, но предназначен для использования в автономном режиме. Он будет иметь последние определения с момента его загрузки и будет использоваться только в течение 10 дней, так как он рассмотрит файл определений, «слишком старый для использования». Загрузите его с другого компьютера и запустите его в безопасном режиме. Это работает очень хорошо.


24





Сначала немного теории: пожалуйста, поймите, что нет никакой замены для понимания,

Конечная антивирус является понять, что вы делаете и вообще то, что происходит с вашей системой, с собственным умом и в так называемой реальности.

Никакое количество программного обеспечения или оборудования не будет полностью защищать вас от вас самих и от ваших собственных действий, которые в большинстве случаев - это то, как вредоносное ПО попадает в систему в первую очередь.

Большинство современных «производственных уровней» вредоносных программ, рекламного ПО и программ-шпионов полагаются на различные трюки «социальной инженерии», чтобы обмануть вас в установке «полезных» приложений, надстроек, панелей инструментов браузера, «антивирусных сканеров» или щелчка большими зелеными Скачать кнопки, которые будут устанавливать вредоносное ПО на вашем компьютере.

Даже установщик для предположительно доверенного приложения, такого как, например, uTorrent, будет устанавливать рекламное ПО по умолчанию и, возможно, шпионское ПО, если вы просто нажмете следующий и не тратьте время, чтобы прочитать, что означают все флажки.

Лучший способ борьбы с трюками социальной инженерии, которые используют хакеры, - это обратная социальная инженерия - если вы освоите эту технику, вам удастся избежать большинства типов угроз и сохранить чистую и здоровую систему даже без антивируса или брандмауэра.

Если вы заметили признаки вредоносных / незатребованных форм жизни, населяющих вашу систему, единственным чистым решением было бы полностью переформатировать и переустановить вашу систему. Создайте резервную копию, как описано в других ответах здесь, быстро отформатируйте диски и переустановите свою систему или, что еще лучше, переместите полезные данные в внешнее хранилище и перерисуйте системный раздел с чистого дампа, который вы сделали ранее.

На некоторых компьютерах есть опция BIOS, чтобы вернуть систему к исходным заводским настройкам. Даже если это может показаться чересчур избыточным, это никогда не повредит, и, что более важно, это решит все другие возможные проблемы, независимо от того, знаете ли вы о них или нет, без необходимости обрабатывать каждую проблему один за другим.

Лучший способ «исправить» взломанную систему - вообще не исправить, а вместо этого вернуться к известному «хорошему» снимку с помощью своего рода программного обеспечения для создания разделов, такого как Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, или, например, dd если вы сделали резервную копию из Linux.


20