感染的症状是什么?
注意到感染后该怎么办?
我该怎么办?
如何防止恶意软件感染?
这个问题经常出现,建议的解决方案通常是相同的。该社区Wiki试图作为确定性,最全面的答案。
通过编辑随时添加您的贡献。
#1 楼
问题来了:近年来,恶意软件变得更加狡猾和肮脏:Sneakier,不仅是因为它更适合隐藏在Rootkit或EEPROM hacks中,而且还因为它可以打包传播。微妙的恶意软件可以隐藏在更明显的感染之后。答案中列出了很多好的工具,它们可以找到99%的恶意软件,但始终只有1%的恶意软件无法找到。通常,这1%是新东西:恶意软件工具无法找到,因为它刚刚出现,并且正在使用一些新的漏洞利用或技术来隐藏工具尚不了解的自身。
恶意软件的保质期也很短。如果您被感染,那么那新的1%的几率很可能是感染的一部分。这不会是全部感染:只是一部分。安全工具将帮助您发现和删除更明显,更知名的恶意软件,并且很有可能删除所有可见的症状(因为您可以一直挖掘直到发现那么多为止),但它们可以留下一些小东西,例如键盘记录器或rootkit隐藏在安全工具尚不知道如何检查的一些新漏洞之后。反恶意软件工具仍然占有一席之地,但是我稍后再讨论。
Nastier,因为它不仅会展示广告,安装工具栏或将您的计算机当作僵尸使用不再。现代恶意软件可能正好适合银行或信用卡信息。建立这些东西的人不再只是寻找名望的剧本小子;他们现在是受利润驱动的有组织的专业人员,如果他们不能直接从您那里窃取资金,他们会寻找可以转手并出售的东西。这可能是您计算机中的处理资源或网络资源,但也可能是您的社会保险号或加密文件并为赎金进行保存。
将这两个因素放在一起,甚至不再需要从已安装的操作系统中删除恶意软件。我曾经非常擅长删除这些内容,以至于我以这种方式成为了我生活中的重要部分,甚至不再尝试。我并不是说无法做到这一点,而是要说成本/收益和风险分析结果已经改变:这不再值得了。问题太多了,要获得看起来似乎是有效的结果太容易了。
很多人对此会持不同意见,但是我挑战他们没有足够充分地权衡失败的后果。您是否愿意下注自己的人生积蓄,良好的信誉甚至身份,以证明自己比每天赚百万的骗子要好?如果您尝试删除恶意软件,然后继续运行旧系统,那正是您的工作。
我知道外面有人读过这样的想法:“嘿,我从各种机器上清除了几份感染,没有发生任何不好的事情。”我也是,朋友我也是。在过去的几天里,我清理了自己的被感染系统。但是,我建议我们现在需要在该声明的末尾添加“还”。您可能有99%的效率,但是您一次就必须犯错,失败的后果要比过去要高得多。一个失败的代价很容易超过其他所有成功的代价。您甚至可能已经拥有一台机器,里面仍然装有滴答定时炸弹,只是在等待激活或收集正确的信息之后才将其报告回来。即使您现在有一个100%有效的流程,这些东西也会一直在变化。记住:每次都要完美。坏人只需要幸运一次即可。
总而言之,这很不幸,但是如果您确认感染了恶意软件,则应该完全重新铺设计算机,而不是把它放在首位。最后。
这里是完成此操作的方法:
在被感染之前,请确保您有一种方法可以重新安装任何购买的软件,包括操作系统,该软件不依赖于存储的任何内容在内部硬盘上。为此,通常只意味着挂在cd / dvds或产品密钥上,但是操作系统可能会要求您自己创建恢复磁盘。1不要为此依赖恢复分区。如果您等到感染后才确定需要重新安装,则可能会发现自己再次购买了相同的软件。随着勒索软件的兴起,定期备份数据也非常重要(此外,还要定期进行非恶意的事情,例如硬盘故障)。
如果怀疑自己有恶意软件,请查看其他答案在这里。建议有很多好的工具。我唯一的问题是使用它们的最佳方法:我仅依靠它们进行检测。安装并运行该工具,但只要找到真正感染的证据(不仅仅是“跟踪cookie”),就停止扫描:该工具已完成工作并确认感染。2
在确认感染时,请执行以下步骤:
检查您的信用卡和银行帐户。在您发现有关感染的信息时,可能已经造成了真正的损害。采取任何必要的步骤来保护您的卡,银行帐户和身份。
在从受感染计算机访问的任何网站上更改密码。请勿使用受到感染的计算机执行任何上述操作。
备份数据(如果已有的话,甚至可以做得更好)。
使用直接从OS发布者处获得的原始媒体重新安装操作系统。确保重新安装包括磁盘的完整重新格式化;进行系统还原或系统恢复操作是不够的。
重新安装应用程序。
请确保已对操作系统和软件进行了全面修补并保持最新状态。
运行完整的防病毒扫描以清除第3步中的备份。
还原备份。
如果操作正确,可能会花费您两到六个小时的真实时间,在等待安装应用程序,下载Windows更新或传输大型备份文件之类的过程中,它们分散了两到三天(甚至更长的时间)……但是,比以后发现骗子耗尽了您的银行帐户要好得多。不幸的是,这是您应该自己做的事情,或者是有个好朋友为您做的事情。以每小时约100美元的典型咨询费率,购买一台新机器比付钱给一家商店要便宜。如果您有朋友为您做,请做点好事表示感谢。即使是喜欢帮助您设置新事物或修复损坏的硬件的怪胎,也常常讨厌乏味的清理工作。如果您自己备份,那也是最好的……您的朋友不会知道您将哪些文件放在哪里,或者哪些文件对您而言真的很重要。与传统备份相比,您处于更好的位置。
很快,即使这一切可能还不够,因为现在有能够感染固件的恶意软件。即使更换硬盘驱动器也可能无法消除感染,因此购买新计算机将是唯一的选择。值得庆幸的是,在我写这篇文章的时候,我们还没到那个地步,但是它肯定已经到来并且正在迅速发展。
如果您绝对坚持,出于所有原因,您确实要清理现有安装而不是重新开始,然后为了上帝的爱,请确保您使用的任何方法都涉及以下两个过程之一:
卸下硬盘驱动器并将其作为来宾磁盘连接到另一台(干净的!)计算机中以运行扫描。
OR
从CD / USB密钥引导并带有自己的工具集,运行其自己的内核。确保已获得用于此目的的图像并将其在干净的计算机上刻录。如有必要,请一位朋友为您制作磁盘。
在任何情况下,您都不应尝试使用作为受感染操作系统的来宾进程运行的软件来清理受感染的操作系统。
当然,修复感染的最佳方法是首先避免感染,并且您可以做一些事情来帮助解决此问题:
对系统进行修补。确保立即安装Windows Update,Adobe Update,Java Update,Apple Update等。这比防病毒软件重要得多,而且只要保持最新状态,这在大多数情况下并不难。这些公司中的大多数公司都每月在同一天非正式地解决所有发布的新补丁程序,因此,如果您保持最新状态,它不会经常打扰您。 Windows Update中断通常仅在您忽略它们太长时间时才会发生。如果这种情况经常发生在您身上,那么您就要改变自己的行为。这些很重要,即使现在比较容易,也不能继续选择“稍后安装”选项。
默认情况下,不要以管理员身份运行。在最新版本的Windows中,就像打开UAC功能一样简单。
使用良好的防火墙工具。如今,Windows中的默认防火墙实际上已经足够了。您可能需要用WinPatrol之类的东西来补充这一层,以帮助阻止前端的恶意活动。 Windows Defender也在某种程度上以这种方式工作。基本的Ad-Blocker浏览器插件在此级别上作为安全工具也变得越来越有用。
将大多数浏览器插件(尤其是Flash和Java)设置为“要求激活”。
运行当前的防病毒软件。这是其他选择的五分之一,因为传统的A / V软件通常不再那么有效。强调“当前”也很重要。您可能拥有世界上最好的防病毒软件,但是如果不是最新的,则最好将其卸载。
因此,我目前建议使用Microsoft Security Essentials。 (从Windows 8开始,Microsoft Security Essentials是Windows Defender的一部分。)那里可能有更好的扫描引擎,但是Security Essentials将保持最新状态,而不会冒险拥有过期的注册。 AVG和Avast也可以通过这种方式很好地工作。我只是不推荐您必须实际购买的任何防病毒软件,因为付费订阅失效并且您最终得到的是过时的定义,这太普遍了。
这里也值得注意的是Mac用户现在也需要运行防病毒软件。他们没有它就可以逃脱的日子早已一去不复返了。顺便说一句,我认为这很可笑,我现在必须建议Mac用户购买防病毒软件,但建议Windows用户反对它。
避免洪流站点,warez,盗版软件和盗版电影/视频。破解或发布该恶意软件的人经常向其中注入恶意软件-并非总是如此,但通常足以避免整个混乱。这就是饼干行家这么做的部分原因:他们经常会从中获利。
浏览网页时要用脑袋。您是安全链中最薄弱的环节。如果听起来有些不可思议,那可能就是事实。最明显的下载按钮很少是您在下载新软件时想要再使用的按钮,因此请确保在单击该链接之前先阅读并理解网页上的所有内容。如果您看到弹出窗口或听到声音消息,要求您致电Microsoft或安装某些安全工具,那是伪造的。
此外,您还可以直接从供应商或开发人员而非第三方下载软件并进行更新/升级文件托管网站。
1 Microsoft现在发布Windows 10安装介质,因此您可以合法地免费下载并写入8GB或更大容量的闪存驱动器。您仍然需要有效的许可证,但是基本操作系统不再需要单独的恢复磁盘。
2这是一个很好的时机,指出我已经稍微简化了我的方法。如今,大多数“感染”都属于PUP(可能不需要的程序)和其他下载中包含的浏览器扩展的类别。通常,可以通过传统方式安全地删除这些PUP /扩展,它们现在占了足够大的恶意软件比例,我可能会在此时停止,只需尝试使用“添加/删除程序”功能或普通的浏览器选项即可删除扩展。但是,从更深层次的初步迹象看-任何暗示软件都不会正常卸载的迹象-它又回到了重新安装机器的状态。
评论
如今,这似乎是最明智的。我还要补充说,某些恶意软件会潜行还有另一个原因:它们将保持休眠状态,并将您的计算机用于其他活动。可能是代理,或多或少地非法存储内容,或者是DDOS攻击的一部分。
– Gnoupi
2012年11月30日15:23
@ConradFrix太早说了……我还不需要在Windows 8 PC上执行此操作……但是我很悲观,因为它不会导致重新格式化驱动器。 Windows 8包括多项安全改进,包括从操作系统0开始运行防病毒软件,因此我希望Windows 8完全不需要这样做。
–乔尔·科恩(Joel Coehoorn)
2012年11月30日20:11
@DanielRHicks阅读了完整的句子。这是您的两到六个小时的时间,分布在一整天或三天的时间里,在这里您可以高效地开始工作并稍后再回来查看。如果您要照顾婴儿,那是的:要花点时间。
–乔尔·科恩(Joel Coehoorn)
2012年12月5日在22:21
@JoelCoehoorn仅仅是我,还是这种高级恶意软件还会感染各种组件上的固件,从而使移除工作徒劳无功?
–埃尼斯·P·阿吉尼奇
14-10-6在11:33
请记住,如果在发现感染后进行备份,则备份本身很可能被感染。请先扫描备份,然后再尝试还原。
– Tejas Kale
16年8月14日在8:43
#2 楼
我怎么知道我的电脑是否被感染?恶意软件的一般症状可以是任何东西。通常是:
计算机的速度比正常计算机慢。
随机故障和不应该发生的事情(例如,某些新病毒将计算机上的组策略限制设置为阻止任务管理器或其他诊断程序运行。
当您认为计算机应处于空闲状态(例如<5%)时,任务管理器显示CPU过多。
广告随机弹出。
从您不记得安装的防病毒中弹出病毒警告(该防病毒程序是伪造的,并试图声称您有听起来很吓人的病毒,名称为“ bankpasswordstealer.vir”。建议您为该程序付费以清除这些病毒) )。
弹出窗口/伪造的死亡蓝屏(BSOD),要求您拨打电话以修复感染。
重定向或阻止了Internet页面,例如AV产品或支持网站的首页(www .symantec.com,www.avg.com,www.microsoft.com)重定向到充斥广告的网站,或伪造宣传虚假防病毒/“有用”信息的网站移除工具,或被完全阻止。
尚未安装任何应用程序(或修补程序)的情况下,增加了启动时间...这很尴尬。
您的个人文件已加密,您会看到赎金记录。
蓝色,如果您“知道”您的系统,则通常会知道什么时候出了点大错。
我该如何解决?
使用Live CD
由于受感染的PC的病毒扫描程序可能已受到威胁,因此从Live CD扫描驱动器可能更安全。 CD将在计算机上引导专用的操作系统,然后将扫描硬盘驱动器。
例如有Avira Antivir Rescue System或ubcd4win。在免费的可启动防病毒救援CD下载列表中可以找到更多建议,例如:
Kaspersky Rescue CD
BitDefender Rescue CD
F-Secure Rescue CD
Avira Antivir救援磁盘
Trinity救援工具CD
AVG救援CD
将硬盘驱动器连接到另一台PC
如果要连接受感染的硬盘到干净的系统以进行扫描,请确保更新了将用于扫描受感染驱动器的所有产品的病毒定义。等待一周的时间让防病毒提供者发布新的病毒定义可以提高检测所有病毒的机会。
一旦发现被感染的系统,请确保被感染的系统仍与互联网断开连接。这将阻止它下载新版本的病毒(尤其是其中的病毒)。
首先使用诸如Spybot Search and Destroy或Malwarebytes的Anti-Malware之类的好工具进行完整扫描。也可以尝试ComboFix和SuperAntiSpyware。没有任何一种防病毒产品会具有每种病毒的定义。使用多种产品是关键(不是实时保护)。如果系统中仅剩一种病毒,它就可以下载并安装所有最新版本的新病毒,而到目前为止,所有工作都将一事无成。
从引导中删除可疑程序
以安全模式启动。
使用
msconfig
确定在引导(或Windows 8中的任务管理器下的启动)中启动哪些程序和服务。是可疑的程序/服务,请从启动中将其删除。否则,请跳到使用实时CD。重新启动。
如果症状没有消失和/或程序在启动时自行替换,请尝试使用名为Autoruns的程序查找该程序,然后将其从中删除。那里。如果您的计算机无法启动,则“自动运行”具有一项功能,可以从名为“分析脱机PC”的第二台PC上运行它。请特别注意
Logon
和Scheduled tasks
标签。如果仍然无法成功删除该程序,并且确定是问题的原因,请引导至常规模式,然后安装名为Unlocker的工具
导航至文件的位置就是那个病毒,然后尝试使用解锁器将其杀死。可能会发生一些事情:
文件已删除,并且在重新启动后不会重新出现。这是最好的情况。
文件已删除,但立即重新出现。在这种情况下,请使用一个名为Process Monitor的程序来查找重新创建文件的程序。您还需要删除该程序。
该文件无法删除,解锁程序会提示您在重新启动时将其删除。这样做,然后看它是否再次出现。如果是这样,则必须在引导中有一个导致该问题发生的程序,然后重新检查在引导中运行的程序列表。
之后的操作恢复
现在,应该安全(希望)启动到(先前)受感染的系统。尽管如此,请保持睁大眼睛以防感染的迹象。病毒可以将更改留在计算机上,即使删除了病毒,也可以使重新感染变得更容易。
例如,如果病毒更改了DNS或代理设置,则您的计算机会将您重定向到合法网站的伪造版本,这样,实际上是在下载看似知名的受信任程序,病毒。
他们还可以通过将您重定向到伪造的银行帐户站点或伪造的电子邮件站点来获取您的密码。确保检查您的DNS和代理设置。在大多数情况下,您的DNS应该由ISP提供或由DHCP自动获取。您的代理设置应被禁用。
检查您的
hosts
文件(\%systemroot%\system32\drivers\etc\hosts
)中是否有可疑条目,并立即将其删除。另外,请确保已启用防火墙,并且您具有所有最新的Windows更新。接下来,使用优质的防病毒软件保护您的系统,并为其添加防恶意软件产品。通常建议将Microsoft Security Essentials与其他产品一起使用。
万一失败,该怎么办
应注意,某些恶意软件非常擅长避免扫描程序。一旦被感染,它可能会安装rootkit或类似工具以保持隐身状态。如果情况真的很糟,唯一的选择是擦除磁盘,然后从头开始重新安装操作系统。有时,使用GMER或Kaspersky的TDSS Killer进行扫描可以显示是否有rootkit。
您可能需要运行一些Spybot Search和Destroy。如果运行了3次后仍无法消除感染(并且您手动失败了),请考虑重新安装。
另一个建议:当Rootkit阻止了其他操作时,Combofix是一个非常强大的清除工具。运行或安装。
使用多个扫描引擎当然可以帮助找到隐藏得最好的恶意软件,但这是一项艰巨的任务,好的备份/还原策略将更加高效和安全。
奖金:有一个有趣的视频系列,开头是Sysinternals ProcessExplorer&Autoruns的创建者Mark Russinovich的“理解和对抗恶意软件:病毒,间谍软件”,内容涉及恶意软件清除。
评论
擦拭驱动器通常是最快,最安全的方法,正如本网站建议的那样,这是“最佳答案”
– Ivo Flipse
2010-1-25在18:05
根据我的经验,我不会相信spybot是我的首选。根据AV对比av-comparatives.org和AV-Test.org,Avira,卡巴斯基病毒清除工具和AVG是不错的免费选择:blogs.pcmag.com/securitywatch/2009/12/…
–fluxtendu
2010-2-20在20:28
一个建议是,这些恶意软件程序中的许多程序确实窃取了密码和银行数据,因此一旦您对感染有所怀疑,就断开与Internet的连接并不是一个坏主意。可能为时已晚,但是有机会限制数据泄漏,或者阻止恶意软件自行更新,直到成功清除为止。
– emgee
2011年4月15日在21:26
@emgee数据渗透的良好经验法则:有疑问时,将其拔出(以太网插头)
–内特·科彭哈弗(Nate Koppenhaver)
2011年8月4日在17:17
Combofix.org不是Combofix的官方下载位置,并且未经Combofix的作者授权或推荐。官方下载在这里。
–安德鲁·兰伯特(Andrew Lambert)
2011-12-14 19:13
#3 楼
杰夫·阿特伍德(Jeff Atwood)的“如何清理Windows间谍软件大批出击”中有一些出色的反恶意软件技巧。这是基本过程(一定要通读博客文章,以获取本摘要所掩盖的屏幕截图和其他详细信息):停止当前运行的所有间谍软件。 Windows内置的任务管理器不会削减它。获取Sysinternals Process Explorer。
运行Process Explorer。
按公司名称对进程列表进行排序。
杀死所有没有公司名称的进程(不包括) DPC,中断,系统和系统空闲进程),或者具有您无法识别的公司名称。
阻止间谍软件在下次启动系统时重新启动。同样,Windows的内置工具MSconfig是部分解决方案,但是Sysinternals AutoRuns是要使用的工具。
运行AutoRuns。
遍历整个列表。取消选中可疑条目-具有空白发布者名称或您不认识的任何发布者名称的条目。
现在重新启动。
重新启动后,使用Process Explorer和AutoRuns重新检查。如果有什么“回来”,则您必须更深入地研究。
在Jeff的示例中,回来的一件事情是AutoRuns中的可疑驱动程序条目。他讲述了如何跟踪将进程加载到Process Explorer中的过程,关闭句柄并从物理上删除恶意驱动程序。
他还找到了一个奇怪的DLL文件,该文件挂接到Winlogon进程中,并演示了如何找到并杀死该文件。进程线程加载该DLL,以便自动运行程序最终可以删除这些条目。
评论
另外,趋势科技HijackThis是一个免费实用程序,可从您的计算机生成注册表和文件设置的深入报告。我会警告,这会发现好与坏的东西,没有区别,但是如果我们怀疑Google是我们的朋友。
–琥珀色套圈
11年6月24日在20:33
自动运行功能很棒,但是依赖发布服务器的建议可能没有用。这个stackoverflow问题显示了如何轻松修改(并因此欺骗了)版本信息[stackoverflow.com/questions/284258/…。我在Java DLL上尝试了此操作,自动运行错误地显示了发布者。
– AlainD
16年2月2日在15:50
#4 楼
我清除恶意软件的方法是有效的,但我从未见过失败:下载自动运行程序,如果仍然运行32位,请下载rootkit扫描程序。
启动进入安全模式并启动自动运行程序(如果可以),然后转到步骤5。
如果无法进入安全模式,请将磁盘连接到另一台计算机。
在该计算机上启动自动运行程序,请转到文件- >分析脱机系统并填写。
等待完成扫描。
在“选项”菜单中,选择所有内容。
按F5再次进行扫描。这将在缓存内容时快速执行。
浏览列表,然后取消选中任何可疑或没有经过验证的公司。
可选:运行rootkit扫描程序。
让顶级病毒扫描程序删除所有残留的文件。
可选:运行反恶意软件和反间谍软件扫描程序以清除垃圾。
可选:运行类似的工具HijackThis / OTL / ComboFix清除垃圾。
重新启动并享受干净的系统。
可选:再次运行rootkit扫描器。
确保计算机已受到充分保护!
一些说明:
自动运行由Microsoft编写,因此显示了自动启动的所有位置...
一旦从自动运行,它将无法启动,也无法阻止您将其删除...
不存在用于64位操作系统的rootkit,因为需要对其进行签名...
之所以有效,是因为它可以阻止恶意软件/间谍软件/病毒ting,
您可以自由运行可选工具来清除系统上留下的所有垃圾。
评论
我已经用病毒感染了64位Windows 7,不允许运行杀毒软件和系统实用程序,并且自动运行仍然无济于事。我对此提出了一个问题。 superuser.com/questions/1444463/…。我认为应在系统启动时运行to工具,以控制OS行为。
– WebComer
19年7月4日在9:20
#5 楼
请按照以下顺序对PC进行消毒在未受感染的PC上,制作启动AV光盘,然后从受感染PC上的光盘启动并扫描硬盘驱动器,清除发现的所有感染。我更喜欢Windows Defender脱机引导CD / USB,因为它可以清除引导扇区病毒,请参阅下面的“注意”。
或者,您也可以尝试其他AV引导光盘。
使用引导光盘扫描并删除了恶意软件后,请安装免费的MBAM,运行该程序并转到“更新”选项卡并进行更新,然后转到“扫描器”选项卡并进行快速扫描,选择并删除找到的所有内容。
完成MBAM安装SAS免费版后,运行快速扫描,删除其自动选择的内容。
如果Windows系统文件被感染,则可能需要运行SFC来替换文件,如果由于删除受感染的系统文件而无法启动,则此脱机。我建议您在完成感染清除后再运行SFC。
在某些情况下,您可能必须运行启动修复程序(仅Windows Vista和Windows7),才能使其再次正常启动。在极端情况下,可能需要连续3次进行启动维修。
MBAM和SAS不是像Norton这样的AV软件,它们是按需扫描程序,它们仅在运行程序时扫描鼻腔而不会干扰使用已安装的AV,它们可以每天或每周运行一次,以确保您没有被感染。请确保在每次每周一次扫描之前更新它们。
注意:Windows Defender脱机产品非常擅长消除如今常见的持久性MBR感染。
。
对于高级用户:
如果单个感染表示自己为软件,例如“ System Fix”,“ AV Security 2012”等,请参阅此页面以了解具体信息。拆卸指南
。
评论
拥有另一台专门用于病毒扫描的计算机可能是最好的解决方案,因为您的系统不依赖于受感染的驱动器。但是,除了计算机支持公司之外,我怀疑许多人是否有这样的解决方案。
– Gnoupi
2010-6-28在8:42
如果没有可用的专用PC,则可以通过使用实时CD引导系统来执行类似的步骤
– Ophir Yoktan
2011年3月18日在19:28
@Ophir:现场CD?
–user46959
2011年6月20日在21:02
例如:http://distro.ibiblio.org/tinycorelinux/welcome.html
– Ophir Yoktan
11年6月20日在21:21
请注意,Microsoft Standalone System Sweeper只是Windows Defender Offline的旧名称,以防万一有人发现它。
–斯科特·张伯伦
2012年3月16日18:04
#6 楼
如果您发现任何症状,则需要检查的是网络连接上的DNS设置。如果这些设置已从“自动获取DNS服务器地址”更改为与该服务器不同的服务器应该是一个,那么这就是感染的好兆头。这可能是导致重定向离开反恶意软件站点的原因,或者根本无法访问该站点。
在感染之前记下您的DNS设置可能是一个好主意发生,所以您知道它们应该是什么。另外,详细信息也将在ISP网站的帮助页面上提供。
如果您没有DNS服务器记录,并且无法在ISP站点上找到信息,请使用Google DNS服务器是一个很好的选择。主要服务器和辅助服务器分别位于8.8.8.8和8.8.4.4。
虽然重置DNS不能解决问题,但允许您a)到达反恶意软件站点以获取您需要清洁PC的软件,以及b)如果感染再次发生,请进行检查,因为DNS设置将再次更改。
#7 楼
勒索软件勒索软件是一种较新的,特别可怕的恶意软件。这种程序通常与木马(例如,电子邮件附件)或浏览器漏洞一起提供,它会遍历您计算机的文件,对其进行加密(使其完全无法识别和无法使用),并要求赎金才能将其恢复为可用状态。
勒索软件通常使用非对称密钥加密,其中涉及两个密钥:公钥和私钥。当您受到勒索软件的攻击时,计算机上运行的恶意程序会连接到坏人的服务器(命令和控制或C&C),后者会生成两个密钥。它仅将公钥发送到您计算机上的恶意软件,因为这是加密文件所需的全部。不幸的是,这些文件只能用私钥解密,如果勒索软件编写得当,它甚至都不会进入您的计算机内存。坏人通常说,如果您付款了,他们会给您私钥(从而让您解密文件),但是当然,您必须信任他们才能这样做。
您可以做什么
最好的选择是重新安装操作系统(以删除恶意软件的所有痕迹),并从以前的备份中还原个人文件。如果您现在没有备份,这将更具挑战性。养成备份重要文件的习惯。
支付可能会使您恢复文件,但请不要这样做。这样做可以支持他们的商业模式。另外,我说“可能会让您恢复”,因为我知道至少有两个品系写得很差,以致它们无法挽回地破坏了您的文件;即使相应的解密程序也无法正常工作。
替代方法
幸运的是,还有第三种选择。许多勒索软件开发人员犯了错误,这些错误使优秀的安全专业人员可以开发出消除损害的流程。这样做的过程完全取决于勒索软件的紧张程度,并且列表在不断变化。一些很棒的人整理了一大堆勒索软件变体,包括应用于锁定文件的扩展名和勒索票据名称,它们可以帮助您确定所使用的版本。对于相当多的压力,该列表还具有指向免费解密器的链接!请遵循适当的说明(链接在“解密器”列中)以恢复文件。在开始之前,请使用此问题的其他答案,以确保从计算机中删除了勒索软件程序。
如果仅通过扩展名和勒索票据名称无法识别出遭到攻击的内容,请尝试在互联网上搜索赎金记录中的一些与众不同的短语。拼写或语法错误通常是非常独特的,您可能会遇到一个论坛线程,用于识别勒索软件。
如果您的版本未知,或者没有免费的版本,解密文件,不要放弃希望!安全研究人员正在致力于消除勒索软件,而执法部门则在追捕开发人员。解密器最终可能会出现。如果赎金是有时间限制的,则可以想象在开发此修复程序后,您的文件仍可恢复。即使没有,除非绝对必要,否则请不要付款。等待期间,请再次使用此问题的其他答案,确保您的计算机没有恶意软件。请考虑备份文件的加密版本,以确保文件安全,直到修复程序发布为止。
一旦恢复越多越好(并将其备份到外部介质上!),请强烈考虑安装从头开始的操作系统。再次,这将吹走驻留在系统内部的所有恶意软件。
其他特定于变体的技巧
大型电子表格中尚未包含一些特定于勒索软件变体的技巧:
如果LeChiffre的解密工具没有为此,您可以使用十六进制编辑器恢复除每个文件的前8KB之外的所有数据。跳转到地址0x2000,并复制除最后0x2000字节以外的所有字节。小文件将被完全破坏,但经过一些摆弄,您也许可以从大文件中得到一些帮助。
如果您被WannaCrypt所困扰,并且您正在运行Windows XP,自从感染,而且很幸运,您也许可以使用Wannakey提取私钥。
Bitdefender有许多免费工具,可帮助您识别变体并解密某些特定变体。
(其他的将在发现时添加)。
结论
勒索软件令人讨厌,而可悲的现实是,并非总是可以从中恢复。为了将来确保自己的安全:
使操作系统,Web浏览器和防病毒软件保持最新状态
不要打开您不希望看到的电子邮件附件,特别是如果您不知道发件人
避免使用粗略的网站(例如,具有非法或道德可疑内容的网站)
请确保您的帐户只能访问您需要使用的个人文件
始终在外部媒体上有有效的备份(未连接到计算机)!
评论
现在有一些程序可以防止您受到勒索软件的攻击,例如:winpatrol.com/WinAntiRansom(商业程序)。我从未使用过它,因为我不再使用Windows,但是该公司的WinPatrol产品是我使用多年的产品,并且经常推荐使用。一些防病毒开发人员提供了反勒索软件工具,有时是成本较高的选择。
–fixer1234
16/09/13在22:37
有关专门删除Petya勒索软件的信息,另请参阅以下问题和解答:superuser.com/questions/1063695/…
–fixer1234
16-09-14的1:32
我将在结论的建议列表中添加另一件事:避免访问煽动非法或不道德行为的网站,例如媒体和软件盗版;在世界大部分地区都被禁止的内容;这些网站通常与信誉最差的广告供应商签约,后者根本不做任何真正的努力来过滤其“广告”的内容,从而使犯罪分子可以轻松地向您的网页注入包含恶意软件或试图利用您的浏览器的内容获得对系统的访问权限。有时,即使是优秀的adblocker也会错过这些东西。
– allquixotic
16 Sep 14 '17:50
@allquicatic我在这一点上添加了一个要点。让我知道是否还有其他可以扩展的内容。谢谢!
– Ben N
16 Sep 14 '18:18
#8 楼
各种各样的恶意软件。查找和删除其中的某些内容很简单。其中有些比较棘手。其中的一些确实很难找到,也很难删除。但是,即使您有轻度的恶意软件,也应该强烈考虑重新设计并重新安装操作系统。这是因为您的安全性已经失效,并且如果是由于简单的恶意软件而导致安全性失败,则可能是您已经感染了恶性恶意软件。
使用敏感数据或保存敏感数据的网络内部的人们应该强烈考虑擦拭并重新安装。时间宝贵的人应该强烈考虑擦拭并重新安装(这是最快,最简单,最可靠的方法)。不熟悉高级工具的人应该强烈考虑擦拭并重新安装。
但是有时间并且喜欢闲逛的人可以尝试其他文章中列出的方法。
评论
正确。这些内容旨在解决安全性和清理问题以及普通的OS使用问题。不要参加军备竞赛。零容忍是唯一的政策。
– XTL
2012年3月7日在12:59
#9 楼
可能的病毒感染解决方案依次为:(1)防病毒扫描,(2)系统修复,(3)完全重新安装。首先确保已备份所有数据。
加载并安装一些防病毒软件,确保它们是最新的,并深入扫描您的硬盘。我建议至少使用Malwarebytes的反恶意软件。我也喜欢Avast。
如果由于任何原因都无法解决问题,则可以使用live CD病毒救援软件:我喜欢最好的Avira AntiVir Rescue System,因为它每天要更新几次,并且因此下载CD是最新的。作为启动CD,它是自主的,不能在Windows系统上使用。
如果未发现病毒,请使用“ sfc / scannow”修复重要的Windows文件。
请参阅本文。
如果仍然不起作用,则应执行修复安装。
如果不起作用,则应格式化硬盘并重新安装Windows。
评论
当感染了最近的病毒/木马时,我在USB记忆棒上使用了Knoppix,运行了apt-get葡萄酒,在我的葡萄酒会议上安装了Web Cure-It博士,然后运行它来清除感染。我必须这样做,因为我的笔记本电脑无法启动其他一些Live CD替代产品。
– PP。
2010-2-24在17:15
#10 楼
我想添加到讨论中的另一个工具是Microsoft安全扫描程序。它是几个月前发布的。它有点像恶意软件删除工具,但设计用于脱机使用。从下载之日起,它将具有最新的定义,并且只能使用10天,因为它将认为其定义文件“太旧而无法使用”。用另一台计算机下载它并在安全模式下运行它。效果很好。#11 楼
首先讲一点理论:请意识到,没有什么可以替代理解。最终的防病毒软件是用自己的思想和所谓的现实情况了解您正在做什么以及通常情况下系统正在发生的情况。
没有任何软件或硬件可以完全保护您免受自己和自己的行为的侵害,在大多数情况下,这是恶意软件首先进入系统的方式。
大多数现代的“生产级”恶意软件,广告软件和间谍软件都依靠各种“社会工程学”技巧来欺骗您安装“有用的”应用程序,加载项,浏览器工具栏,“病毒扫描程序”或单击绿色的大下载按钮来安装恶意软件在您的计算机上。
甚至是所谓的受信任应用程序的安装程序,例如uTorrent,如果您仅单击“下一步”按钮,则默认情况下会安装广告软件和间谍软件,而无需花时间阅读所有复选框的含义。
解决社会工程难题的最佳方法黑客使用的是反向社会工程-如果您掌握了此技术,即使没有杀毒软件或防火墙,您也可以避免大多数类型的威胁并保持系统的清洁和健康。
如果您注意到恶意/不请自来的生命形式生活在您的系统中,唯一的解决方案是完全重新格式化并重新安装系统。按照此处其他答案所述进行备份,快速格式化光盘并重新安装系统,或者更好的是,将有用的数据移动到某些外部存储中,然后从之前进行的干净分区转储中重新镜像系统分区。
某些计算机具有BIOS选项,可将系统还原为原始出厂设置。即使这看起来有些过大,也不会造成伤害,更重要的是,这将解决所有其他最终问题,无论您是否意识到这些问题,而不必一个个处理每个问题。
“修复”受损系统的最佳方法是根本不修复它,而是使用某种分区映像软件(例如Paragon Disk Manager,Paragon HDD Manager,Acronys Disk Manager,或例如
dd
如果您是从Linux进行备份。#12 楼
参考上面的William Hilsum的“我如何摆脱它:使用Live CD”:病毒无法在Live CD环境中运行,因此可以暂时使用不必担心会被进一步感染。最重要的是,您可以访问所有文件。贾斯汀·波特(Justin Pot)在2011年6月20日撰写了一本名为“ Live CD的50酷用法”的小册子。本手册的开头介绍了如何从CD,闪存驱动器或SD卡引导,第19-20页介绍了有关使用不同的“反病毒软件”进行扫描的方法,其中一些已经提到过。在这种情况下,给出的建议非常宝贵,并以易于理解的英语进行了解释。当然,本手册的其余部分对于您的其他计算需求来说是无价的。 (下载链接(PDF格式)是从下面的链接提供的。使用Internet时请切记要明智,不要试图误入恶意软件很可能潜伏的“地方”,而您应该没问题,您可能使用的任何防病毒软件,Internet安全套件等都应具有最新更新,并且您可能使用的任何操作系统也应保持最新。
http://www.makeuseof .com / tag / download-50-cool-live-cds /
单击或复制并粘贴上面的链接后,请单击
下载50 Live CD的酷用法(用蓝色写)
请注意,我试图在注释部分中写出此内容,但无法放入其中。因此,我在正式答复中给出了它,因为它是无价的。
评论
我不同意:恕我直言,即使系统从livecd启动Clean,即使HDD上的一个文件中存在病毒,执行被感染的文件时始终可以执行恶意代码。如果未检测到或停止,它甚至可以传播到其他文件或设备上。
–Hastur
2015年2月13日在12:27
#13 楼
有两个重要要点:首先不要被感染。使用良好的防火墙和防病毒软件,并实践“安全计算”-远离可疑站点,并在不知道其来源的情况下避免下载内容。请注意,网络上的许多站点都会告诉您您可能会被“感染”,他们想诱使您购买垃圾的反间谍软件,或者更糟的是,他们希望您下载被伪装成“免费反间谍软件”的间谍软件”。同样,请注意,该网站上的许多漏洞(大多数都是出于愚蠢)会诊断出任何“奇数”错误,尤其是Windows以间谍软件的出现而闻名的注册表损坏。
#14 楼
如本主题之前的建议,如果确定您已感染病毒,请使用linux live CD启动计算机并立即备份所有敏感数据。使您的敏感文件也很好与操作系统启动驱动器不同的硬盘中存储的文件。这样,您就可以安全地格式化受感染的系统,并为了安全起见对敏感数据进行全面扫描。
事实上,没有比格式化系统更好的解决方案分区以确保您运行的是无病毒和无恶意软件的环境。
即使您运行了一个不错的工具(毫无疑问,这里仍然有很多工具),总会有一些遗留物,您的系统目前看起来似乎很干净,但是它肯定会成为定时炸弹,等待稍后爆炸。
#15 楼
2012年12月8日,Remove-Malware发布了名为“ Remove Malware Free 2013 Edition”的视频教程,以及补充指南,概述了如何免费从受感染的PC中清除恶意软件。它们概述了
备份–如何备份重要的个人文档,以防万一您的PC无法访问。
收集本指南所需的软件。
可启动的防病毒软件–为什么可启动的防病毒软件是删除恶意软件的最佳方法。
可启动的防病毒光盘–如何创建可启动的防病毒光盘。
可启动的防病毒光盘–如何使用可启动的防病毒光盘扫描计算机。
清理–将残留物收集起来并清除。
防止再次发生
视频教程的时长超过1小时,并且与书面指南一起是一个很好的资源。
视频教程:链接
书面指南:链接
更新:
今天写的一篇非常有启发性的文章F J. Brodkin在2013年2月发表的题为“病毒,特洛伊木马和蠕虫,哦,我:恶意软件的基础知识
移动恶意软件可能很流行,但PC恶意软件仍然是最大的问题。”来自arstechnica.com的文章重点介绍了恶意软件和不同类型的恶意软件的持续问题,并分别说明:
后门
远程访问特洛伊木马
信息窃取者
勒索软件
文章还重点介绍了恶意软件,僵尸网络操作和受攻击企业的传播。
#16 楼
简短答案:备份所有文件。
格式化系统分区。
重新安装Windows。
安装防病毒软件。
更新Windows
,请先使用防病毒软件扫描您的备份,然后再开始使用。
今天,除非擦除驱动器并重新开始,否则您永远无法确定自己已彻底清除了感染。
#17 楼
我认为诸如MSE,MCAfee,Norton,Kaspersky等AV程序无法100%保护您,因为它们的定义文件总是在事实发生之后发生的-在恶意软件已经存在于网络上并且可以做很多事情之后的损害。而且其中许多工具并不能保护您免受PUP和广告软件的侵害。我也不认为恶意软件已经破坏了系统的情况下,诸如Malwarbytes,Superantispyware,Bitdefender扫描仪之类的扫描仪以及其他扫描仪也可以提供很多帮助。如果您有足够的扫描程序,则可以删除该恶意软件,但无法修复该恶意软件造成的损害。
因此,我制定了两层策略:
我将系统分区和数据分区的每周映像(我使用免费的Macrium)制作到仅在成像期间连接的两个外部磁盘。因此,没有恶意软件可以到达他们。如果我的系统无法正常工作,我可以随时还原最新映像。我通常会保留六张完整的图像,以防万一我不得不回到上周。另外,我在操作系统中启用了系统还原,以便在更新错误的情况下可以快速退回。但是系统映像(阴影)不是很可靠,因为它们可能由于各种原因而消失。仅依靠系统映像是不够的。
我大部分的互联网工作都是通过虚拟Linux分区完成的。 Linux本身不是恶意软件的目标,Windows恶意软件不能影响Linux。使用该系统,我可以将所有下载的文件全部下载并使用Virus Total进行检查,然后再将其移至Windows系统。 Virus Total通过60个最著名的AV程序运行该文件,如果文件干净,则很可能是干净的。
我无法百分百确定网站的所有Internet访问他们很干净-例如此网站在这里。
我所有的邮件。这就是Gmail和AOL的优势。我可以使用浏览器查看邮件。在这里,我可以打开任何邮件而不必担心会感染病毒。附件是我通过Virus Total运行的。
我所有的在线银行业务。 Linux为我提供了额外的安全保护层
使用这种方法,多年来我没有看到任何恶意软件。如果您想尝试虚拟Linux分区,请按以下步骤操作。
评论
这是对“如果Windows计算机似乎感染了病毒或恶意软件该怎么办?”的答案?
–安德鲁·莫顿(Andrew Morton)
15年3月23日在21:59
@whs:安德鲁·莫顿(Andrew Morton)对这不是对这个问题的答案是正确的,但是对于另一个问题,这是一个很好的答案,如果因为在错误的地方而被低估,那将是真正的耻辱。提出一个新问题,例如:“除了运行A / V程序和避免黑幕网站之外,如何避免感染恶意软件”,然后在此张贴答案。
–fixer1234
15年3月23日在22:17
我知道这是个老答案,但我必须加2美分。 Linux并非不受所有恶意软件的影响。 en.wikipedia.org/wiki/Linux_malware另外,不断进行个人计算机的备份,而该备份不在普通用户99%的权限范围内。
–computercarguy
18年1月11日在22:06
#18 楼
感染的症状是什么?用户可能无法理解其性能或其他任何方式,在这种情况下,如果没有100%的准确性,可能会看到任务管理器正在运行,他不知道它是什么,或者它是如何出现的……但是在某些情况下,计算机性能会变差,程序运行速度变慢,或者根本不运行,或者发生什么……症状确实有所不同在某些情况下,几乎无需重新思考就可以显而易见地感染,有些情况下即使出现问题也很难理解。一切都取决于您所感染的内容(病毒,特洛伊木马,随意命名),并且主要取决于由此引起的灾难。
注意到感染后该怎么办
我该怎么办?
1.使用防病毒软件扫描计算机。 (KAspersky Internet Security,McAfee,Avast等)。请记住,即使使用BEST Antivirus也可能会发现您被感染的内容,但不能保证100%进行消毒。
2.备份文件(确保文件也未受到感染) ),并确保清除计算机中所有受感染的文件,即使这意味着要删除它们也是如此。如果使用它们,您将再次受到感染,因此无论如何都应考虑它们已丢失。您可能想尝试使用其他防病毒程序,但是没什么希望,
3.摆脱感染的最好/更快/最有效的方法是格式化磁盘驱动器并制作全新安装操作系统。
4.如果要使用ANY备份,请确保在应用之前使用防病毒程序重新扫描它。在您理解有问题之前也可能已经被感染。
如何防止恶意软件感染?
如今,使用防病毒软件,大多数防病毒程序都是几乎所有类型的恶意软件/病毒等的解决方案。请记住,预防胜于以后尝试解决问题。在大多数情况下,它们会提供很大的帮助。 SpyHunter,恶意软件字节,Spybot等应用程序也非常适合提供一些额外的保护。使用防火墙也有帮助。请记住,即使您的计算机处于脱机状态且没有Internet连接,仍然需要防病毒软件。原因?您可能会使用CD,U盘,DVD或其他来自可能受到感染的朋友/客户等文件。即便在这种情况下,防病毒软件仍然提供了宝贵的保护。
从受信任的来源下载/安装/使用软件。
进入受信任的Internet站点。
确保您的操作系统始终处于最新状态!更新不仅是为了获得最佳性能,而且也是为了安全。
评论
这个问题已有9年历史,并且还有19个其他答案。您还说了什么呢?
–斯科特
19年4月21日在23:52
欢迎使用超级用户,感谢您为该主题做出的贡献。您可能想知道为什么这引起了人们的反对。实际上,如果这是一个典型的问题,那么您的答案可能做得不错。作为新用户,您不了解某些上下文。这是我们的“规范”问题之一。如果您查看这些访问和支持,则是因为我们将大多数遇到恶意软件问题的人带入此讨论。为了支持这种使用,我们尝试将其组织为特定主题,并且帖子大部分是由我们一些经验最丰富的用户提供的。 (续)
–fixer1234
19年4月22日在0:04
帖子也非常优美。您的答案并没有真正贡献其他答案中未曾解决的任何问题。作为知识库,该站点的目标之一是每个答案都提供与已提供的内容完全不同的内容。因此,我鼓励您继续分享您的知识,但请考虑删除该特定帖子。
–fixer1234
19年4月22日在0:10
#19 楼
从外部或通过实时CD扫描恶意软件的问题在于,这些讨厌的软件中有许多都与内存进程,驱动程序等相关。如果未加载PC的操作系统,那么它们也将导致令人沮丧的删除过程。引导受感染的操作系统时,请始终扫描恶意软件。这样,请在USB驱动器上用RKILL副本加载Windows。运行此实用程序可以杀死在后台烦扰的任何恶意软件进程,使您可以继续进行删除。这是非常有效的。我还没有遇到该程序无法完成工作的情况,我为有多少技术人员从未听说过它感到惊讶。
接下来,我选择使用恶意软件字节或ComboFix进行扫描。这些扫描仪的好处是,它们没有利用病毒定义,而是根据行为无情地定位恶意软件,这是一种非常有效的技术。不过,要警告一下-它们也更加危险,并且确实会破坏操作系统上的一些严重问题。确保您有备份。
90%的时间对我来说上述过程都有效,而且我每天都会删除大量此类内容。如果您有额外的偏执狂,使用AVG,SuperAntiSpyware或Microsoft Security Essentials之类的软件进行扫描可能不是一个坏主意。尽管我还没有看到这些程序能够检测到比无害的跟踪器cookie还要多的东西,但是有些人还是对它们发誓。给自己安心,如果需要的话就去做。
评论
引导受感染的操作系统时始终扫描恶意软件...这有点像说:始终在敌人注意的情况下与敌人作战。如果您的恶意软件扫描程序在文件静止时找不到恶意代码,则当它在内存中执行伏都教伪装特技时,就没有机会抵抗该代码。
–我说恢复莫妮卡
2014年11月1日在1:36
因此,您想加载操作系统,以便恶意进程正在运行,然后您想要杀死这些进程以便将其删除?我认为那只是倒退。
–svin83
2015年12月3日,11:12
评论
绝对不要做的一件事是安装当您进入显示“您的计算机已感染病毒”的网页时,敦促您使用的所有“反恶意软件”工具。这些几乎可以肯定是恶意软件本身。您只能使用经过严格审查的工具-(大概)下面或在其他受信任的站点上命名的工具。@Gnoupi本文可能对maketecheasier.com / ...感兴趣。
对于只是想使用tl; dr版本的问题的人...一旦被感染,就没有办法(嗯...没有办法不涉及您已经是计算机工程师,并且投入了数年的生命在机器上进行数字尸检)以消除/确保您已摆脱感染。恶意软件可以隐藏在您的文件,应用程序,操作系统,固件中……这就是为什么您永远不应该信任感染了病毒的计算机的原因。视音频销售商将试图说服您他们的产品是将修复您的系统的灵丹妙药。他们说谎。
当我们考虑虚拟Rootkit和固件Rootkit的可能性时,我们几乎可以说:您无所适从。这两种Rootkit类型保存在您无法清理的计算机区域中。如果要摆脱它们,则需要购买新计算机。固件Rootkit很少见,但虚拟Rootkit却不存在,但仍然存在:这两个Rootkit的存在证明没有100%有效的“一刀切”解决方案,它将使您的计算机恶意软件永远免费。作为德国人,我会将它比作“ Eierlegende Wollmilchsau”
@JonasDralle:如果您指的是虚拟机rootkit,则它们确实存在。在开发反恶意软件解决方案时反对使用.NET的争论之一。