如何从我的电脑中删除恶意间谍软件、恶意软件、广告软件、病毒、木马或 rootkit?

tag-icon tag-icon windows anti-virus virus malware community-faq
如何从我的电脑中删除恶意间谍软件、恶意软件、广告软件、病毒、木马或 rootkit?

如果我的 Windows 计算机似乎感染了病毒或恶意软件,我该怎么办?

  • 感染的症状是什么?
  • 发现感染后该怎么办?
  • 我该怎么做才能摆脱它?
  • 如何防止被恶意软件感染?

这个问题经常出现,建议的解决方案通常都是一样的。这个社区 wiki 试图提供最权威、最全面的答案。

请随意通过编辑添加您的贡献。

答案1

事实是:近年来,恶意软件已经成为鬼鬼祟祟更糟糕

更狡猾,不仅因为它更擅长使用 rootkit 或 EEPROM 黑客进行隐藏,还因为它成群结队地传播。隐蔽的恶意软件可以隐藏在更明显的感染背后。这里的答案中列出了许多可以找到 99% 恶意软件的好工具,但总有 1% 的恶意软件他们还找不到。大多数情况下,那 1% 的东西新的:恶意软件工具无法找到它,因为它刚刚出现并且正在使用一些工具尚不知道的新漏洞或技术来隐藏自己。

恶意软件的保质期也很短。如果你被感染了,那么这 1% 的新病毒很可能一部分感染。这不会是所有的感染:只是其中的一部分。安全工具将帮助您找到并删除更明显和更知名的恶意软件,并且很可能删除所有可见的症状(因为你可以继续挖掘,直到找到为止),但它们可能会留下一些小碎片,比如隐藏在安全工具尚不知道如何检查的某些新漏洞背后的键盘记录器或 rootkit。反恶意软件工具仍然有它们的作用,但我稍后会谈到这一点。

纳斯蒂尔,因为它不再只是显示广告、安装工具栏或将你的电脑当作僵尸。现代恶意软件很可能会直接攻击银行或信用卡信息。开发这些东西的人不再只是寻求名声的脚本小子;他们现在是有组织的专业人士,其动机是利润如果他们不能直接从你那里偷东西,他们就会寻找某物他们可以转手出售。这可能是您计算机中的处理或网络资源,但也可能是您的社会保险号或加密您的文件并索要赎金。

将这两个因素结合起来,尝试从已安装的操作系统中删除恶意软件已不再值得。我曾经非常擅长去除这些东西,以至于我靠这种方法谋生,现在我甚至不再尝试了。我不是说这做不到,而是说成本/收益和风险分析结果已经发生了变化:这不再值得了。风险太大,很容易得到结果,而结果只会似乎才能有效。

很多人会不同意我的观点,但我认为他们没有足够认真地衡量失败的后果。您是否愿意用您的毕生积蓄、您的良好信誉、甚至您的身份来打赌,以证明您在这方面比那些每天赚取数百万的骗子更擅长? 如果你尝试删除恶意软件,然后继续运行旧系统,那就确切地你在做什么。

我知道有人读到这篇文章时会想:“嘿,我已经从各种机器上清除了几种感染,没有发生任何不好的事情。”我也是,朋友。我也是。在过去的几天里,我已经清理了属于我的那部分受感染系统。尽管如此,我建议我们现在需要在这句话的末尾加上“还没有”。你的效率可能达到 99%,但你只需要错一次,失败的后果比以前要严重得多;一次失败的代价很容易超过所有其他的成功。你甚至可能已经有一台机器,里面还有一颗定时炸弹,只等着被激活或收集正确的信息,然后再报告。即使你现在有一个 100% 有效的过程,这些东西也一直在变化。记住:你必须每次都完美无缺;坏人只需要一次好运。

总而言之,这很不幸,但是如果如果你确认感染了恶意软件,那么彻底重新铺设电脑应该是第一的而不是上次转弯的地方。

实现方法如下:

在你被感染之前,确保您有办法重新安装任何购买的软件(包括操作系统),而这些软件不依赖于内置硬盘上存储的任何内容。为此,通常只需挂在 CD/DVD 或产品密钥上,但操作系统可能要求您自己创建恢复盘。1不要依赖恢复分区。如果您等到感染后才确保拥有重新安装所需的内容,您可能会发现自己再次为相同的软件付费。随着勒索软件的兴起,定期备份数据也非常重要(此外,您知道,硬盘故障等常规非恶意事件也是如此)。

当您怀疑自己感染了恶意软件时,请查看此处的其他答案。有很多不错的工具推荐。我唯一的问题是使用它们的最佳方式:我只依靠它们进行检测。安装并运行该工具,但一旦发现真正感染的证据(不仅仅是“跟踪 cookie”),就停止扫描:该工具已完成其工作并确认您的感染。2

确诊感染时,采取以下步骤:

  1. 检查您的信用卡和银行账户。当您发现感染时,实际损害可能已经造成。采取一切必要措施保护您的信用卡、银行账户和身份。
  2. 更改您从受感染计算机访问的任何网站的密码。不要使用受感染的计算机执行任何此类操作。
  3. 备份您的数据(如果您已经有数据就更好了)。
  4. 使用直接从操作系统发布者处获得的原始媒体重新安装操作系统。确保重新安装包括对磁盘进行完全重新格式化;系统还原或系统恢复操作是不够的。
  5. 重新安装您的应用程序。
  6. 确保您的操作系统和软件已完全修补并且是最新版本。
  7. 运行完整的防病毒扫描来清除第三步中的备份。
  8. 恢复备份。

如果操作正确,这可能需要花费您两到六个小时的实际时间,分两到三天(甚至更长时间)进行,在此期间您要等待安装应用程序、下载 Windows 更新或传输大型备份文件等操作……但这总比事后发现您的银行账户被骗子掏空要好。不幸的是,您应该自己做这件事,或者让技术朋友为您做。通常的咨询费率约为每小时 100 美元,因此购买一台新机器可能比付钱给商店做这件事更便宜。如果您让朋友帮您做这件事,请做一些好事来表示您的感谢。即使是喜欢帮助您设置新东西或经常修复损坏硬件的极客清理工作的乏味。最好自己备份……你的朋友不会知道你把哪些文件放在哪里,或者哪些文件对你来说真的很重要。你比他们更有能力做好备份。

很快,即使所有这些措施都不够了,因为现在有恶意软件能够感染固件。即使更换硬盘也可能无法消除感染,购买新电脑将是唯一的选择。值得庆幸的是,在我写这篇文章的时候,我们还没有到那一步,但这一天肯定是快速接近

如果您绝对坚持,毫无理由地,您确实想要清理现有安装而不是重新开始,那么看在上帝的份上,请确保您使用的任何方法都涉及以下两个程序之一:

  • 移除硬盘并将其作为客户磁盘连接到另一台(干净的!)计算机来运行扫描。

或者

  • 从 CD/USB 启动,它有一套运行自己内核的工具。确保获取此映像并将其刻录在干净的计算机上。如有必要,请朋友为您制作磁盘。

在任何情况下,您都不应尝试使用作为受感染操作系统的客户进程运行的软件来清理受感染的操作系统。这简直太蠢了。

当然,解决感染的最好方法是首先避免它,你可以做一些事情来帮助做到这一点:

  1. 保持系统补丁更新。确保及时安装 Windows 更新、Adobe 更新、Java 更新、Apple 更新等。这比防病毒软件更重要,而且在大多数情况下,只要您保持最新状态,这并不难。大多数公司已经非正式地决定每月同一天发布所有新补丁,因此如果您保持最新状态,它就不会经常打扰您。强制 Windows 更新重启通常只会在您长时间忽略通知时发生。如果您经常遇到这种情况,那就是改变你的行为。这些是重要的,并且不断地选择“稍后安装”选项是不行的,即使当时这样做更容易。

  2. 默认情况下不要以管理员身份运行。在较新版本的 Windows 中,只需保持 UAC 功能处于打开状态即可。

  3. 使用好的防火墙工具。如今,Windows 中的默认防火墙实际上已经足够好了。您可能希望使用 WinPatrol 之类的工具来补充这一层,以帮助阻止前端的恶意活动。Windows Defender 在某种程度上也可以发挥这种作用。基本的 Ad-Blocker 浏览器插件也作为安全工具在这一层面上变得越来越有用。

  4. 将大多数浏览器插件(尤其是 Flash 和 Java)设置为“请求激活”。

  5. 跑步当前的防病毒软件。这排在第五位,远远落后于其他选项,因为传统的 A/V 软件通常不再那么有效。强调“最新”也很重要。您可能拥有世界上最好的防病毒软件,但如果它不是最新的,您可能也会卸载它。

    因此,我目前推荐使用 Microsoft Defender。市面上可能有更好的扫描引擎,但 Microsoft Defender 内置于 Windows 中,将通过正常的 Windows 更新机制保持更新,而不会冒注册过期的风险。AVG 和 Avast 也以这种方式运行良好。我只是不推荐任何你必须真正付费的防病毒软件,因为付费订阅失效并最终导致定义过期的情况太常见了。

    值得注意的是,Mac 用户现在也需要运行防病毒软件。不用杀毒软件就能玩的日子已经一去不复返了。顺便说一句,我认为搞笑我现在必须建议 Mac 用户购买防病毒软件,但建议 Windows 用户不要这样做。

  6. 避免使用 torrent 网站、盗版软件、盗版电影/视频。破解或发布这些东西的人通常会向其中注入恶意软件 — — 并非总是如此,但通常足以避免整个混乱局面。这也是破解者这样做的原因之一:他们通常会从任何利润中分一杯羹。

  7. 浏览网页时要多动脑筋。你是安全链中最薄弱的一环。如果某件事听起来好得令人难以置信,那它很可能就是假的。最明显的下载按钮很少是你在下载新软件时想要使用的按钮,因此在点击该链接之前,请务必阅读并理解网页上的所有内容。如果你看到弹出窗口或听到声音消息要求你致电微软或安装某些安全工具,那它就是假的。
    此外,最好直接从供应商或开发商处下载软件和更新/升级,而不是从第三方文件托管网站下载。

1微软现在发布了Windows 10 安装介质因此您可以合法地免费下载和写入 8GB 或更大的闪存驱动器。您仍然需要有效的许可证,但不再需要单独的基本操作系统恢复磁盘。

2现在是指出我已经稍微放宽了我的做法的好时机。如今,大多数“感染”都属于 PUP(潜在有害程序)和其他下载中包含的浏览器扩展程序。通常,这些 PUP/扩展程序可以通过传统方式安全地删除,而且它们现在占了恶意软件的很大一部分,我可能会就此止步,只需尝试“添加/删除程序”功能或常规浏览器选项来删除扩展程序。然而,一旦出现更深层次的问题的迹象(任何迹象表明软件不会正常卸载),我就会重新开始安装机器。

答案2

我如何知道我的电脑是否已被感染?

恶意软件的一般症状可以是任何症状。通常包括:

  • 该机器比正常情况下慢。
  • 随机故障和不应该发生的事情(例如,某些新病毒对您的机器设置组策略限制,以阻止任务管理器或其他诊断程序运行)。
  • 当您认为您的机器应该处于空闲状态(例如 <5%)时,任务管理器会显示高 CPU。
  • 广告随机弹出。
  • 从您不记得安装的防病毒软件中弹出病毒警告(该防病毒程序是假的,并试图声称您感染了听起来很可怕的病毒,其名称如“bankpasswordstealer.vir”。鼓励您付费购买该程序来清除这些病毒)。
  • 弹出窗口/假蓝屏死机 (BSOD) 要求您拨打电话来修复感染。
  • 互联网页面被重定向或阻止,例如,AV 产品或支持站点 (www.symantec.com、www.avg.com、www.microsoft.com) 的主页被重定向到充满广告的站点,或宣传虚假防病毒/“有用”删除工具的虚假站点,或者被完全阻止。
  • 当您尚未安装任何应用程序(或补丁)时,启动时间会增加......这个很尴尬。
  • 您的个人文件已被加密,并且您看到了一封勒索信。
  • 对于任何意外情况,如果您“了解”您的系统,您通常都会知道什么时候出了问题。

我该如何摆脱它?

使用 Live CD

由于受感染 PC 的病毒扫描程序可能已遭入侵,因此使用 Live CD 扫描驱动器可能更为安全。该 CD 将启动计算机上的专用操作系统,然后扫描硬盘驱动器。

例如,Avira Antivir 救援系统或者ubcd4win。更多建议可参见免费可启动防病毒救援 CD 下载列表例如:

  • 卡巴斯基救援光盘
  • BitDefender 救援 CD
  • F-Secure 救援 CD
  • Avira Antivir 救援磁盘
  • Trinity 救援工具包 CD
  • AVG 救援 CD

将硬盘连接到另一台电脑

如果您要将受感染的硬盘连接到干净的系统以进行扫描,请确保更新所有用于扫描受感染硬盘的产品的病毒定义。等待一周让防病毒提供商发布新的病毒定义可以提高您检测到所有病毒的机会。

一旦发现系统被感染,请确保立即断开与互联网的连接。这将阻止其下载新版本的病毒(以及其他病毒)。

从一个好的工具开始,例如Spybot 搜索并摧毁或者Malwarebytes 的反恶意软件并执行完整扫描。还可以尝试组合修复, 和超级反间谍软件。没有一款防病毒产品能够涵盖所有病毒定义。使用多种产品是关键 (不适用于实时保护)。即使系统中只剩下一个病毒,它也可能下载并安装所有最新版本的新病毒,而迄今为止的所有努力都将付诸东流。

从启动中删除可疑程序

  1. 以安全模式启动。
  2. 用于msconfig确定哪些程序和服务在启动时启动(或在 Windows 8 中在任务管理器下启动)。
  3. 如果有可疑的程序/服务,请将其从启动中删除。否则请跳至使用实时 CD。
  4. 重新开始。
  5. 如果症状没有消失和/或程序在启动时自行替换,请尝试使用名为自动运行找到该程序,然后从那里删除它。如果您的计算机无法启动,Autoruns 有一个功能,可以从第二台 PC 运行,称为“分析离线 PC”。特别注意LogonScheduled tasks选项卡。
  6. 如果仍然无法成功删除该程序,并且您确定它是导致问题的原因,请启动常规模式,并安装一个名为解锁者
  7. 导航到该病毒文件的位置,并尝试使用解锁程序将其杀死。可能会发生以下几件事:
    1. 文件被删除,重启后不会重新出现。这是最好的情况。
    2. 文件被删除,但立即重新出现。在这种情况下,使用名为进程监控找出重新创建该文件的程序。您还需要删除该程序。
    3. 该文件无法删除,unlocker 会在重启时提示您删除它。请执行此操作,看看它是否会重新出现。如果确实如此,则您的启动过程中一定有一个程序导致这种情况发生,然后重新检查启动过程中运行的程序列表。

恢复后该做什么

现在应该可以安全地启动(希望如此)您(之前)受感染的系统了。不过,请密切注意感染迹象。病毒可以在计算机上留下变化,即使病毒已被清除,也很容易再次感染。

例如,如果病毒更改了 DNS 或代理设置,您的计算机就会将您重定向到合法网站的虚假版本,这样下载看似知名且受信任的程序实际上可能是在下载病毒。

他们还可能通过将您重定向到虚假的银行帐户网站或虚假的电子邮件网站来获取您的密码。请务必检查您的 DNS 和代理设置。在大多数情况下,您的 DNS 应由您的 ISP 提供或由 DHCP 自动获取。您的代理设置应被禁用。

检查hosts文件 ( \%systemroot%\system32\drivers\etc\hosts) 中是否有任何可疑条目并立即删除。同时请确保您的防火墙已启用并且您已安装所有最新的 Windows 更新。

接下来,使用好的防病毒软件保护您的系统,并使用反恶意软件产品进行补充。微软安全必备经常被推荐以及其他产品

如果一切都失败了怎么办

需要注意的是,有些恶意软件非常擅长躲避扫描程序。一旦您被感染,它可能会安装根工具包或类似方法保持隐身。如果情况真的很糟糕,唯一的选择就是擦除磁盘并从头开始重新安装操作系统。有时使用格林梅尔或卡巴斯基TDSS 杀手可以显示您是否拥有 rootkit。

您可能需要运行几次 Spybot Search and Destroy。如果运行三次后仍无法清除感染(并且您无法手动清除),请考虑重新安装。

另一个建议:组合固定当 rootkit 阻止其他程序运行或安装时,它是一种非常强大的删除工具。

使用多个扫描引擎肯定有助于找到隐藏最深的恶意软件,但这是一项艰巨的任务,而良好的备份/恢复策略将更加高效和安全。

额外福利:有一系列有趣的视频以“理解和对抗恶意软件:病毒、间谍软件”与 Sysinternals ProcessExplorer 和 Autoruns 的创建者 Mark Russinovich 一起讨论恶意软件清理。

答案3

Jeff Atwood 的“如何清除 Windows 间谍软件感染”。以下是基本流程(请务必阅读博客文章以获取屏幕截图和本摘要忽略的其他详细信息):

  1. 停止当前正在运行的任何间谍软件。Windows 的内置任务管理器无法解决问题;获取Sysinternals 进程浏览器
    1. 运行进程资源管理器。
    2. 按公司名称对流程列表进行排序。
    3. 终止任何没有公司名称的进程(不包括 DPC、中断、系统和系统空闲进程),或者具有您不认识的公司名称的进程。
  2. 阻止间谍软件在下次启动系统时重新启动。同样,Windows 的内置工具 MSconfig 是一个部分解决方案,但Sysinternals 自动运行是要使用的工具。
    1. 运行 AutoRuns。
    2. 浏览整个列表。取消选中可疑条目——那些发布者名称为空白或任何您不认识的发布者名称的条目。
  3. 现在重新启动。
  4. 重启后,使用 Process Explorer 和 AutoRuns 重新检查。如果出现问题,则需要进一步深入研究。
    • 在 Jeff 的例子中,返回的一个结果就是 AutoRuns 中出现了一个可疑的驱动程序条目。他谈到了如何在 Process Explorer 中追踪加载该驱动程序的进程、关闭句柄以及物理删除恶意驱动程序。
    • 他还发现了一个名称奇怪的 DLL 文件挂接在 Winlogon 进程中,并演示了如何查找并终止加载该 DLL 的进程线程,以便 AutoRuns 最终可以删除这些条目。

答案4

按照下面给出的顺序对你的电脑进行消毒

  1. 在未受感染的 PC 上,制作启动 AV 光盘,然后从受感染 PC 上的光盘启动并扫描硬盘,删除它发现的任何感染。我更喜欢Windows Defender 脱机启动 CD/USB,因为它可以删除启动扇区病毒,请参阅下面的“注意”。

    或者,你可以尝试一些其他 AV 启动盘

  2. 使用启动盘扫描并删除恶意软件后,安装免费工商管理硕士,运行该程序并转到“更新”选项卡并进行更新,然后转到“扫描仪”选项卡并进行快速扫描,选择并删除它找到的任何内容。

  3. MBAM 完成安装后SAS免费版本,运行快速扫描,删除自动选择的内容。

  4. 如果 Windows 系统文件被感染您可能需要运行 SFC替换文件,你可能必须离线执行此操作如果由于删除了受感染的系统文件而无法启动。我建议您在删除完所有感染文件后运行 SFC。

  5. 在某些情况下你可能必须运行启动修复(仅限 Windows Vista 和 Windows7)才能再次正常启动。在极端情况下,可能需要连续进行 3 次启动修复。

MBAM 和 SAS 不是像 Norton 这样的 AV 软件,它们是按需扫描程序,仅在您运行程序时扫描恶意软件,不会干扰您安装的 AV,它们可以每天或每周运行一次,以确保您没有受到感染。请确保在每次每日或每周扫描之前更新它们。

注意:Windows Defender Offline 产品非常擅长删除持续性 MBR 感染这些在今天已十分常见。

对于高级用户:

如果你有一个以软件形式出现的感染,例如“System Fix”,“AV Security 2012”等, 请参阅此页面了解具体的移除指南

相关内容