可能重复:
如果我的计算机感染了病毒或恶意软件该怎么办?
我想知道专业人士使用什么工具和方法来删除 Windows 中的恶意软件。HijackThis 够用吗?如何手动识别根深蒂固在操作系统中的东西?
我爸爸的 XP 系统显然感染了某种病毒,但通常的建议(安全模式下的多个扫描工具、实时 CD 等)都无济于事。他拒绝格式化,因为他有工作要做,而且目前恶意软件还没有造成太大的阻碍。
我很尴尬地说,我最近在一所排名前十的计算机科学学校获得了计算机科学学位。
答案1
这是我使用的方法。它非常成功,而且花费的时间不到 90 分钟。
构建闪存驱动器
从未受感染的计算机下载以下内容并将其加载到闪存驱动器上。或者,您可以将它们刻录到 CD 上。
(我建议从 ZIP 文件中提取 EXE 修复程序并将注册表文件放在您的闪存驱动器上。)
启动到“带网络连接的安全模式”
在受感染的计算机上,启动到带网络连接的安全模式。在出现“正在加载 Windows”屏幕之前按下键盘上的 F8 键即可。
插入闪存驱动器(或 CD)。如果您在 XP 上运行,请启动 .exe 文件扩展名修复程序(即使您认为 .exe 文件扩展名没有问题。)
接下来,安装 Malwarebytes Anti-Malware。在 Vista 和 Windows 7 上,确保右键单击安装程序并按“以管理员身份运行”。
更新定义
现在您已安装 Malwarebytes,您需要检查您的恶意软件定义。如果您未能执行此步骤,您将无法从计算机中删除所有感染。
转到“更新”选项卡。检查定义日期。无论它说了什么,您都应该至少进行一次更新以确保万无一失。第一次更新后,如果日期仍然比几天前更早,则需要进行第二次更新。有时我必须进行最多三次更新才能使 Malwarebytes 保持最新状态。
扫描恶意软件
返回主选项卡并选择“全面扫描”。一台普通计算机大约有 100,000 个对象,扫描需要 20-30 分钟。如果计算机多年来安装了多个服务包,则扫描时间会更长。
完成后,单击“显示结果”。仔细检查这里的所有内容,然后全部删除。它会显示一个文本日志文件(您可以关闭它,它已经保存了),然后程序会要求您重新启动计算机。继续,让它重新启动。
组合修复
当您的计算机重新启动时,不要进入安全模式。
如果您的计算机上装有防病毒软件,您需要禁用其为下一步提供的主动保护。许多防病毒软件(如 Symantec)只需右键单击系统托盘中的图标即可禁用。其他程序(如 AVG)则要求您实际进入程序并禁用它们。
完成后,从闪存驱动器启动 ComboFix(Vista 和 7 用户需要右键单击 ComboFix 并按“以管理员身份运行”。)
接受警告通知。ComboFix 将自动检查新版本。如果有,就让它下载。它会告诉你它想要安装 Microsoft Recovery Console,也允许它这样做。如果它检测到 RootKit 的存在(它非常擅长发现这些),它会自动将您的计算机重新启动到更安全的环境。
最后,它将开始扫描感染。经过 10-15 分钟后,它将自动开始清除感染。该程序需要很长时间才能完成并清理(再过 10 分钟),并且在此过程中可能会重新启动几次,所以请耐心等待。程序完成后将显示一个文本日志文件。请勿关闭蓝色窗口,它会自动关闭。有时需要长达 10 分钟才能关闭。
重置 Internet Explorer
最后要做的是打开 Internet Explorer 并将其重置为出厂设置。这将删除仍驻留在 IE 中的任何受感染的附加组件或 dll。为此,请转到“工具”、“Internet 选项”,单击“高级”选项卡,然后按下底部的“重置”按钮。
我建议检查“删除个人设置”,但通常不这样做也可以。
对批评的反应
许多计算机专家建议不要清除用户计算机上的恶意软件。他们声称你永远无法真正摆脱感染,并且你不能相信 Malwarebytes 和 Combofix 确实发现了所有感染。
我最好的建议是,上当受骗的人往往会反复上当(大约一年两次)。花时间在计算机上重新加载 Windows 是一种浪费,因为你会再次上当。更重要的是,IT 专业人员会向你收取 3-4 小时的 Windows 重新加载费用,而上面列出的过程可以在 60-90 分钟内完成。
只需告知用户修复与重新加载的危险性以及两者的成本差异。在接下来的几周内,使用更新版本的 Malwarebytes 或 ComboFix 偶尔进行扫描以查看第一次扫描是否遗漏了任何内容也无妨。
附加信息:我每周从 3-5 台计算机中删除恶意软件和病毒。我的删除过程一直在改进,以对抗恶意软件不断出现的新花招,但这种特定方法一直是我过去四个月的攻击计划。如果我将来发现它停止工作或需要进行更改,我会返回此页面并进行这些更改。
答案2
从轨道上起飞并摧毁该地点,这是唯一可靠的方法。
— 外星人
认真地讲,让机器变平。重新安装时,将所有数据存储在一个(或两个)外部驱动器上,并且绝不允许将可执行文件存储在那里。
Windows 实际上已经成为一种“一次性”安装,您不应该习惯它存在很长时间,否则就需要重新安装。
直接回答你的问题,这基本上是所有“专业人士”现在所做的。现在再花精力研究 DLL 已经不值得了。
至于“有工作要做”的说法,请解释一下,这就像开一辆爆胎的车。从长远来看,停车换胎总是比慢慢爬行要快,因为你“没有时间停下来”。
答案3
真正的高级用户并不会做这些事。真的。
以前还不错,但在过去的几年里情况发生了变化:
- 现代恶意软件成群结队地传播。一开始只有一个漏洞,但一旦漏洞被攻破,第一个感染就会下载其他病毒。
- 现代恶意软件更加狡猾。Rootkit 变得越来越复杂、越来越普遍,并且越来越善于逃避检测。您的努力可能会消除一次感染,但仍然会留下一个隐藏在 Rootkit 背后的伙伴。
- 现代恶意软件更加恶意。它过去只会向你展示广告。现在它会窃取你的信用卡号、银行密码或身份。
- 现代恶意软件的攻击范围更广。有时,如果不破坏受感染的系统,就无法将其删除。
把所有这些放在一起,这意味着修复受感染的计算机根本不值得。相反,你应该备份数据、清除硬盘、重新安装操作系统和应用程序,然后恢复数据。 从轨道上用核武器轰炸它,这是唯一可靠的方法。
对我来说,第 3 项才是真正让我得出这个结论的关键。我以前很擅长删除不好的东西,甚至靠这个谋生,但现在我们在电脑上存储的有价值的信息比几年前还要多。我特别想谈谈这一点:
目前该恶意软件尚未造成任何太大的阻碍。
你怎么知道?你确定他的个人信息没有被盗用,并被用来为亚利桑那州的某些非法移民创建绿卡和信用记录吗?这可能几年后才会显现出来,但一旦显现,几乎可以毁掉你的生活。
答案4
我的删除恶意软件的方法是有效的,而且我从未见过它失败:
- 下载自动运行如果您仍运行 32 位,请下载 rootkit 扫描程序。
- 启动到安全模式并启动自动运行(如果可以),然后转到步骤 5。
- 如果无法进入安全模式,请将磁盘连接到另一台计算机。
- 在该计算机上启动自动运行,转到文件->分析离线系统并填写。
- 等待扫描完成。
- 在选项菜单中,选择所有内容。
- 按 F5 键让它再次扫描。由于内容已缓存,因此扫描过程会很快。
- 浏览列表并取消选中所有显眼的或没有经过公司验证的内容。
- 选修的:运行 rootkit 扫描程序。
- 让顶级病毒扫描程序删除所有残留的文件。
- 选修的:运行反恶意软件和反间谍软件扫描程序来清除垃圾。
- 选修的:运行 HijackThis/OTL/ComboFix 等工具来清除垃圾。
- 重新启动并享受您的干净系统。
- 选修的:再次运行 rootkit 扫描程序。
- 确保您的计算机受到足够的保护!
一些评论:
- Autoruns 由 Microsoft 编写,因此可以显示自动启动的任何事物的位置...
- 一旦软件从 Autoruns 中取消选中,它将不会启动并且无法阻止您将其删除...
- 不存在适用于 64 位操作系统的 rootkit,因为它们需要签名……
它之所以有效是因为它可以禁用恶意软件/间谍软件/病毒,
您可以自由运行可选工具来清除系统中留下的任何垃圾。