Как удалить со своего компьютера вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты?

Что мне делать, если мой компьютер с Windows кажется зараженным вирусом или вредоносным ПО?

  • Каковы симптомы инфекции?
  • Что я должен делать после того, как заметил инфекцию?
  • Что я могу сделать, чтобы избавиться от этого?
  • как предотвратить заражение вредоносным ПО?

Этот вопрос часто возникает, и предлагаемые решения обычно совпадают. Эта вики сообщества - это попытка дать исчерпывающий, наиболее полный ответ.

Не стесняйтесь добавлять свои вклады через изменения.

19 ответов

Решение

Вот в чем дело: вредоносное ПО в последние годы стало одновременно хитрее и злее:

Подлый, не только потому, что лучше скрываться с руткитами или хакерами EEPROM, но и потому, что он путешествует в пачках. Тонкие вредоносные программы могут скрываться за более очевидными инфекциями. В ответах здесь есть много хороших инструментов, которые могут найти 99% вредоносных программ, но всегда есть 1%, которые они пока не могут найти. В основном, этот 1% - это что-то новое: вредоносные инструменты не могут его найти, потому что он только что вышел и использует какой-то новый эксплойт или технику, чтобы скрыть себя, о чем инструменты еще не знают.

Вредоносные программы также имеют короткий срок годности. Если вы заражены, что-то из этого нового 1%, скорее всего, будет одной частью вашей инфекции. Это будет не вся инфекция, а только ее часть. Инструменты безопасности помогут вам найти и удалить более очевидное и известное вредоносное ПО и, скорее всего, убрать все видимые симптомы (потому что вы можете продолжать копать, пока не зайдете так далеко), но они могут оставить маленькие кусочки, как кейлоггер или руткит, скрывающийся за каким-то новым эксплойтом, который инструмент безопасности еще не знает, как проверить. У инструментов защиты от вредоносного ПО все еще есть место, но я вернусь к этому позже.

Тем более, что он не будет просто показывать рекламу, устанавливать панель инструментов или использовать ваш компьютер как зомби. Современные вредоносные программы, скорее всего, подойдут для банковской информации или информации о кредитных картах. Люди, создающие это, больше не просто сценаристы, ищущие славу; теперь они организованные профессионалы, мотивированные прибылью, и если они не могут украсть у вас напрямую, они будут искать что-то, что смогут обернуть и продать. Это может быть обработка или сетевые ресурсы на вашем компьютере, но это также может быть ваш номер социального страхования или шифрование ваших файлов и удержание их для выкупа.

Объедините эти два фактора, и больше не стоит даже пытаться удалять вредоносные программы из установленной операционной системы. Раньше я был очень хорош в удалении этого материала, до такой степени, что я зарабатывал значительную часть своей жизни таким образом, и я больше даже не делал попытку. Я не говорю, что это невозможно, но я говорю, что результаты анализа затрат / выгод и рисков изменились: это просто больше не стоит. На карту поставлено слишком много, и слишком легко получить результаты, которые кажутся эффективными.

Многие люди со мной не согласятся по этому поводу, но я призываю их недостаточно сильно взвешивать последствия неудач. Готовы ли вы поставить свои сбережения на жизнь, свой хороший кредит, даже свою личность, что вы лучше в этом, чем мошенники, которые делают миллионы, делая это каждый день? Если вы пытаетесь удалить вредоносное ПО, а затем продолжаете использовать старую систему, это именно то, что вы делаете.

Я знаю, что есть люди, которые читают эту мысль: "Эй, я удалил несколько инфекций с разных машин, и ничего плохого не случилось". Я тоже, друг. Я тоже. В прошлые дни я очистил свою долю зараженных систем. Тем не менее я полагаю, что теперь нам необходимо добавить "еще" в конец этого заявления. Вы можете быть эффективны на 99%, но вы должны ошибаться только один раз, и последствия неудачи намного выше, чем когда-то; стоимость только одного отказа может легко перевесить все другие успехи. Возможно, у вас уже есть машина, в которой все еще есть бомба замедленного действия, просто ожидающая активации или сбора правильной информации, прежде чем сообщать о ней. Даже если у вас сейчас 100% эффективный процесс, этот материал постоянно меняется. Помните: вы должны быть совершенны каждый раз; плохим парням повезло только один раз.

Таким образом, это неудачно, но если у вас есть подтвержденное заражение вредоносным ПО, полное повторное оповещение компьютера должно быть первым местом, которое вы включаете, а не последним.


Вот как это сделать:

Перед заражением убедитесь, что у вас есть способ переустановить любое приобретенное программное обеспечение, включая операционную систему, которое не зависит от того, что хранится на вашем внутреннем жестком диске. Для этого это обычно означает просто зависание на CD / DVD или ключах продукта, но операционная система может потребовать от вас создания дисков восстановления самостоятельно. 1 Не полагайтесь на раздел восстановления для этого. Если вы подождете до окончания заражения, чтобы убедиться, что у вас есть все, что нужно для повторной установки, вы можете снова заплатить за то же программное обеспечение. С ростом вымогателей также крайне важно регулярно создавать резервные копии ваших данных (плюс, вы знаете, обычные не злонамеренные вещи, такие как сбой жесткого диска).

Если вы подозреваете, что у вас есть вредоносная программа, посмотрите другие ответы здесь. Предложено много хороших инструментов. Моя единственная проблема - лучший способ их использования: я полагаюсь только на них для обнаружения. Установите и запустите инструмент, но как только он обнаружит доказательства реальной инфекции (не просто отслеживания файлов cookie), просто остановите сканирование: инструмент выполнил свою работу и подтвердил вашу инфекцию. 2

Во время подтвержденной инфекции предпримите следующие шаги:

  1. Проверьте свой кредит и банковские счета. К тому времени, когда вы узнаете об инфекции, реальный ущерб уже может быть нанесен. Примите любые меры, необходимые для защиты ваших карт, банковского счета и личности.
  2. Измените пароли на любом веб-сайте, доступ к которому вы получили с взломанного компьютера Не используйте скомпрометированный компьютер, чтобы сделать что-либо из этого.
  3. Сделайте резервную копию ваших данных (даже лучше, если у вас уже есть).
  4. Переустановите операционную систему, используя оригинальный носитель, полученный непосредственно от издателя ОС. Убедитесь, что переустановка включает в себя полное переформатирование вашего диска; восстановления системы или операции восстановления системы недостаточно.
  5. Переустановите ваши приложения.
  6. Убедитесь, что ваша операционная система и программное обеспечение полностью обновлены и обновлены.
  7. Запустите полную антивирусную проверку, чтобы очистить резервную копию со второго шага.
  8. Восстановите резервную копию.

Если все сделано правильно, это может занять от двух до шести часов реального времени, распределенных в течение двух-трех дней (или даже дольше), пока вы ждете, пока устанавливаются приложения, загружаются обновления Windows или большие файлы резервных копий. перевести... но это лучше, чем выяснить позже, что мошенники истощили ваш банковский счет. К сожалению, это то, что вы должны сделать сами, или для вас сделает хороший друг. При обычной ставке консультирования около 100 долларов в час купить новую машину дешевле, чем заплатить в магазине, чтобы это сделать. Если у вас есть друг, сделайте это за вас, сделайте что-нибудь приятное, чтобы выразить свою признательность. Даже фанаты, которые любят помогать вам создавать новые вещи или ремонтировать сломанное оборудование, часто ненавидят утомительную работу по уборке. Также лучше, если вы возьмете свою резервную копию... ваши друзья не узнают, куда вы положили какие файлы или какие действительно важны для вас. Вы в лучшем положении, чтобы сделать хорошую резервную копию, чем они.

Вскоре даже всего этого может оказаться недостаточно, поскольку сейчас существует вредоносное ПО, способное заражать прошивку. Even replacing the hard drive may not remove the infection, and buying a new computer will be the only option. Thankfully, at the time I'm writing this we're not to that point yet, but it's definitely on the horizon and approaching fast.


If you absolutely insist, beyond all reason, that you really want to clean your existing install rather than start over, then for the love of God make sure whatever method you use involves one of the following two procedures:

  • Remove the hard drive and connect it as a guest disk in a different (clean!) computer to run the scan.

ИЛИ ЖЕ

  • Boot from a CD/USB key with its own set of tools running its own kernel. Make sure the image for this is obtained and burned on a clean computer. If necessary, have a friend make the disk for you.

Under no circumstances should you try to clean an infected operating system using software running as a guest process of the compromised operating system. That's just plain dumb.


Of course, the best way to fix an infection is to avoid it in the first place, and there are some things you can do to help with that:

  1. Keep your system patched. Make sure you promptly install Windows Updates, Adobe Updates, Java Updates, Apple Updates, etc. This is far more important even than anti-virus software, and for the most part it's not that hard, as long as you keep current. Most of those companies have informally settled on all releasing new patches on the same day each month, so if you keep current it doesn't interrupt you that often. Windows Update interruptions typically only happen when you ignore them for too long. If this happens to you often, it's on you to change your behavior. These are important, and it's not okay to continually just choose the "install later" option, even if it's easier in the moment.
  2. Do not run as administrator by default. In recent versions of Windows, it's as simple as leaving the UAC feature turned on.
  3. Use a good firewall tool. These days the default firewall in Windows is actually good enough. You may want to supplement this layer with something like WinPatrol that helps stop malicious activity on the front end. Windows Defender works in this capacity to some extent as well. Basic Ad-Blocker browser plugins are also becoming increasingly useful at this level as a security tool.
  4. Set most browser plug-ins (especially Flash and Java) to "Ask to Activate".
  5. Run current anti-virus software. This is a distant fifth to the other options, as traditional A/V software often just isn't that effective anymore. It's also important to emphasize the "current". You could have the best antivirus software in the world, but if it's not up to date, you may just as well uninstall it.

    For this reason, I currently recommend Microsoft Security Essentials. (Since Windows 8, Microsoft Security Essentials is part of Windows Defender.) There are likely far better scanning engines out there, but Security Essentials will keep itself up to date, without ever risking an expired registration. AVG and Avast also work well in this way. I just can't recommend any anti-virus software you have to actually pay for, because it's just far too common that a paid subscription lapses and you end up with out-of-date definitions.

    It's also worth noting here that Mac users now need to run antivirus software, too. The days when they could get away without it are long gone. As an aside, I think it's hilarious I now must recommend Mac users buy anti-virus software, but advise Windows users against it.

  6. Avoid torrent sites, warez, pirated software, and pirated movies/videos. This stuff is often injected with malware by the person who cracked or posted it — not always, but often enough to avoid the whole mess. It's part of why a cracker would do this: often they will get a cut of any profits.
  7. Use your head when browsing the web. You are the weakest link in the security chain. Если что-то звучит слишком хорошо, чтобы быть правдой, это, вероятно, так. The most obvious download button is rarely the one you want to use any more when downloading new software, so make sure to read and understand everything on the web page before you click that link. If you see a pop up or hear an audible message asking you to call Microsoft or install some security tool, it's a fake.
    Also, prefer to download the software and updates/upgrades directly from vendor or developer rather than third party file hosting websites.

1 Microsoft now publishes the Windows 10 install media so you can legally download and write to an 8GB or larger flash drive for free. You still need a valid license, but you don't need a separate recovery disk for the basic operating system any more.

2 This is a good time to point out that I have softened my approach somewhat. Today, most "infections" fall under the category of PUPs (Potentially Unwanted Programs) and browser extensions included with other downloads. Often these PUPs/extensions can safely be removed through traditional means, and they are now a large enough percentage of malware that I may stop at this point and simply try the Add/Remove Programs feature or normal browser option to remove an extension. However, at the first sign of something deeper — any hint the software won't just uninstall normally — and it's back to repaving the machine.

Как я могу узнать, заражен ли мой компьютер?

Общие симптомы для вредоносных программ могут быть чем угодно. Обычными являются:

  • Машина работает медленнее, чем обычно.
  • Случайные сбои и события, происходящие, когда они не должны (например, некоторые новые вирусы накладывают ограничения на групповую политику на вашем компьютере, чтобы предотвратить запуск диспетчера задач или других диагностических программ).
  • Диспетчер задач показывает высокую загрузку процессора, когда вы думаете, что ваш компьютер должен простаивать (например, <5%).
  • Объявления появляются в случайном порядке.
  • Предупреждения о вирусах появляются из-за антивируса, который вы не помните, установив (антивирусная программа является поддельной и пытается заявить, что у вас страшно звучащие вирусы с такими именами, как "bankpasswordstealer.vir". Рекомендуется заплатить за эту программу, чтобы очистить эти).
  • Всплывающие окна / фальшивый синий экран смерти (BSOD) с просьбой позвонить по номеру, чтобы исправить инфекцию.
  • Интернет-страницы, перенаправленные или заблокированные, например, домашние страницы AV-продуктов или сайтов поддержки (www.symantec.com, www.avg.com, www.microsoft.com), перенаправляются на сайты, заполненные рекламой, или на поддельные сайты, рекламирующие поддельные средства защиты. вирус / "полезные" средства для удаления, или заблокированы в целом.
  • Увеличено время запуска, когда вы не устанавливали какие-либо приложения (или патчи)... Это неудобно.
  • Ваши личные файлы зашифрованы, и вы видите записку с требованием выкупа.
  • Что угодно, если вы "знаете" свою систему, вы обычно знаете, когда что-то не так.

Как мне избавиться от этого?

Использование Live CD

Поскольку вирусный сканер зараженного компьютера может быть скомпрометирован, возможно, безопаснее сканировать диск с Live CD. Компакт-диск загрузит специализированную операционную систему на вашем компьютере, которая будет сканировать жесткий диск.

Есть, например, Avira Antivir Rescue System или ubcd4win. Дополнительные предложения можно найти в списке бесплатных загрузочных загрузочных антивирусных CD, таких как:

  • Kaspersky Rescue CD
  • BitDefender Rescue CD
  • F-Secure Rescue CD
  • Avira Antivir Rescue Disk
  • Компакт-диск Trinity Rescue Kit
  • AVG Rescue CD

Подключение жесткого диска к другому ПК

Если вы подключаете зараженный жесткий диск к чистой системе для сканирования, убедитесь, что вы обновили определения вирусов для всех продуктов, которые вы будете использовать для проверки зараженного диска. Ожидание недели, чтобы поставщики антивирусных программ выпустили новые определения вирусов, могут повысить ваши шансы на обнаружение всех вирусов.

Убедитесь, что ваша зараженная система остается отключенной от Интернета, как только вы обнаружите, что она заражена. Это предотвратит загрузку новых версий вирусов (среди прочего).

Начните с хорошего инструмента, такого как Spybot Search and Destroy или Malwarebytes' Anti-Malware, и выполните полное сканирование. Также попробуйте ComboFix и SuperAntiSpyware. Ни у одного антивирусного продукта нет определения каждого вируса. Использование нескольких продуктов является ключевым (не для защиты в реальном времени). Если в системе останется хотя бы один вирус, он сможет загрузить и установить все последние выпуски новых вирусов, и все усилия на данный момент были бы напрасны.

Удалить подозрительные программы из загрузки

  1. Запустите в безопасном режиме.
  2. использование msconfig определить, какие программы и службы запускаются при загрузке (или при запуске под диспетчером задач в Windows 8).
  3. Если есть программы / службы, которые подозрительны, удалите их из загрузки. В противном случае перейдите на использование live CD.
  4. Запустить снова.
  5. Если симптомы не проходят и / или программа заменяет себя при запуске, попробуйте использовать программу под названием Autoruns, чтобы найти программу и удалить ее оттуда. Если ваш компьютер не может загрузиться, в Autoruns есть функция, с помощью которой его можно запускать со второго компьютера, который называется "Анализировать автономный компьютер". Обратите особое внимание на Logon а также Scheduled tasks Вкладки.
  6. Если по-прежнему не удается удалить программу, и вы уверены, что это является причиной ваших проблем, загрузитесь в обычном режиме и установите инструмент под названием Unlocker.
  7. Перейдите к расположению файла, который является этим вирусом, и попытайтесь использовать unlocker для его уничтожения. Может произойти несколько вещей:
    1. Файл удален и больше не появляется при перезапуске. Это лучший случай.
    2. Файл удален, но сразу появляется снова. В этом случае используйте программу Process Monitor, чтобы узнать, какая программа создала файл заново. Вам также необходимо удалить эту программу.
    3. Файл не может быть удален, разблокировщик предложит вам удалить его при перезагрузке. Сделайте это и посмотрите, появится ли это снова. Если это так, у вас должна быть программа в загрузке, которая вызывает это, и пересмотрите список программ, которые запускаются при загрузке.

Что делать после восстановления

Теперь должно быть безопасно (надеюсь) загрузиться в вашу (ранее) зараженную систему. Тем не менее, держите глаза открытыми для признаков инфекции. Вирус может оставить на компьютере изменения, которые упростят повторное заражение даже после удаления вируса.

Например, если вирус изменил настройки DNS или прокси-сервера, ваш компьютер перенаправит вас на фальшивые версии законных веб-сайтов, так что загрузка программы, которая выглядит как хорошо известная и заслуживающая доверия программа, может фактически привести к загрузке вируса.

Они также могут получить ваши пароли, перенаправив вас на поддельные сайты банковских счетов или поддельные сайты электронной почты. Обязательно проверьте настройки DNS и прокси. В большинстве случаев ваш DNS должен предоставляться вашим Интернет-провайдером или автоматически приобретаться DHCP. Ваши настройки прокси должны быть отключены.

Проверьте свои hosts файл (\%systemroot%\system32\drivers\etc\hosts) для любых подозрительных записей и немедленно удалить их. Также убедитесь, что ваш брандмауэр включен и у вас есть все последние обновления Windows.

Затем защитите свою систему с помощью хорошего антивируса и дополните его антивирусным продуктом. Microsoft Security Essentials часто рекомендуется вместе с другими продуктами.

Что делать, если все не получается

Следует отметить, что некоторые вредоносные программы очень хорошо избегают сканеров. Вполне возможно, что после заражения он может установить руткиты и т. П., Чтобы оставаться невидимым. Если все действительно плохо, единственный вариант - стереть диск и переустановить операционную систему с нуля. Иногда сканирование с использованием GMER или Kaspersky TDSS Killer может показать вам, есть ли у вас руткит.

Вы можете сделать несколько запусков Spybot Search and Destroy. Если после трех запусков не удается удалить заражение (и вам не удается это сделать вручную), рассмотрите возможность повторной установки.

Еще одно предложение: Combofix - очень мощный инструмент для удаления, когда руткиты препятствуют запуску или установке других программ.

Использование нескольких механизмов сканирования, безусловно, может помочь найти вредоносные программы, которые лучше всего скрыты, но это сложная задача, и хорошая стратегия резервного копирования / восстановления будет более эффективной и безопасной.


Бонус: есть интересная серия видеороликов, начинающаяся с " Понимания и борьбы с вредоносным ПО: вирусы, шпионское ПО" с Марком Руссиновичем, создателем Sysinternals ProcessExplorer & Autoruns, о очистке от вредоносных программ.

В книге Джеффа Этвуда "Как убрать заражение шпионским ПО Windows" есть несколько полезных советов по борьбе с вредоносным ПО. Вот основной процесс (обязательно прочитайте пост в блоге, чтобы увидеть скриншоты и другие подробности, которые скрыты в этом резюме):

  1. Остановите все запущенные шпионские программы Встроенный диспетчер задач Windows не будет его сокращать; получить Sysinternals Process Explorer.
    1. Запустите Process Explorer.
    2. Сортировать список процессов по названию компании.
    3. Убейте все процессы, которые не имеют названия компании (за исключением DPC, прерываний, системы и процесса простоя системы) или имеют имена компаний, которые вы не можете распознать.
  2. Остановите перезапуск шпионского ПО при следующей загрузке системы. Опять же, встроенный инструмент Windows, MSconfig, является частичным решением, но Sysinternals AutoRuns - это инструмент для использования.
    1. Запустите автозапуск.
    2. Просмотрите весь список. Снимите флажки с подозрительных записей - те, которые имеют пустые имена издателей или любые имена издателей, которых вы не узнаете
  3. Теперь перезагрузите компьютер.
  4. После перезагрузки перепроверьте с помощью Process Explorer и AutoRuns. Если что-то "вернется", вам придется копать глубже.
    • В примере Джеффа одна вещь, которая возвратилась, была подозрительной записью водителя в AutoRuns. Он говорит, отслеживая процесс, который загрузил его в Process Explorer, закрывая дескриптор и физически удаляя мошеннический драйвер.
    • Он также обнаружил файл DLL со странным именем, подключенный к процессу Winlogon, и демонстрирует обнаружение и уничтожение потоков процесса, загружающих эту DLL, чтобы в результате автозапуск мог окончательно удалить записи.

Мой способ удаления вредоносных программ эффективен, и я никогда не видел его сбой:

  1. Загрузите автозапуск и, если вы все еще используете 32-разрядную версию, загрузите сканер руткитов.
  2. Загрузитесь в безопасном режиме и запустите автозапуск, если сможете, затем перейдите к шагу 5.
  3. Если вы не можете войти в безопасный режим, подключите диск к другому компьютеру.
  4. Запустите автозапуск на этом компьютере, перейдите в Файл -> Анализировать автономную систему и заполните его.
  5. Подождите, пока сканирование будет сделано.
  6. В меню "Параметры" выберите все.
  7. Позвольте ему сканировать снова, нажав F5. Это будет происходить быстро, поскольку все кешируется.
  8. Просмотрите список и снимите все, что является подозрительным или не имеет проверенной компании.
  9. Необязательно: Запустите сканер руткитов.
  10. Пусть главный антивирусный сканер удалит все оставленные файлы.
  11. Необязательно: Запустите антивирусные и антишпионские сканеры, чтобы избавиться от мусора.
  12. Необязательно: Запустите такие инструменты, как HijackThis/OTL/ComboFix, чтобы избавиться от мусора.
  13. Перезагрузитесь и наслаждайтесь чистой системой.
  14. Необязательно: Запустите сканер руткитов снова.
  15. Убедитесь, что ваш компьютер достаточно защищен!

Некоторые замечания:

  • Автозапуск написан Microsoft и, таким образом, показывает любые места, которые автоматически запускаются...
  • После отмены проверки программного обеспечения из автозапуска оно не запустится и не сможет помешать вам удалить его...
  • Для 64-битных операционных систем не существует руткитов, потому что их нужно подписать...

Это эффективно, потому что оно отключит запуск вредоносных / шпионских программ / вирусов,
Вы можете запускать дополнительные инструменты для очистки от ненужных файлов, которые остались в вашей системе.

Следуйте приведенному ниже порядку для дезинфекции вашего компьютера

  1. На незараженном ПК создайте загрузочный AV-диск, затем загрузитесь с диска на зараженном ПК и просканируйте жесткий диск, удалив все найденные инфекции. Я предпочитаю автономный загрузочный CD/USB Защитника Windows, потому что он может удалять вирусы загрузочного сектора, см. "Примечание" ниже.

    Или вы можете попробовать другие диски AV Boot.

  2. После того, как вы отсканировали и удалили вредоносное ПО с помощью загрузочного диска, установите бесплатную MBAM, запустите программу, перейдите на вкладку "Обновление" и обновите ее, затем перейдите на вкладку "Сканер" и выполните быстрое сканирование, выберите и удалите все найденные файлы.

  3. Когда MBAM будет завершен, установите бесплатную версию SAS, запустите быстрое сканирование, удалите то, что оно автоматически выбирает.

  4. Если системные файлы Windows были заражены, вам может потребоваться запустить SFC для замены файлов, возможно, вам придется сделать это в автономном режиме, если он не загрузится из-за удаления зараженных системных файлов. Я рекомендую вам запускать SFC после любого удаления инфекции.

  5. В некоторых случаях вам может потребоваться запустить восстановление при загрузке (только для Windows Vista и Windows7), чтобы снова запустить его правильно. В крайних случаях может потребоваться 3 ремонта при запуске подряд.

MBAM и SAS не являются AV-программами, такими как Norton, они представляют собой сканеры по требованию, которые сканируют только на наличие неприятностей, когда вы запускаете программу, и не мешают работе установленного AV, их можно запускать раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждым ежедневным сканированием.

Обратите внимание: что продукт Защитника Windows в автономном режиме очень хорошо удаляет постоянные инфекции MBR, которые являются распространенными в наши дни.

,

Для опытных пользователей:

Если у вас есть одна инфекция, которая представляет себя как программное обеспечение, например "Исправление системы", "AV Security 2012" и т. Д., См. Эту страницу для конкретных руководств по удалению

,

Если вы заметили какие-либо из симптомов, то нужно проверить настройки DNS вашего сетевого подключения.

Если они были изменены либо с "Получить адрес DNS-сервера автоматически", либо на другой сервер, чем тот, который должен быть, это является хорошим признаком заражения. Это будет причиной переадресации с сайтов, защищенных от вредоносных программ, или полного отказа от доступа к сайту вообще.

Вероятно, хорошей идеей будет записать ваши настройки DNS до того, как произойдет заражение, чтобы вы знали, какими они должны быть. Также подробности будут доступны на страницах справки вашего интернет-провайдера.

Если у вас нет заметки о DNS-серверах и вы не можете найти информацию на своем интернет-провайдере, то использование DNS-серверов Google является хорошей альтернативой. Их можно найти в 8.8.8.8 и 8.8.4.4 для основного и дополнительного серверов соответственно.

Сброс DNS не решит проблему, но позволит вам: а) добраться до сайтов, защищающих от вредоносных программ, чтобы получить программное обеспечение, необходимое для очистки ПК, и б) определить, повторяется ли заражение, так как настройки DNS снова изменятся.

Вымогатели

Более новой, особенно ужасной формой вредоносного ПО является вымогатель. Программа такого типа, обычно поставляемая с трояном (например, приложением электронной почты) или эксплойтом браузера, просматривает файлы вашего компьютера, шифрует их (делает их полностью неузнаваемыми и непригодными для использования) и требует выкуп, чтобы вернуть их в работоспособное состояние. государство.

В Ransomware обычно используется криптография с асимметричным ключом, которая включает в себя два ключа: открытый ключ и закрытый ключ. Когда вы получаете вымогателей, вредоносная программа, запущенная на вашем компьютере, подключается к серверу злоумышленников (команда и контроль, или C&C), который генерирует оба ключа. Он только отправляет открытый ключ вредоносной программе на вашем компьютере, поскольку это все, что нужно для шифрования файлов. К сожалению, файлы могут быть расшифрованы только с помощью закрытого ключа, который даже не попадает в память вашего компьютера, если вымогатель хорошо написан. Плохие парни обычно заявляют, что они дадут вам закрытый ключ (что позволит вам расшифровать ваши файлы), если вы заплатите, но, конечно, вы должны доверять им, чтобы сделать это.

Что ты можешь сделать

Лучший вариант - переустановить ОС (чтобы удалить все следы вредоносного ПО) и восстановить ваши личные файлы из резервных копий, которые вы сделали ранее. Если у вас нет резервных копий сейчас, это будет более сложным. Заведите привычку делать резервные копии важных файлов.

Оплата, вероятно, позволит вам восстановить ваши файлы, но, пожалуйста, не делайте этого. Это поддерживает их бизнес-модель. Кроме того, я говорю "возможно, позволит вам выздороветь", потому что я знаю по крайней мере два штамма, которые настолько плохо написаны, что они непоправимо портят ваши файлы; даже соответствующая программа дешифрования на самом деле не работает.

альтернативы

К счастью, есть третий вариант. Многие разработчики вымогателей допустили ошибки, которые позволили хорошим специалистам по безопасности разрабатывать процессы, устраняющие ущерб. Процесс для этого полностью зависит от нагрузки вымогателей, и этот список постоянно меняется. Некоторые замечательные люди собрали большой список вариантов вымогателей, включая расширения, применяемые к заблокированным файлам, и имя записки выкупа, которые могут помочь вам определить, какая у вас версия. Этот список содержит ссылку на бесплатный расшифровщик. Следуйте соответствующим инструкциям (ссылки находятся в столбце Decryptor), чтобы восстановить ваши файлы. Прежде чем начать, используйте другие ответы на этот вопрос, чтобы убедиться, что программа-вымогатель удалена с вашего компьютера.

Если вы не можете определить, что вас поразило, только по расширениям и названию выкупной записки, попробуйте поискать в Интернете несколько отличительных фраз из выкупной записки. Орфографические или грамматические ошибки, как правило, довольно уникальны, и вы, скорее всего, наткнетесь на ветку форума, в которой указаны вымогатели.

Если ваша версия еще не известна или у вас нет бесплатного способа расшифровки файлов, не теряйте надежду! Исследователи безопасности работают над устранением вымогателей, а правоохранительные органы преследуют разработчиков. Вполне возможно, что расшифровщик в конечном итоге появится. Если выкуп ограничен по времени, вполне возможно, что ваши файлы все еще можно будет восстановить при разработке исправления. Даже если нет, пожалуйста, не платите, если вам абсолютно не нужно. Пока вы ждете, убедитесь, что на вашем компьютере нет вредоносных программ, снова используя другие ответы на этот вопрос. Подумайте о резервном копировании зашифрованных версий ваших файлов, чтобы сохранить их в безопасности до выхода исправления.

Как только вы восстановите как можно больше (и сделаете его резервные копии на внешний носитель!), Настоятельно рекомендуем установить ОС с нуля. Опять же, это уничтожит любую вредоносную программу, которая оказалась глубоко внутри системы.

Дополнительные советы по конкретным вариантам

Несколько советов, относящихся к конкретным вариантам вымогателей, которых еще нет в большой таблице:

  • Если инструмент дешифрования для LeChiffre не работает, вы можете восстановить все, кроме первой и последней 8 КБ данных каждого файла, используя шестнадцатеричный редактор. Перейдите по адресу 0x2000 и скопируйте все, кроме последних 0x2000 байтов. Небольшие файлы будут полностью разрушены, но с некоторыми хлопотами вы сможете получить что-то полезное из больших.
  • Если вы столкнулись с WannaCrypt и используете Windows XP, не перезагружались после заражения и вам повезло, вы можете извлечь секретный ключ с помощью Wannakey.
  • Bitdefender имеет ряд бесплатных инструментов, которые помогут идентифицировать вариант и расшифровать некоторые конкретные варианты.
  • (другие будут добавлены по мере их обнаружения)

Заключение

Ransomware противен, и грустная реальность такова, что не всегда возможно оправиться от него. Чтобы обезопасить себя в будущем:

  • Постоянно обновляйте операционную систему, веб-браузер и антивирус
  • Не открывайте вложения электронной почты, которые вы не ожидали, особенно если вы не знаете отправителя
  • Избегайте отрывочных веб-сайтов (т. Е. Сайтов с нелегальным или этически сомнительным контентом)
  • Убедитесь, что у вашей учетной записи есть доступ только к тем документам, с которыми вам лично нужно работать
  • Всегда имейте рабочие резервные копии на внешнем носителе (не подключенном к вашему компьютеру)!

Существует большое разнообразие вредоносных программ. Некоторые из них тривиально найти и удалить. Некоторые из них сложнее. Некоторые из них действительно трудно найти, и их очень трудно удалить.

Но даже если у вас слабое вредоносное ПО, вам следует подумать о переформатировании и переустановке ОС. Это связано с тем, что ваша безопасность уже потерпела неудачу, и если она не удалась для простого вредоносного ПО, возможно, вы уже заражены вредоносным вредоносным ПО.

Людям, работающим с конфиденциальными данными или внутри сетей, где хранятся конфиденциальные данные, настоятельно рекомендуется стереть и переустановить. Люди, чье время ценно, должны тщательно стереть и переустановить (это самый быстрый, самый простой и надежный метод). Людям, которые не знакомы с продвинутыми инструментами, настоятельно рекомендуется стереть и заново установить.

Но люди, у которых есть время и которые любят есть, могут попробовать методы, перечисленные в других публикациях.

Возможные решения для вирусной инфекции: (1) антивирусное сканирование, (2) восстановление системы, (3) полная переустановка.

Сначала убедитесь, что все ваши данные сохранены.

Загрузите и установите некоторые антивирусы, убедитесь, что они обновлены, и тщательно сканируйте жесткий диск. Я рекомендую использовать хотя бы Malwarebytes 'Anti-Malware. Мне также нравится Avast.

Если по какой-либо причине это не сработает, вы можете использовать аварийный сканер live-CD: мне больше всего нравится Avira AntiVir Rescue System, потому что она обновляется несколько раз в день, и поэтому загружаемый компакт-диск обновлен. Как загрузочный компакт-диск, он автономен и не работает с вашей системой Windows.

Если вирус не найден, используйте "sfc / scannow" для восстановления важных файлов Windows.
Смотрите эту статью.

Если это также не работает, вам следует выполнить ремонтную установку.

Если ничего не работает, вам следует отформатировать жесткий диск и переустановить Windows.

Еще одним инструментом, который я хотел бы добавить к обсуждению, является сканер безопасности Microsoft. Он был выпущен несколько месяцев назад. Это немного похоже на Средство удаления вредоносных программ, но предназначено для автономного использования. Он будет иметь самые последние определения на момент его загрузки и будет использоваться только в течение 10 дней, поскольку будет считать его файл определений "слишком старым для использования". Загрузите его с другого компьютера и запустите в безопасном режиме. Это работает довольно хорошо.

Сначала немного теории: пожалуйста, поймите, что ничто не заменит понимание.

Основным антивирусом является понимание того, что вы делаете и в целом, что происходит с вашей системой, с вашим собственным умом и в так называемой реальности.

Никакое количество программного или аппаратного обеспечения не сможет полностью защитить вас от вас самих и от ваших собственных действий, что в большинстве случаев является способом, с помощью которого вредоносная программа попадает в систему в первую очередь.

Большинство современных вредоносных, рекламных и шпионских программ "производственного уровня" используют различные приемы "социальной инженерии", чтобы обмануть вас при установке "полезных" приложений, надстроек, панелей инструментов браузера, "антивирусных сканеров" или нажатием больших зеленых кнопок " Загрузить", которые будут устанавливать вредоносное ПО на твоей машине.

Даже установщик предположительно доверенного приложения, такого как, например, uTorrent, установит по умолчанию рекламное и, возможно, шпионское ПО, если вы просто нажмете кнопку " Далее" и не потратите время, чтобы прочитать, что означают все флажки.

Лучший способ борьбы с уловками социальной инженерии, которые используют хакеры, - это обратная социальная инженерия - если вы овладеете этой техникой, вам удастся избежать большинства типов угроз и поддерживать чистоту и работоспособность вашей системы даже без антивируса или брандмауэра.

Если вы заметили признаки злонамеренных / нежелательных форм жизни, населяющих вашу систему, единственным чистым решением будет полное переформатирование и переустановка вашей системы. Сделайте резервную копию, как описано в других ответах здесь, быстро отформатируйте диски и переустановите вашу систему, или, что еще лучше, переместите полезные данные во внешнее хранилище и заново создайте образ системного раздела из чистого дампа раздела, который вы сделали ранее.

Некоторые компьютеры имеют опцию BIOS для возврата системы к исходным заводским настройкам. Даже если это может показаться излишним, это никогда не повредит, и, что более важно, это решит все другие возможные проблемы, независимо от того, знаете ли вы о них или нет, без необходимости обрабатывать каждую проблему одну за другой.

Лучший способ "исправить" скомпрометированную систему - это вообще не исправлять ее, а вместо этого вернуться к известному "хорошему" снимку с помощью какого-либо программного обеспечения для создания образа разделов, такого как Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, или например dd если вы сделали резервную копию из Linux.

Со ссылкой на Уильяма Хилсума "Как мне избавиться от этого: Использование Live CD" выше:

Вирус не сможет работать в среде живого CD, поэтому вы можете временно использовать свой компьютер, не опасаясь дальнейшего заражения. Лучше всего вы можете получить доступ ко всем вашим файлам. 20 июня 2011 года Джастин Пот написал буклет под названием "50 классных применений для живых компакт-дисков". В начале буклета объясняется, как загружаться с компакт-диска, флэш-накопителя или SD-карты, а на страницах 19–20 рассказывается о сканировании с использованием различных "вредоносных программ", некоторые из которых уже упоминались. Данный совет неоценим для этого сценария и объясняется на простом для понимания английском языке. Конечно, остальная часть буклета неоценима для других ваших компьютерных потребностей. (ссылка на скачивание (в формате PDF) предоставляется по ссылке ниже. Всегда помните, что при использовании интернета следует проявлять благоразумие, не поддавайтесь искушению заблудиться в "местах", где вероятно скрывается вредоносное ПО, и вы все должно быть в порядке. Любой антивирус, Internet Security Suite и т. д., которые вы, возможно, используете, должны иметь последние обновления, и любая ОС, которую вы, возможно, используете, также должна обновляться.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

После того, как вы нажали или скопировали и вставили вышеуказанную ссылку, пожалуйста, нажмите на

СКАЧАТЬ 50 Cool Uses для Live CD (написано синим цветом)

Пожалуйста, обратите внимание, что я пытался написать это в разделе комментариев, но не смог вписать это. Поэтому я дал это в официальном ответе, так как это неоценимо.

Два важных момента:

  1. Не заразитесь в первую очередь. Используйте хороший брандмауэр и антивирус и практикуйте "безопасные вычисления" - держитесь подальше от сомнительных сайтов и избегайте загрузки материалов, когда вы не знаете, откуда они берутся.
  2. Имейте в виду, что многие сайты в сети скажут вам, что вы "заражены", когда вы не заражены - они хотят, чтобы вы обманули вас, купив свои антишпионские программы, или, что еще хуже, они хотят, чтобы вы загрузили то, что есть, на самом деле, шпионское ПО замаскировано под "бесплатное антишпионское приложение". Точно так же имейте в виду, что многие на этом сайте, в основном из-за глупости, будут диагностировать любую "странную" ошибку, особенно тот тип повреждения реестра, которым Windows славится как признаки шпионского ПО.

Как предлагалось ранее в этом разделе, если вы УВЕРЕНЫ, что заражены, используйте Linux Linux Live CD для загрузки вашего компьютера и немедленно сделайте резервную копию всех ваших конфиденциальных данных.

Также рекомендуется хранить конфиденциальные файлы на жестком диске, отличном от загрузочного диска ОС. таким образом, вы можете безопасно отформатировать зараженную систему и выполнить комплексное сканирование ваших конфиденциальных данных, чтобы быть в безопасности.

На самом деле, нет лучшего решения, чем отформатировать системный раздел, чтобы убедиться, что вы работаете в среде, свободной от вирусов и вредоносных программ. Даже если вы используете хороший инструмент (и, несомненно, их там много), всегда остаются остатки, и ваша система может показаться чистой в данный момент, но она наверняка станет бомбой замедленного действия, ожидающей взрыва позже.

8 декабря 2012 года. Remove-Malware выпустила видеоурок под названием "Remove Malware Free 2013 Edition" вместе с дополнительным Руководством, в котором рассказывается, как избавиться от вредоносного ПО с зараженного компьютера бесплатно.

Они обрисовывают

  • Резервное копирование - Как сделать резервную копию важных личных документов на случай, если ваш компьютер станет недоступным.
  • Сбор необходимого программного обеспечения для этого руководства.
  • Загрузочный антивирус - почему загрузочный антивирус - лучший способ удаления вредоносных программ.
  • Загрузочный антивирусный диск - Как создать загрузочный антивирусный диск.
  • Загрузочный антивирусный диск - Как сканировать компьютер с помощью загрузочного антивирусного диска.
  • Очистка - округлите остатки и удалите их.
  • Предотвратить это снова

Видеоурок длится более 1 часа и вместе с письменным руководством является отличным ресурсом.

Видеоурок: ссылка

Письменное руководство: ссылка

Обновить:

Очень информативная статья, написанная сегодня 1 февраля 2013 года Дж. Бродкиным, озаглавленная "Вирусы, трояны и черви, о мой. Основы вредоносного ПО. Мобильное вредоносное ПО может быть модным, но компьютерное вредоносное ПО все еще остается большой проблемой". от arstechnica.com освещает постоянную проблему вредоносных программ и различных типов вредоносных программ с объяснениями каждого из них, подчеркивая:

  • Backdoors
  • Трояны удаленного доступа
  • Информационные похитители
  • Вымогатели

В статье также рассказывается о распространении вредоносных программ, работе ботнетов и атаках предприятий.

КОРОТКИЙ ОТВЕТ:

  1. Сделайте резервную копию всех ваших файлов.
  2. Отформатируйте системный раздел.
  3. Переустановите Windows.
  4. Установите антивирус.
  5. Обновите свои окна.
  6. Сканирование резервной копии с антивирусом, прежде чем начать его использовать.

Сегодня вы никогда не можете быть уверены, что полностью удалили заражение, за исключением случаев, когда вы стираете диск и начинаете все сначала.

Я не думаю, что такие AV-программы, как MSE, MCAfee, Norton, Kaspersky и т. Д. Могут защитить вас на 100%, потому что их файлы определений всегда идут после факта - после того, как вредоносное ПО уже есть в сети и может многое сделать ущерба. И многие из них не защищают вас от щенков и рекламного ПО.

Я также не думаю, что такие сканеры, как Malwarbytes, Superantispyware, Bitdefender и другие, могут сильно помочь, когда вредоносное ПО уже повредило вашу систему. Если у вас достаточно сканеров, вы сможете удалить вредоносное ПО, но не сможете восстановить ущерб, нанесенный этим вредоносным ПО.

Поэтому я разработал двухслойную стратегию:

  1. Я делаю еженедельные образы (я использую бесплатный Macrium) моего системного раздела и раздела данных на два внешних диска, которые подключены только во время создания образа. Таким образом, никакое вредоносное ПО не может получить к ним доступ. Если что-то не работает в моей системе, я всегда могу восстановить последний образ. Я обычно храню полдюжины полных изображений на случай, если мне придется вернуться дальше, чем на прошлой неделе. Кроме того, в моей ОС включено восстановление системы, поэтому я могу быстро вернуться в случае неудачного обновления. Но системные изображения (тени) не очень надежны, потому что они могут исчезнуть по разным причинам. Полагаться только на системные образы недостаточно.

  2. Большую часть своей работы в Интернете я делаю из виртуального раздела Linux. Сам Linux не является целью вредоносного ПО, и вредоносное ПО Windows не может влиять на Linux. С этой системой я делаю

все мои загрузки и проверка их с помощью Virus Total, прежде чем я перенесу их в систему Windows. Virus Total запускает файл из 60 самых известных программ AV, и если он получается чистым, очень велики шансы, что он чистый.

все интернет-доступ к веб-сайтам, где я не уверен на 100%, что они чистые - например, этот сайт здесь.

вся моя почта. В этом преимущество Gmail и AOL. Я могу проверить свою почту с помощью моего браузера. Здесь я могу открыть любой кусок почты, не боясь заразиться вирусом. И вложения я запускаю через Virus Total.

все мои онлайн-банкинг. Linux предоставляет мне дополнительный уровень безопасности

При таком подходе я не видел вредоносных программ годами. Если вы хотите попробовать виртуальный раздел Linux, вот как.

Каковы симптомы инфекции?


это может быть ничто, что пользователь мог бы понять с точки зрения производительности или любым другим способом, в этих случаях без 100% -ой точности он мог видеть что-то в работающем диспетчере задач, и он понятия не имел, что это такое, или как это произошло.... но есть случаи, когда производительность компьютеров ухудшается, программы работают медленнее, или не работают вообще, или что-то еще... симптомы действительно различаются, и есть случаи, когда инфекция может быть очевидна почти без обдумывания, есть случаи, когда Трудно понять даже, что что-то идет не так. все зависит от того, от чего вы заражены (вирус, троян, назовите его по своему желанию) и, в основном, от причиняемого им вреда.


Что я должен делать после того, как заметил инфекцию? Что я могу сделать, чтобы избавиться от этого? 1. Сканирование компьютера с помощью антивируса. (KAspersky Internet Security, McAfee, Avast и т. Д. И т. Д.). Имейте в виду, что даже при использовании ЛУЧШЕГО антивируса может быть обнаружено, от чего вы заражены, но дезинфекция НЕ гарантируется на 100%. 2. сохраните резервную копию своих файлов (убедитесь, что они тоже не заражены) и убедитесь, что избавились от всех зараженных файлов на вашем компьютере, даже если это означает, что их нужно удалить. если вы используете их, вы снова заразитесь, поэтому в любом случае считайте их потерянными. Возможно, вы захотите попробовать использовать другую антивирусную программу, и это нормально, но не стоит надеяться. 3. Лучший / быстрый / самый эффективный способ избавиться от инфекции - отформатировать диск и произвести чистую установку операционной системы. 4. если вы собираетесь использовать ЛЮБОЕ резервное копирование, обязательно проверьте его с помощью антивирусной программы перед применением. он может быть заражен, прежде чем вы сможете понять, что что-то не так.

как предотвратить заражение вредоносным ПО?

  1. Используя антивирус, в настоящее время большинство антивирусных программ являются решением практически для всех типов вредоносных программ / вирусов и т. Д. Имейте в виду, что предотвращение лучше, чем пытаться решить проблему позже. В большинстве своем они очень помогают. Приложения, такие как SpyHunter, вредоносные байты, Spybot и т. Д., Также отлично подходят для дополнительной защиты. Использование брандмауэра также помогает. Имейте в виду, что даже если ваш компьютер находится в автономном режиме и не имеет подключения к Интернету, антивирус по-прежнему необходим. Причина? Вы можете использовать компакт-диски, USB-накопители, DVD-диски или другие файлы, полученные от друзей / клиентов и т. д., которые могут быть заражены. все же защита, которую антивирус предлагает даже в этом случае, неоценима
  2. Загрузка / установка / использование программного обеспечения из надежных источников.
  3. Вход в доверенные интернет-сайты.
  4. Убедитесь, что ваша операционная система всегда до даты! обновления не только для лучшей производительности, но и для безопасности тоже.

The problem with scanning malware externally or with a live CD is that many of these nasty pieces of software hook into memory processes, drivers and much more. If the PC's operating system is not loaded neither are they which makes for a frustrating removal process. ALWAYS scan for malware while the infected OS is booted.

При этом загрузите Windows с копией RKILL на USB-накопителе. Запуск этой утилиты убивает любой вредоносный процесс, который уходит в фоновом режиме, что позволяет вам двигаться дальше с удалением. Это ОЧЕНЬ эффективно. Мне еще предстоит столкнуться с ситуацией, когда программа не справилась со своей работой, и я удивлен тем, как много технических специалистов никогда не слышали об этом.

Затем я выбираю сканирование с помощью байтов вредоносного ПО или ComboFix. Приятная особенность этих сканеров состоит не в том, чтобы использовать определения вирусов, а в том, что они постоянно обнаруживают вредоносные программы, основываясь на поведении - очень эффективный метод. Однако, предупреждающее слово - они также намного более опасны и могут ДЕЙСТВИТЕЛЬНО разрушить серьезный магазин в вашей ОС. Убедитесь, что у вас есть резервная копия.

90 процентов времени вышеупомянутый процесс работает для меня, и я убираю ТОННО этих вещей ежедневно. Если ваш дополнительный параноик, сканирование с чем-то вроде AVG, SuperAntiSpyware или Microsoft Security Essentials не может быть плохой идеей. Хотя я не видел, чтобы эти программы обнаруживали гораздо больше, чем безвредные файлы cookie, некоторые люди клянутся ими. Дайте себе душевное спокойствие и сделайте это, если нужно.

Другие вопросы по тегам