Як я можу виправити комп’ютер, заражений шкідливим програмним забезпеченням і вкрай не відповідає? [дублікат]

Можливий повтор:
Як я можу позбутися від шкідливого шпигунського ПЗ, зловмисного програмного забезпечення, вірусів або руткітів з мого ПК?

Я вирішую проблеми з другом на ПК з Windows 7. Пару днів тому він почав працювати "повільно". Виявляється, «повільно» - це приблизно 15 хвилин до першого огляду робочого столу, а ще 30 - для показу піктограм. Це є можливою , щоб відкрити диспетчер задач, і ніщо не здається криво, використання процесора на 1-5%, багато вільної пам'яті.

Машина явно заражена шкідливим програмним забезпеченням, хоча програма, яка називається "Optimizer Pro", вимагає грошей на "видалення 5102 файлів, що сповільнюють роботу мого комп'ютера". Це здається дуже підозрілим.

Моя проблема полягає в тому, що я не можу отримати доступ msconfig(я залишив її на пару годин після того, як, сподіваюся, набрав її в меню "Пуск" і натиснув клавішу Enter - ніби нічого не завантажено), або взагалі нічого. Я можу завантажуватися з компакт-диска Linux Live, але чи можу я зробити з цього щось корисне?

Відновлення системи також не виправлено, і безпечний режим проявляє таку ж поведінку.

Я рекомендую перевстановити Windows

Якщо ви спробуєте врятувати існуючу установку, ви закінчите витрачені години або, швидше за все, дні, над якими працюєте, і вам нічого не вистачить для ваших зусиль. І навіть якби вам вдалося успішно запустити всі інструменти для видалення зловмисного програмного забезпечення, я б не повірив, що всі зловмисні програми фактично були видалені, оскільки, за визначенням, автори зловмисних програм завжди на крок попереду авторів видалення зловмисних програм. Після того, як машина заражена цією силою, вона, ймовірно, завантажується всіма видами поганих речей.

Тому...

1. Відформатуйте жорсткий диск
2. Встановіть Windows

І, як запропонував один із коментаторів, ви повинні припустити, що всі файли та дані зі старої установки інфіковані та не слід довіряти їм.

У різних постачальників антивірусів доступні завантажувальні CD-диски для порятунку та сканування. Два безкоштовних:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 призначений для сканування та дезінфекції комп'ютерів, сумісних з x86 та x64, які були заражені.

Додаток слід використовувати, коли зараза настільки сильна, що неможливо дезінфікувати комп'ютер за допомогою антивірусних програм або утиліт видалення зловмисного програмного забезпечення (наприклад, Інструмент для видалення вірусів Kaspersky Virus), що працює в операційній системі.

AVG Rescue CD

AVG Rescue CD Отримайте швидке резервне копіювання вашого бізнесу у разі збоїв у системі.

Видаляє інфекції, відновлює файли та відновлює системи.

Я збираюся сюди перейти і запитати більше про це, а потім опублікувати свої припущення щодо комп'ютера. Ви сказали, що його використовують лише 1-5% процесора, але він все ще рухається повільно? Хоча я не кажу, що це не позбавлене вірусів або чогось іншого, тому що це може бути, я хочу зазначити, що це кричить несправне обладнання для мене. Наступного разу, коли ви відкриєте диспетчер завдань, перейдіть на перевірку монітора ресурсів. Ось простий посібник із використання монітора ресурсів.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Відкрийте менеджер завдань та перейдіть на вкладку «Продуктивність». Внизу розміщена кнопка для монітора ресурсів. Після його відкриття перегляньте вкладку «Диск» вгорі і подивіться, як довго тривають запити. Дивлячись на мій комп'ютер та на комп'ютерне зображення, знайдене на цьому веб-сайті, я думаю, що для SSD-накопичувачів час відповіді нижче 100 мілісекунд здається таким, що ви шукаєте. Якщо на комп’ютері є більше 1 секунди часу відгуку на все, ваш комп'ютер буде повільним, незалежно від того, ЯК ви його завантажуєте. Прокоментуйте тут і повідомте нам, якщо час реакції диска повільний. Якщо це так, ви можете спробувати запустити контрольний диск на диску і чекати, коли він закінчиться, і побачити, чи це усуне проблему.

Пам’ятайте, що це може не бути проблемою, але якщо це так, то перевстановлення Windows або запуск вірусного сканування проблему не виправлять.

Щоб додати мої ідеї до суміші ...

Спробуйте вийняти жорсткий диск, який ображає вас, і підключіть його до зовнішнього каді, а потім підключіть його до робочого ПК. Потім можна перевірити диск, запустити перевірки антивірусних / зловмисних програм, дефрагментувати тощо.

Крім того, виберіть необхідні файли, які вам потрібні (подбайте про те, щоб не скопіювати щось, що могло б заразити інший ПК. Очевидно, перед тим, як хоститься, щоб комп'ютер хостів отримав хороший захист.

Якщо після розміщення жорсткого диска назад він все ще працює погано, я б подумав про перевстановлення Windows. Час, який потрібно спробувати вирішити будь-які інші питання, не варто.

Якщо ви можете перейти в безпечний режим, я б це зробив.

• Програмне забезпечення Malwarebytes - це відмінна безкоштовна програма, як згадувалося вище, і вони щойно випустили програму Antirootkit, хоча в бета-версії

• Я також прихильник антивірусу DR Web Cureit Free (сканер на вимогу)

• Hiren's Boot CD - це, мабуть, один із найповніших компакт-дисків для завантаження

• Можливо, ваш комп'ютер сильно фрагментований і може знадобитися дефрагментація, і в цьому випадку я рекомендую Ultradefrag Free Edition

• Очисник, щоб прибрати все сміття у вашій системі

Все вищевикладене також не коштувало вам копійки.

Є чудова стаття, написана нещодавно 6 листопада 2012 року Уінстоном Гордоном для Lifehacker, яка, на мою думку, була б корисною для всіх, під назвою "Припущення, які ви робите про свій повільний ПК (і чому вони, ймовірно, помиляються)" . Сподіваюся, вам здається цікавим прочитати!

Завантажте та завантажте будь-який дистрибутив Linux, щоб перевірити, чи машина якось інвалідна (несправна ОЗУ, поганий жорсткий диск, ...) чи це просто занадто стара установка Windows (можливо, вірусна атака). У разі вірусної атаки ви можете завантажити http://free.drweb.com/ завантажувальний живий компакт-диск із сканером вірусів, щоб переконатися, що ваш ПК чистий. Безкоштовний сканер drweb нас оновлював кілька разів на день, щоб він міг виявити та вилікувати навіть найновіший шкідливий код.

Найкращий інструмент, який я використав - Malwarebytes . Я використовував це, коли кілька років тому працював в ІТ. Крім того, Касперський хороший, як AVG (як було запропоновано вище), або комбінація всіх.

Ще одним чудовим варіантом, який включає зображення в режимі реального часу Malwarebytes, є Hiren's BootCD ( пряма посилання на завантаження).

Зрештою, я все ще думаю, що @hair відповіді собаки - це, мабуть, найкраще рішення.

З іншого боку, залишити проблему такою, якою є, ймовірно, це не спосіб зробити справи.

Це дійсно стисла версія деяких попередніх відповідей з ще кількома спостереженнями.

На мій досвід, жорсткі диски є великою причиною сповільнення роботи комп'ютерів. Вони вигадливі пристрої з багатьма режимами відмов і помилок. Є й інші причини, на які варто також звернути увагу

У цій справі досить корисно завантажуватись на загальний Linux Linux cd. Ви хочете зробити дві речі, розглядаючи можливі проблеми з диском. По-перше, ви хочете запитати привід, якщо його нормально - smartmontools(або його графічний передній кінець, gsmartcontrol) досить добре тут. Ви хочете, як правило, "здорових" результатів. Поки ви перебуваєте на цьому, ви також можете запустити hdparm -Tt /dev/sdXxкілька разів, щоб отримати базовий результат швидкості диска. Виконайте ту саму команду на здоровому та досить схожому диску, щоб побачити, чи справді вона повільніше.

Я також пропоную зробити відновлення рівня файлів у цей момент. Диск, який був нечисто встановлений, не буде монтуватися автоматично в Linux - вам потрібно буде зробити його, mount -f /dev/SDXx /mount/pointщоб змусити його встановити. Якщо диск, очевидно, пошкоджений відповідно до smartmontools, використовуйте DD-варіант, орієнтований на відновлення, щоб зробити резервну копію - Gnu ddrescue - хороша ставка. Це створить зображення, що пропускає погані сектори

Якщо припустити, що диск все в порядку, він стає складним. Можливо, ви можете запустити офлайн-сканування AV, щоб спробувати очистити його, а потім перенести його в іншу систему, щоб виконати певне обслуговування.

Ви також можете встановити реєстр реєстру іншої системи Windows для редагування записів запуску вручну (прекрасний час для перевірки вірусу з системи Windows та дефрагментації) або скористатися редактором реєстру з диска, що змінює пароль в режимі офлайн, припускаючи, що ви знаєте, що ви ' шукаєш.

Якщо ми займаємось відновленням / ремонтом, пов’язаним з відновленням / ремонтом за допомогою інструментів Windows - можливо, ви захочете розглянути можливість створення PE-диска (bartpe, якщо ви не заперечуєте проти живого диска на базі XP) або використовуєте окрему, одноразову установку для цих завдань. щоб зменшити ризик перехресного зараження шкідливим програмним забезпеченням.

На даний момент ви ДОЛЖНІ розробити, чи не працює диск повільно, чи є його зловмисне програмне забезпечення, і якщо ви вважаєте, що варто його виправити. Ви також повинні були отримати свої дані. Якщо його зловмисне програмне забезпечення, а офлайн сканує і реєструє не вдалося, ви можете запустити клаптик з livecd, щоб витерти диск. Якщо його апаратне забезпечення відмови, ви можете відновити з цього резервного копіювання dd. Якщо ніщо із зазначеного, речі стають цікавими

Хірен - твій друг.

http://www.hirensbootcd.org/download/

Завантажте його, запишіть його, завантажте його з повільного комп'ютера.

Там є низка інструментів для перевірки помилок, зокрема жорсткий диск, процесор, пам'ять тощо.

Запустіть пару таких, щоб побачити, що ви знайдете.

У ньому також є деякі програми захисту, які дозволяють зробити сканування AV / Malware.

Настійно рекомендується.

Ви перевірили свої жорсткі диски? Можливо, у нього є погані сектори, що викликає велику затримку кожного разу, коли доступ до певних файлів. Спробуйте запустити chkdsk /rв безпечному режимі (або скористайтеся іншим інструментом відновлення диска).

Реконструкція рекомендується. Однак якщо на пристрої є дані, які ви не можете дозволити собі втратити, можливо, ви захочете спробувати Microsoft Defender Offline .

В основному це дозволяє обходити операційну систему, а потім ви можете виконати сканування жорсткого диска. Не забудьте завантажити нову копію, щоб у вас були останні антивірусні визначення.

Якщо комп'ютер все ще повільний після цього, ви можете спробувати завантажитися з компакт-диска / USB Linux, щоб скопіювати свої дані, а потім перевстановити Windows. Але обов'язково скануйте резервний жорсткий диск на іншому (захищеному) пристрої, перш ніж скопіювати його на стару машину.

Принаймні, це зловмисне програмне забезпечення уповільнює ПК екологічно чистим способом і не забезпечує максимальний процесор!

Коротка відповідь на початкове запитання - це перевстановлення, як було зазначено раніше. Однак сьогодні автори зловмисного програмного забезпечення знають, що більшість людей просто перевстановлюються замість спроб видалення, тому більшість вживає лише контрзаходи проти автоматизованих інструментів, а не особа, яка обізнана в терміналі. Тож якщо перевстановлення небажане і ви не проти витрачати пару годин (або більше), видалити більшість шкідливих програм зазвичай не надто важко.

Однак вам потрібно ознайомитися з командним рядком та вміти відрізняти зловмисне програмне забезпечення від законного програмного забезпечення. Тут немає замінника досвіду, але я вважаю, що підхід нижче є ефективним.

По-перше, підготуйте середовище:

1. Завантажте копію пакету Sysinternals з іншого чистого ПК та скопіюйте його на USB-накопичувач (або на жорсткий диск ПК, якщо можливо).
2. Перейменуйте дві утиліти, procexp.exe та autoruns.exe на випадкові імена файлів (але зробіть примітку, щоб ви могли їх розпізнати!)
3. Відключіть будь-які мережеві з'єднання.
4. Завантажте комп'ютер у безпечному режимі, перейдіть на робочий стіл. Безпечний режим не є істотним, але він допомагає, оскільки буде менше запущених процесів, і шкідливі програми повинні виділятися легше. Використання чистого профілю користувача також може допомогти з тієї ж причини, але це може затьмарити від вас інфекцію, оскільки, ймовірно, є записи в реєстрі користувача.
5. Відкрийте командний рядок як адміністратор і запустіть, taskkill /F /IM explorer.exeщоб вбити Explorer. Це зупиняє неабияку кількість зловмисного програмного забезпечення в його доріжках, полегшуючи видалення. Якщо у вас не запускається командний рядок, перейменована копія з іншого ПК може бути ефективною (іноді ви можете піти, просто зробивши копію на одній машині).
6. З командного рядка запустіть procexp та autoruns через перейменовані виконувані файли. Зауважте, що можливе зловмисне програмне забезпечення може виявити хеші чи інші характеристики та не дати вам запустити ці інструменти, але принаймні хешування не буде надійним підходом, оскільки вони оновлюються досить часто. Зазвичай будь-які контрзаходи проти цих інструментів шукають ім'я файлу.

Звідси ви можете використовувати autoruns і procexp для видалення шкідливих програм, але це стільки ж мистецтва, скільки науки. Procexp показує, що зараз працює, а autoruns показує, як він запускався. Шукати таких моделей:

• Імена файлів, які виглядають випадковим чином
• Програмне забезпечення, що працює з тимчасових каталогів
• Програмне забезпечення, що працює в профілі користувача. З Vista та пізніших версій запущене програмне забезпечення з профілю стає більш поширеним, щоб уникнути підказок про піднесення, але більшість законних програм все ще встановлюватимуться до програмних файлів. Зважаючи на те, що цей явно має кореневий доступ, ви збираєтеся полювати на нього в системних каталогах, але там може бути спостерігач, і зазвичай інфекція походить десь із профілю користувача (Завантаження, тимчасові інтернет-файли).
• Нещодавно змінені файли на C: \ Windows та System32
• Імена, близькі до законних бінарних файлів Windows, таких як cmd.exe, services.exe (або ті самі імена файлів, але в неправильному місці). Я бачив cnd.exe, service.exe. explore.exe свого часу.
• Записи Rundll32.exe. Багато з них є законними, але перевіряють процеси, щоб побачити, які DLL завантажуються.

Поради щодо видалення:

• Це може бути корисно просто зібрати інформацію, перш ніж намагатися вбити процеси та видалити записи - це дає вам більш цілісний огляд, і вжиття декількох кроків у швидкій послідовності буде ефективніше, ніж робити поодинокі речі, оскільки вахтерські процеси можуть дуже швидко поверніть вас до кроку 1.
• Для нічого очевидного використовуйте функцію вбивства та видалення procexp. Якщо це не echo > "c:\path\to\malware.exe"вдалося , іноді за допомогою командного рядка для заповнення файлу, після чого знищити і видалити, може працювати.
• Використовуйте autoruns, щоб знайти, де він підключений. Я використовую цей інструмент, оскільки він, здається, повний, за винятком rootkit або модифікації системних виконуваних файлів, існує не так багато інших способів запуску зловмисного програмного забезпечення, якщо такі є. Щоб заощадити час, скористайтеся параметром «Сховати записи Microsoft», який за умовчанням вимкнено.
• Якщо ви знайдете гачок у авторизованих файлах, які завантажують DLL при кожному exe, ваші запущені процеси (включаючи ваші інструменти виявлення) підтримуватимуть зловмисне програмне забезпечення. У такому випадку вам потрібно видалити DLL-скривджувач з відлунням, як зазначено вище, знищити та перезапустити все програмне забезпечення (це повинно призвести до помилки DLL кожного разу при запуску програми), а потім перезавантажити. Але переконайтесь, що спочатку ви зняли інші гачки.
• Можливо, спостерігається процес спостереження, який шукає модифікації шкідливого програмного забезпечення та відновлює його. Якщо це так, можливо, вам доведеться одночасно виконувати кілька дій, і єдиний надійний спосіб зробити це - використовувати пакетний сценарій. Але залежно від інтервалу перевірки може бути достатньо швидко виконувати дії послідовно.
• Якщо ви нічого не можете знайти, і виявляється, що це руткіт, знайти і видалити його стає набагато складніше - вам потрібні інструменти, які обходять вікна вищого рівня apis. Це, мабуть, трохи виходить за рамки того, що може бути висвітлено у відповіді Superuser , але використання RootkitRevealer з подальшим завантаженням cd linux для видалення фактичних файлів може бути ефективним (не забудьте перейменувати exe).
• Якщо вам потрібно перезавантажитись, перш ніж ви впевнені в повному видаленні, відключення живлення замість впорядкованого перезавантаження знімає ще одну можливість для повторного зараження. Просто переконайтеся, що ви спершу створили резервну копію даних.

Зважаючи на те, що саме ця зловмисна програма вимагає грошей, щоб виправити ваш комп’ютер та сповільнить його, підхід до завантаження DLL, ймовірно. Він, ймовірно, не змінює системні файли та не встановлює руткіт, оскільки це несе в собі більший ризик повністю порушити систему. Таким чином, ви повинні мати змогу видалити його за допомогою загального підходу вище, але якщо ви пропустите лише один гачок, ви, ймовірно, повернетесь до прямокутника при наступному завантаженні.

Якщо це звучить як багато зусиль, це так. Перевстановлення, як правило, простіше, і ви ніколи не можете повністю довіритись комп’ютеру, як тільки на ньому було зловмисне програмне забезпечення. Але особисто мені здається, що це весело - це ти, а не автор шкідливих програм, і ти маєш явну перевагу бути людиною за консоллю!

Ви можете ознайомитись з програмою Windows Defender Offline , вона сканує шкідливі програми та надає можливість виправити.

Для спрощення у вас є або проблема з обладнанням, проблема з програмним забезпеченням, або обоє.

З'ясуйте, чи є на вашому комп'ютері завантаження з компакт-диска або завантажено з USB, і кроки для завантаження із зовнішніх носіїв, якщо він за умовчанням відключений. Швидкий пошук Google часто прискорює цей процес.

Використовуйте живий компакт-диск на зразок Ultimate Boot CD для перевірки оперативної пам'яті та жорсткого диска на наявність помилок. Перевірте оперативну пам’ять за допомогою Memtest86 + і використовуйте тестовий набір виробника жорсткого диска, наприклад DLG для жорстких дисків WD . Це виключає більшість проблем із пам'яттю та на жорсткому диску. Ви також можете перевірити температуру системи, якщо хочете виключити теплові проблеми.

Далі запустіть живий компакт-диск Linux або завантажте дистрибутив Linux з USB. Якщо це не викликає проблем і працює набагато швидше, ніж встановлена ​​система без будь-яких проблем зі стабільністю, це час завантаження і нукерування. Передача будь-яких елементів "не можу втратити" з жорсткого диска на якийсь зовнішній носій. Ви захочете відсканувати ці файли на наявність шкідливих програм, перш ніж отримати їх де-небудь біля чистого ПК. Переважно сканувати їх у якомусь живому середовищі.

Якщо ви ще не пробували відновити розділ, ви можете обрати звідси "руйнівне відновлення", але я не маю багато віри у відновлення розділів, оскільки вони можуть бути заражені зловмисними програмами, як і звичайні розділи. . Саме тут бути приємним користувачем Linux, тому що вам не доведеться піти про ліцензійні ключі та встановлювати носії.

Якщо ваш розум налаштований на перебування в Windows, ось ваші кроки:

Знайдіть диск відновлення системи або законну версію операційної системи, яку ви хочете встановити. Переконайтеся, що це "повна" версія, а не "оновлена" версія, для встановлення якої потрібна попередня версія ОС. Переконайтеся, що у вас є ліцензійний ключ та введіть його правильно. Будьте готові зателефонувати виробнику, якщо відновлення не працює належним чином, або Microsoft, якщо установка ОС піде не так.

Візьміть згаданий раніше "Ultimate Boot CD" і запустіть Darik's Boot and Nuke . Стерти диск буде потрібно деякий час. Оскільки ви плануєте перевстановити, ви можете використовувати один із швидших режимів форматування. "Швидке стирання" або "DoD short" повинно зробити трюк.

Встановіть операційну систему з нуля на (тепер порожньому) жорсткому диску.

Якщо необхідно, перенесіть старі файли, які були відскановані кілька разів на наявність вірусів, до нової інсталяції операційної системи. Насолоджуйтесь процесом встановлення програмного забезпечення та оновлень системи.

Проклинайте себе за те, що у вас не було нещодавнього резервного копіювання або впровадження режиму резервного копіювання системного зображення. Обіцяйте бути кращими в цьому і сподіваєтесь, що наступного разу не буде. Мабуть, буде наступного разу

Правильне рішення - це запустити її на нуль і перевстановити вікна. Якщо це просто не є рішенням, єдиним іншим правильним рішенням є використання живої установки cd / usb linux для запуску антивірусних програмних програм поза межами інсталяції Windows.

Я переглянув дані відповіді і здивований, побачивши, що Trinity Rescue Kit ще не згадано!

Цей програмний пакет - це моє рішення goto, коли я намагаюся видалити з зараженого комп’ютера зловмисне програмне забезпечення / віруси / руткіти. У ньому є 3-4 різних програмних рішень, які вийдуть у мережу та отримають останні її визначення, перш ніж розпочати процес сканування / очищення.