102

Возможный дубликат:
Как избавиться от вредоносных шпионских программ, вредоносных программ, вирусов или руткитов с моего компьютера?

Я устраняю неполадки компьютера с Windows 7 для друга. Пару дней назад он начал работать медленно. Оказывается, «медленно» составляет около 15 минут до первого взгляда на рабочий стол, и еще 30, чтобы показать значки. Можно открыть диспетчер задач, и ничто не кажется криво, использование процессора на 1-5%, много свободной памяти.

Машина явно заражена вредоносным ПО, хотя, в частности, программа под названием «Optimizer Pro» требует денег для «удаления 5102 файлов, замедляющих мой компьютер». Это кажется очень подозрительным.

Моя проблема, однако, в том, что я не могу получить доступ к msconfig (я оставил его на пару часов после того, как, я надеюсь, набрал его в меню «Пуск» и нажал ввод - ничего не загружалось) или вообще ничего. Я могу загрузиться с Linux Live CD, но могу ли я сделать что-нибудь полезное оттуда?

Восстановление системы также не исправило это, и безопасный режим показывает то же самое поведение.

15 ответов15

245

Я рекомендую переустановить Windows

Если вы попытаетесь спасти существующую установку, вы потратите часы или, скорее всего, дни, работая над ней, и вам нечего показать. И даже если бы вы смогли успешно запустить все инструменты удаления вредоносных программ, я бы не поверил, что все вредоносные программы действительно были удалены, потому что, по определению, авторы вредоносных программ всегда на шаг впереди авторов удаления вредоносных программ. Как только машина заражена так сильно, она, вероятно, загружается всевозможными вредоносными программами.

Так...

  1. Форматировать жесткий диск
  2. Установить Windows

И, как предложил один из комментаторов, вы должны предположить, что все файлы и данные из старой установки инфицированы и им нельзя доверять.

57

Различные производители антивирусов имеют загрузочные CDROM для восстановления / сканирования. Два бесплатных:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 предназначен для проверки и лечения зараженных x86- и x64-совместимых компьютеров.

Приложение следует использовать, когда заражение настолько серьезное, что невозможно вылечить компьютер с помощью антивирусных программ или утилит для удаления вредоносных программ (таких как Kaspersky Virus Removal Tool), работающих в операционной системе.

AVG Rescue CD

AVG Rescue CD Восстановите ваш бизнес и начните работать быстро в случае сбоев системы.

Удаляет инфекции, восстанавливает файлы и восстанавливает системы.

31

Я собираюсь заскочить сюда и сначала спросить больше об этом, а затем опубликовать свои предположения о компьютере. Вы сказали, что он использует только 1-5% процессора, но он все еще движется медленно? Хотя я не говорю, что это не пронизано вирусами или чем-то еще, потому что это может быть очень, я хочу отметить, что это кричит неисправное оборудование для меня. В следующий раз, когда вы откроете диспетчер задач, откройте монитор ресурсов. Вот простое руководство по использованию монитора ресурсов.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Откройте диспетчер задач и перейдите на вкладку «Производительность». Внизу находится кнопка для монитора ресурсов. После открытия откройте вкладку «Диск» вверху и посмотрите, сколько времени занимают запросы. Глядя на мой компьютер и изображение компьютера, найденное на этом сайте, я догадываюсь, что для дисков без твердотельных накопителей время отклика менее 100 миллисекунд, кажется, то, что вы ищете. Если время отклика компьютера превышает 1 секунду, ваш компьютер будет работать медленно, независимо от того, КАК вы его загружаете. Прокомментируйте здесь и дайте нам знать, если время отклика диска медленное. Если это так, вы можете попробовать запустить проверку диска на накопителе и подождать, пока он не завершится, и посмотреть, решит ли это проблему.

Помните, что это может не быть проблемой, но если это так, то переустановка Windows или запуск проверки на вирусы не решат проблему.

30

Чтобы добавить мои идеи в микс ...

Попробуйте вынуть неисправный жесткий диск и подключить его к внешнему устройству, а затем подключить его к работающему ПК. Затем вы можете проверить диск, запустить проверку на наличие вирусов и вредоносных программ, выполнить дефрагментацию и т.д.

Кроме того, спасите все, что вы можете, от необходимых вам файлов (стараясь не копировать что-либо, что может потенциально заразить другой компьютер. Очевидно, прежде чем делать это, убедитесь, что хост-компьютер имеет хорошую защиту).

Если после установки жесткого диска на место он по-прежнему работает плохо, я бы подумал о переустановке Windows. Время, потраченное на решение любых других проблем, не будет стоить того.

12

Если вы можете загрузиться в безопасном режиме, я бы сделал это.

  • Malwarebytes antimalware - отличная бесплатная программа, как упоминалось выше, и они только что выпустили программу Antirootkit, хотя и в бета-версии

  • Я также фанат DR Web Cureit Free Antivirus (сканер по требованию)

  • Загрузочный компакт-диск Hiren, вероятно, является одним из самых полных загрузочных компакт-дисков с вредоносным ПО.

  • Может случиться так, что ваш компьютер сильно фрагментирован и может потребовать дефрагментации, в этом случае я рекомендую Ultradefrag Free Edition

  • Ccleaner, чтобы убрать весь мусор в вашей системе

Все вышеперечисленное не будет стоить вам ни копейки.

Есть отличная статья, написанная недавно 6 ноября 2012 года Уинстоном Гордоном для Lifehacker, которая, на мой взгляд, будет полезна для всех, под названием «Предположения, которые вы делаете в отношении вашего медленного ПК (и почему они, вероятно, неправильны)». Надеюсь, вам будет интересно читать!

11

Загрузите и загрузите любой дистрибутив linux live, чтобы проверить, нет ли у машины какой-либо проблемы (неисправность ОЗУ, плохой жесткий диск и т.д.) Или просто установка слишком старых окон (возможно, вирусная атака). В случае вирусной атаки вы можете скачать http://free.drweb.com/ загрузочный live cd со сканером вирусов, чтобы убедиться, что ваш компьютер чист. Наш бесплатный сканер drweb обновляется несколько раз в день, поэтому он способен обнаруживать и лечить даже самые новые вредоносные коды.

8

В конце концов, я все еще думаю, что @hair ответа собаки, вероятно, является «лучшим» решением.

С другой стороны, оставить проблему такой, какая она есть, - вероятно, не способ сделать что-то.

Это действительно сжатая версия некоторых из предыдущих ответов с еще несколькими замечаниями.

По моему опыту, жесткие диски являются большой причиной замедления работы компьютеров. Это причудливые устройства со многими режимами сбоя и ошибки. Есть и другие причины, на которые стоит обратить внимание

Загрузка общего live linux linux очень полезна в этом случае. Есть две вещи, которые вы хотите сделать, изучая возможные проблемы с вождением. Во-первых, вы хотите спросить накопитель, в порядке ли он - smartmontools (или его графический интерфейс gsmartcontrol) довольно хорош здесь. Вы хотите, как правило, «здоровые» результаты. Пока вы работаете с этим, вы также можете несколько раз запустить hdparm -Tt /dev/sdXx , чтобы получить результаты теста скорости диска. Запустите ту же команду на исправном и достаточно похожем диске, чтобы узнать, действительно ли он медленнее.

Я бы также предложил сделать восстановление на уровне файлов на этом этапе. Нечисто смонтированный диск не будет автоматически монтироваться в Linux - вам нужно будет выполнить mount -f /dev/SDXx /mount/point чтобы заставить его монтировать. Если диск явно поврежден в соответствии с smartmontools, используйте резервную копию DD, ориентированную на восстановление, для резервного копирования - лучше использовать Gnu ddrescue . Это создаст изображение, пропускающее плохие сектора

Предполагая, что с диском все в порядке, он становится хитрым. Вы, вероятно, могли бы запустить автономное сканирование AV, чтобы попытаться очистить его, а затем вставить его в другую систему, чтобы выполнить некоторую поддержку.

Вы также можете смонтировать куст реестра другой системы Windows, чтобы вручную редактировать записи запуска (отличное время для проверки на вирусы в системе Windows и выполнить дефрагментацию) или использовать редактор реестра с автономного диска смены паролей, предполагая, что вы знаете, что вы делаете. ищу.

Если мы выполняем действия по восстановлению / ремонту с использованием инструментов Windows - возможно, вы захотите создать диск PE (bartpe, если вы не возражаете против живого диска на базе XP) или использовать отдельную «одноразовую» установку для этих задач. снизить риск перекрестного заражения вредоносным ПО.

На этом этапе вы ДОЛЖНЫ решить, работает ли диск медленно, является ли он вредоносным, и если вы считаете, что стоит потратить время на его исправление. Вы должны были также получить свои данные. Если его вредоносная программа, а также автономное сканирование и восстановление не удалось, вы можете запустить shred из livecd, чтобы стереть диск. Если его аппаратный сбой, вы можете восстановить из этой резервной копии. Если ничего из вышеперечисленного

8

Лучший инструмент, который я использовал - Malwarebytes. Я использовал его, когда работал в IT несколько лет назад. Кроме того, Kaspersky хорош, как AVG (как предложено выше) или их комбинацией.

Еще один замечательный вариант, который включает в себя живое изображение Malwarebytes, - это Hiren's BootCD (прямая ссылка на скачивание).

5

Хирен твой друг.

http://www.hirensbootcd.org/download/

Загрузите, запишите, загрузите с медленного компьютера.

Там есть ряд инструментов для проверки ошибок, включая жесткий диск, процессор, память и т.д.

Запустите пару из них, чтобы увидеть, что вы найдете.

Там также есть несколько программ безопасности, которые позволяют вам выполнять сканирование AV/Malware.

Настоятельно рекомендуется.

2

Вы проверили свои жесткие диски? Возможно, в нем есть поврежденные сектора, что приводит к длительной задержке при каждом доступе к определенным файлам. Попробуйте запустить chkdsk /r в безопасном режиме (или использовать другой инструмент для восстановления диска).

1

По крайней мере, эта вредоносная программа замедляет работу ПК без вреда для окружающей среды и не увеличивает нагрузку на процессор!

Краткий ответ на первоначальный вопрос - переустановить, как упоминалось ранее. Однако в наши дни авторы вредоносных программ знают, что большинство людей просто переустанавливают, а не пытаются удалить, поэтому большинство из них принимают контрмеры только против автоматизированных инструментов, а не осведомленных людей в терминале. Так что, если переустановка нежелательна, и вы не против потратить пару часов (или больше), как правило, не так уж сложно удалить большинство вредоносных программ.

Однако вы должны быть знакомы с командной строкой и уметь отличать вредоносное ПО от легального программного обеспечения. Здесь ничто не заменит опыт, но я считаю, что приведенный ниже подход эффективен.

Сначала подготовьте среду:

  1. С другого чистого ПК загрузите копию пакета Sysinternals и скопируйте ее на USB-накопитель (или, если возможно, непосредственно на жесткий диск ПК).
  2. Переименуйте две утилиты, procxp.exe и autoruns.exe в произвольные имена файлов (но запишите, чтобы вы могли их распознать!)
  3. Отключите все сетевые подключения.
  4. Загрузите компьютер в безопасном режиме, перейдите на рабочий стол. Безопасный режим не является обязательным, но он помогает, поскольку будет меньше запущенных процессов, и вредоносные программы будут выделяться легче. Использование чистого профиля пользователя также может помочь по той же причине, но это может скрыть заражение от вас, поскольку, вероятно, в реестре пользователя есть записи.
  5. Откройте командную строку с правами администратора и запустите taskkill /F /IM explorer.exe чтобы убить проводник. Это останавливает значительное количество вредоносных программ, облегчая удаление. Если вы не можете запустить командную строку, может быть эффективна переименованная копия с другого компьютера (иногда вы можете просто сделать копию на том же компьютере).
  6. Из командной строки запустите procxp и выполните автозапуск через переименованные исполняемые файлы. Обратите внимание, что, возможно, вредоносное ПО может обнаружить хэши или другие характеристики и помешать вам запустить эти инструменты, но, по крайней мере, хеширование не будет надежным подходом, поскольку они обновляются довольно часто. Обычно любые контрмеры против этих инструментов ищут имя файла.

Отсюда вы можете использовать автозапуск и procxp для удаления вредоносных программ, но это столько же искусство, сколько наука. Procexp показывает вам, что в данный момент работает, а автозапуск показывает, как он запускается. Шаблоны для поиска являются:

  • Имена файлов, которые выглядят случайным образом
  • Программное обеспечение работает из временных каталогов
  • Программное обеспечение работает в профиле пользователя. В Vista и более поздних версиях запуск программного обеспечения из профиля стал более распространенным, чтобы избежать запросов на повышение прав, но большинство легитимного программного обеспечения по-прежнему будет устанавливаться в Program Files. Учитывая, что у этого явно есть root-доступ, вы будете искать его в системных каталогах, но там может быть наблюдатель, и обычно заражение происходит откуда-то из профиля пользователя (загрузки, временные интернет-файлы).
  • Недавно измененные файлы в C:\Windows и System32
  • Имена, близкие к допустимым двоичным файлам Windows, таким как cmd.exe, services.exe (или те же имена файлов, но не в том месте). Я видел cnd.exe, service.exe. explore.exe в мое время.
  • Rundll32.exe записей. Многие из них являются законными, но проверяют процессы, чтобы увидеть, какие DLL загружены.

Советы по удалению:

  • Может быть полезно просто собрать информацию, прежде чем пытаться уничтожить процессы и удалить записи - это дает вам более целостный обзор, и выполнение нескольких шагов в быстрой последовательности будет более эффективным, чем выполнение отдельных действий, поскольку процессы-наблюдатели могут очень быстро вернуться к шагу 1.
  • Для чего-либо очевидного используйте функцию kill и delete в procxp. Если это не удается, иногда можно использовать команду echo > "c:\path\to\malware.exe" в командной строке, чтобы очистить файл, а затем выполнить команду kill и delete.
  • Используйте автозапуск, чтобы найти, где он подключен. Я использую этот инструмент, потому что он кажется полным, если не считать руткит или модификацию исполняемых файлов системы, и существует не так много других способов запуска вредоносных программ, если таковые имеются. Чтобы сэкономить время, используйте опцию "Скрыть записи Microsoft", которая по умолчанию отключена.
  • Если вы обнаружите ловушку в автозапуске, которая загружает DLL с каждым exe-файлом, ваши запущенные процессы (включая ваши инструменты обнаружения) будут поддерживать вредоносную программу. В этом случае вам нужно очистить библиотеку-нарушителя с помощью echo, как описано выше, уничтожить и перезапустить все ваше программное обеспечение (должно вызывать ошибку DLL при каждом запуске программы), а затем перезагрузиться. Но сначала убедитесь, что вы удалили все другие крючки.
  • Может существовать процесс-наблюдатель, который ищет модификации вредоносного ПО и восстанавливает его. В этом случае вам может потребоваться выполнить несколько действий одновременно, и единственный надежный способ сделать это - использовать пакетный скрипт. Но в зависимости от интервала проверки может быть достаточно быстро выполнить последовательность действий.
  • Если вы ничего не можете найти и он оказывается руткитом, то найти и удалить его становится намного сложнее - вам нужны инструменты, которые обходят интерфейс Windows верхнего уровня. Возможно, это немного выходит за рамки того, что может быть рассмотрено в ответе суперпользователя, но использование RootkitRevealer с последующим загрузочным компакт- диском linux для удаления реальных файлов может быть эффективным (не забудьте переименовать exe).
  • Если вам требуется перезагрузка, прежде чем вы будете уверены в полном удалении, отключение питания вместо обычной перезагрузки устраняет еще одну возможность для повторного заражения. Просто убедитесь, что вы сделали резервную копию их данных в первую очередь.

Учитывая, что эта конкретная вредоносная программа требует денег для исправления вашего компьютера и замедляет его, подход загрузки DLL, скорее всего. Вероятно, он не изменяет системные файлы и не устанавливает руткит, так как это несет в себе больший риск взлома системы полностью. Таким образом, вы должны иметь возможность удалить его, используя общий подход, описанный выше, но если вы пропустите только один хук, вы, вероятно, вернетесь к исходной точке при следующей загрузке.

Если это звучит как много усилий, это так. Переустановка обычно проще, и вы никогда не сможете полностью доверять компьютеру, если на нем есть вредоносное ПО. Но лично я нахожу это забавным - это вы против автора вредоносных программ, и у вас есть явное преимущество быть человеком за консолью!

1

Переустановка рекомендуется. Однако, если на устройстве есть данные, которые вы не можете позволить себе потерять, вы можете попробовать Microsoft Defender Offline.

В основном это позволяет обойти операционную систему, а затем вы можете выполнить сканирование жесткого диска. Обязательно загрузите свежую копию, чтобы у вас были последние определения антивируса.

Если после этого компьютер все еще работает медленно, попробуйте загрузиться с компакт-диска /USB-диска Linux, чтобы скопировать данные, а затем переустановить Windows. Но обязательно просканируйте резервный жесткий диск на другом (защищенном) компьютере, прежде чем копировать его обратно на старый компьютер.

0

Для упрощения у вас либо проблемы с оборудованием, либо проблемы с программным обеспечением, либо и то, и другое.

Выясните, включен ли на вашем компьютере загрузка с компакт-диска или загрузка с USB, и как выполнить загрузку с внешнего носителя, если он по умолчанию отключен. Быстрый поиск в Google часто ускоряет этот процесс.

Используйте живой компакт-диск, такой как Ultimate Boot CD, чтобы проверить оперативную память и жесткий диск на наличие ошибок. Протестируйте ОЗУ с помощью Memtest86+ и используйте набор тестов вашего жесткого диска, например DLG для жестких дисков WD. Это исключит большинство проблем с памятью и жесткими дисками. Вы также можете проверить температуру системы, если хотите исключить тепловые проблемы.

Затем запустите live CD с Linux или загрузите дистрибутив Linux с USB. Если это не вызывает проблем и работает намного быстрее, чем установленная система без каких-либо проблем со стабильностью, это время загрузки и обнуление. Перенесите любые элементы, которые не могут быть потеряны, с жесткого диска на какой-либо внешний носитель. Вы захотите сканировать эти файлы на наличие вредоносных программ, прежде чем получить их где-нибудь рядом с чистым ПК. Желательно сканировать их в какой-то живой среде.

Если вы еще не пробовали восстановить раздел, вы можете выполнить здесь "деструктивное восстановление", но я не очень верю в восстановление разделов, поскольку они могут быть заражены вредоносным ПО, как и обычные разделы. , Вот где хорошо быть пользователем Linux, потому что вам не нужно беспокоиться о лицензионных ключах и установке носителей.

Если ваш разум настроен на пребывание в Windows, вот ваши шаги:

Найдите диск восстановления системы или допустимую версию операционной системы, которую вы хотите установить. Убедитесь, что это "полная" версия и не является "обновленной" версией, для установки которой требуется предыдущая версия ОС. Убедитесь, что у вас есть лицензионный ключ и введите его правильно. Будьте готовы позвонить производителю, если восстановление не работает должным образом, или Microsoft, если установка ОС не удалась.

Возьмите ранее упомянутый "Ultimate Boot CD" и запустите Darik's Boot and Nuke. Стирание диска займет некоторое время. Поскольку вы планируете переустановку, вы можете использовать один из более быстрых режимов форматирования. "Быстрое стирание" или "DoD short" должно помочь.

Установите операционную систему с нуля на (теперь пустой) жесткий диск.

При необходимости перенесите старые файлы, которые были проверены на наличие вирусов несколько раз, обратно в новую версию операционной системы. Наслаждайтесь процессом установки программного обеспечения и обновлений системы.

Прокляни себя за то, что у тебя нет более свежей резервной копии или нет процедуры резервного копирования образа системы Клятва быть лучше в этом, и надеюсь, что не будет в следующий раз. Там, вероятно, будет в следующий раз.

0

Вы можете взглянуть на Windows Defender Offline, он сканирует на наличие вредоносных программ и дает вам возможность исправить.

-1

Правильное решение состоит в том, чтобы сбросить его и переустановить Windows. Если это просто не решение, единственное другое правильное решение - использовать живую установку cd/usb linux для запуска пакетов антивирусного программного обеспечения вне вашей установки Windows.

Я просмотрел данные ответы и с удивлением обнаружил, что Trinity Rescue Kit еще не упомянут!

Этот программный пакет является моим решением, когда я пытаюсь удалить вредоносные программы / вирусы / руткиты с зараженного компьютера. Он имеет 3-4 различных программных решения, которые выйдут в сеть и получат свои последние определения, прежде чем начнут процесс сканирования / очистки.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .