Как я могу удалить злонамеренное шпионское ПО, вредоносное программное обеспечение, рекламное программное обеспечение, вирусы, троянцев или руткиты от моего ПК?

Возможные решения для заражения вирусом в порядке: (1) антивирусные сканирования, (2) системное восстановление, (3) общее количество переустанавливает.

Сделайте сначала уверенными, что все Ваши данные сохранены.

Загрузка и установка некоторые антивирусы, удостоверьтесь, что они актуальны, и сканируют глубоко Ваш жесткий диск. Я рекомендую использовать, по крайней мере, Антивирус Malwarebytes. Мне также нравится Стой.

Если это не работает ни по какой причине, можно использовать спасение вирусный сканер живого CD: Мне нравится лучшая Спасательная система Avira AntiVir, потому что она обновляется несколько раз в день и так загрузка, CD актуален. Как начальная загрузка CD это автономно и не работает с помощью системы Windows.

Если никакой вирус не найден, используйте "sfc/scannow" для восстановления важных файлов Windows.
См. эту статью.

Если это также не работает, необходимо Выполнить Установку Восстановления.

Если ничто не работает, необходимо отформатировать жесткий диск и переустановить Windows.

В Jeff Atwood существуют некоторые большие борющиеся с вредоносным программным обеспечением подсказки, "Как Очистить Windows Spyware Infestation". Вот базовый процесс (убедиться прочитать сообщение в блоге для снимков экрана и других деталей, которые эта сводка заминает):

1. Остановите любое шпионское ПО, в настоящее время работающее. Встроенный Диспетчер задач Windows не сократит его; получите Проводник Процесса Sysinternals.
   1. Запущенный проводник процесса.
   2. Отсортируйте список процессов по Названию компании.
   3. Уничтожьте любые процессы, которые не имеют Названия компании (исключая DPCs, Прерывания, Систему и Процесс бездействия системы), или которые имеют Названия компаний, которые Вы не распознаете.
2. Мешайте шпионскому ПО перезапустить в следующий раз, когда система загружается. Снова, встроенный инструмент Windows, MSconfig, является частичным решением, но Sysinternals AutoRuns является инструментом для использования.
   1. Выполните AutoRuns.
   2. Пройдите весь список. Снимите флажок с подозрительными записями - те, которые имеют пустые имена Издателя или любое имя Издателя, которое Вы не распознаете.
3. Теперь перезагрузка.
4. После перезагрузки перепроверьте с Проводником Процесса и AutoRuns. Если что-то "возвращается", необходимо будет вырыть глубже.
   • В примере Jeff один что-то, что возвратилось, было подозрительной записью драйвера в AutoRuns. Он говорит посредством разыскивания процесса, который загрузил его в Проводнике Процесса, закрыв дескриптор, и физически удалив драйвер жулика.
   • Он также нашел странно названный файл DLL, сцепляющийся в процесс Winlogon, и демонстрирует нахождение и уничтожение потоков процесса, загружающихся, что DLL так, чтобы AutoRuns мог наконец удалить записи.

Как я могу сказать, заражен ли мой ПК?

Общие признаки для вредоносного программного обеспечения могут быть чем-либо. Обычные:

• Машина медленнее, чем нормальный.
• Внезапные отказы и вещи случай, когда они не были должны (например, некоторые новые вирусы помещает ограничения групповой политики на Вашу машину, чтобы препятствовать тому, чтобы диспетчер задач или другие программы диагностирования работали).
• Диспетчер задач показывает высокий ЦП, когда Вы думаете, что Ваша машина должна быть неактивной (например, <5%).
• Объявления, открывающиеся наугад.
• Вирусные предупреждения, открывающиеся из антивируса, который Вы не помните устанавливать (антивирусная программа является фальшивкой и попытками требовать Вас, имеют страшные звучащие вирусы с именами как 'bankpasswordstealer.vir'. Вы поощряетесь заплатить за эту программу для очистки их).
• Всплывающие окна / фальсифицируют "синий" экран смерти (BSOD), просящий, чтобы Вы назвали число для фиксации заражения.
• Интернет-страницы, перенаправленные или заблокированные, например, домашние страницы продуктов AV или сайтов поддержки (www.symantec.com, www.avg.com, www.microsoft.com), перенаправляются на сайты, заполненные объявлениями, или фальсифицируют сайты, продвигающие поддельный анти-вирус / "полезные" средства удаления, или заблокированы в целом.
• Увеличенное время запуска, когда Вы не устанавливали приложений (или патчи)... Этот является неловким.
• Ваши персональные файлы шифруются, и Вы видите требование выкупа.
• Что-либо синий, если Вы "знаете" свою систему, Вы обычно, знает, когда что-то очень неправильно.

Как я избавляюсь от этого?

Использование живого CD

Так как вирусный сканер зараженного ПК мог бы быть поставлен под угрозу, вероятно, более безопасно просканировать диск с Живого CD. CD загрузит специализированную операционную систему на Вашем компьютере, который затем просканирует жесткий диск.

Существуют, например, Спасательная система Avira Antivir или ubcd4win. Больше предложений может быть найдено в БЕСПЛАТНОМ Загрузочном Спасательном Списке Загрузки CD AntiVirus, таком как:

• Kaspersky Rescue CD
• BitDefender Rescue CD
• Спасение F-Secure CD
• Спасательный диск Avira Antivir
• Спасательный набор троицы CD
• Спасение AVG CD

Подключение жесткого диска к другому ПК

При подключении зараженного жесткого диска с чистой системой для сканирования его, удостоверьтесь, что Вы обновляете описания вирусов для всех продуктов, которые Вы будете использовать для сканирования зараженного диска. Ожидая неделя, чтобы позволить антивирусным поставщикам выпустить новые описания вирусов может улучшить Ваши возможности обнаружения всех вирусов.

Удостоверьтесь, что Ваша зараженная система остается разъединенной от Интернета, как только Вы находите, что это заражено. Это предотвратит его от способности загрузить новые выпуски вирусов (среди прочего).

Запустите с хорошего инструмента, такого как "Найти и уничтожить" Spybot или Антивирус Malwarebytes и выполните полное сканирование. Также попробуйте ComboFix и SuperAntiSpyware. Никакой единственный антивирусный продукт не будет иметь каждое описание вирусов. Используя несколько продуктов является ключевым (не для оперативной защиты). Если даже всего один вирус остается в системе, он может загружать и устанавливать все последние выпуски новых вирусов, и все усилие до сих пор не было бы ни для чего.

Удалите подозрительные программы из начальной загрузки

1. Запуск в безопасном режиме.
2. Использовать msconfig определить то, что программы и сервисы запускают при начальной загрузке (или запуск под диспетчером задач в Windows 8).
3. Если существуют программы/сервисы, которые подозрительны, удаляют их из начальной загрузки. Еще пропустите к использованию живого CD.
4. Перезапуск.
5. Если признаки не уходят, и/или программа заменяет себя при запуске, попытайтесь использовать программу под названием, Автоматически работает, чтобы найти программу и удалить его оттуда. Если Ваш компьютер не может запустить, Автоматически работает, имеет функцию, куда он может быть выполнен от второго ПК, названного, "Анализируют офлайновый ПК". Обратите особенно пристальное внимание на Logon и Scheduled tasks вкладки.
6. Если нет все еще никакого успеха в удалении программы, и Вы уверены, что это - причина Ваших проблем, начальной загрузки в регулярный режим, и установите инструмент под названием Неблокировщик
7. Перейдите к местоположению файла, который является тем вирусом и попыткой использовать неблокировщик для уничтожения его. Несколько вещей могут произойти:
   1. Файл удален и не вновь появляется на перезапуске. Это - лучший случай.
   2. Файл удален, но сразу вновь появляется. В этом случае используйте программу под названием Монитор Процесса для обнаружения программы, которая воссоздала файл. Необходимо будет удалить ту программу также.
   3. Файл не может быть удален, неблокировщик предложит Вам удалять его на перезагрузке. Сделайте это и посмотрите, вновь появляется ли это. Если это делает, у Вас должна быть программа в начальной загрузке, которая заставляет это происходить, и вновь исследовать список программ, которые работают в начальной загрузке.

Что сделать после восстановления

Теперь должно быть безопасно (надо надеяться), загрузиться в Вашу (ранее) зараженную систему. Однако, держите глаза открытыми для знаков заражения. Вирус может оставить изменения на компьютере, который помог бы повторно заразить даже после того, как вирус был удален.

Например, если бы вирус изменил DNS или настройки прокси, то Ваш компьютер перенаправил бы Вас для фальсифицирования версий законных веб-сайтов, так, чтобы загрузка, что, казалось, была известной и доверяемой программой, мог на самом деле загружать вирус.

Они могли также получить Ваши пароли путем перенаправления Вас для фальсифицирования сайтов банковского счета или поддельных почтовых сайтов. Обязательно проверьте Ваш DNS и настройки прокси. В большинстве случаев Ваш DNS должен быть обеспечен Вашим ISP или автоматически получен DHCP. Ваши настройки прокси должны быть отключены.

Проверьте Ваш hosts файл (\%systemroot%\system32\drivers\etc\hosts) для любых подозрительных записей и сразу удаляют их. Также удостоверьтесь, что Ваш брандмауэр включен и что у Вас есть все последние обновления Windows.

Затем, защитите свою систему с хорошим антивирусом и добавьте ее с продуктом Антивируса. Основы Защиты Microsoft часто рекомендуются наряду с другими продуктами.

Что сделать, если все перестало работать

Нужно отметить, что некоторое вредоносное программное обеспечение очень хорошо в предотвращении сканеров. Возможно, что, после того как Вы заражены, это может установить руткиты или подобный для пребывания невидимым. Если вещи действительно плохи, единственная опция состоит в том, чтобы вытереть диск и переустановить операционную систему с нуля. Иногда сканирование с помощью GMER или Уничтожителя Kaspersky TDSS может показать Вам, если у Вас есть руткит.

Можно хотеть сделать несколько выполнений "Найти и уничтожить" Spybot. Если после трех выполнений это не может удалить инвазию (и Вам не удается сделать это вручную), рассматривают переустанавливание.

Другое предложение: Combofix является очень мощным средством удаления, когда руткиты препятствуют другим вещам выполнить или установить.

Используя нескольких сканирование механизмы могут, конечно, помочь найти вредоносное программное обеспечение лучше всего скрытым, но это - скрупулезная задача, и хорошая стратегия резервного копирования/восстановления будет более эффективной и безопасной.

Премия: существует интересное видео последовательное начало, "Понимание и Борьба с Вредоносным программным обеспечением: Вирусы, Шпионское ПО" с Mark Russinovich, создателем Sysinternals ProcessExplorer & Autoruns, о вредоносной очистке.

Если Вы замечаете какой-либо из признаков затем, одной вещью проверить являются настройки DNS на Вашем сетевом соединении.

Если они были изменены или от, "Получают адрес сервера DNS автоматически" или к другому серверу от того, которым это должно быть, то это - хороший знак, что у Вас есть заражение. Это будет причиной перенаправлений далеко от сайтов антивируса или полного отказа достигнуть сайта вообще.

Это - вероятно, хорошая идея обратить внимание на Ваши настройки DNS, прежде чем заражение произойдет так, Вы знаете, каковы они должны быть. Также детали будут доступны на страницах справки веб-сайта Вашего ISP.

Если Вы не имеете примечания серверов DNS и не можете найти, что информацией о Вашем сайте ISP затем с помощью серверов Google DNS является хорошая альтернатива. Они могут быть найдены в 8.8.8.8 и 8.8.4.4 для основных и вторичных серверов соответственно.

В то время как сброс DNS не решит проблему, это позволит Вам a) добираться до сайтов антивируса для получения программного обеспечения, необходимо убрать ПК и b) определять, если заражение повторится, поскольку настройки DNS изменятся снова.

Выполните распоряжение, данное ниже для дезинфекции ПК

1. На ПК, который не заражен, сделайте начальную загрузку, которую диск AV затем загружает от диска на Зараженном ПК и сканирует жесткий диск, удаляет любые заражения, которые это находит. Я предпочитаю, чтобы Windows Defender Offline загрузил CD/USB, потому что он может удалить загрузочные вирусы, см. "Примечание" ниже.

   Или, можно испытать некоторые другие диски Начальной загрузки AV.

2. После того, как Вы просканировали и удалили вредоносное программное обеспечение с помощью диска начальной загрузки, Установка свободный MBAM, запустили программу и переходите к вкладке Update и обновляете его, затем перейдите к Вкладке Сканера и сделайте быстрое сканирование, выберите и удалите что-либо, что это находит.

3. Когда MBAM сделан, устанавливают бесплатную версию SAS, выполняют быстрое сканирование, удаляют то, что это автоматически выбирает.

4. Если системные файлы окон были заражены, Вы, возможно, должны выполнить SFC для замены файлов, Вам, вероятно, придется сделать это офлайн, если он не загрузится из-за удаления зараженных системных файлов. Я рекомендую выполнить SFC после того, как любое удаление заражения сделано.

5. В некоторых случаях Вам, вероятно, придется запустить средство восстановления запуска (только Windows Vista и Windows7) для получения его загружающийся правильно снова. В крайних случаях подряд могут быть необходимы 3 средства восстановления запуска.

MBAM и SAS не являются программным обеспечением AV как Norton, они - по требованию сканеры, которые только сканируют для nasties, когда Вы запускаете программу и не вмешаетесь в Ваш установленный AV, они могут быть выполнены один раз в день или неделя, чтобы гарантировать, что Вы не заражены. Убедитесь, что Вы обновляете их перед каждым ежедневно-еженедельным сканированием.

Примечание: то, что продукт Windows Defender Offline очень хорош в удалении персистентных заражений MBR, которые распространены в эти дни.

.

Для опытных пользователей:

Если у Вас есть единственное заражение, которое представляет себя, поскольку программное обеспечение, т.е. "Система Фиксирует" "безопасность AV 2012" и т.д., посмотрите эту страницу для определенных руководств по удалению

.

Мой способ удалить вредоносное программное обеспечение является эффективным, и я никогда не видел, что он перестал работать:

1. Загрузка Автоматически работает и если Вы все еще выполняете 32-разрядную загрузку сканер руткита.
2. Начальная загрузка в Безопасный режим и запускается, Автоматически работает, если Вы можете, затем перейдите к шагу 5.
3. Если Вы не можете войти в Безопасный режим, подключить диск к другому компьютеру.
4. Запустите Автоматически работает на том компьютере, перейдите к Файлу->, Анализируют Офлайновую Систему и заполняют его.
5. Ожидайте сканирования, которое будет сделано.
6. В меню параметров выберите все.
7. Позвольте ему просканировать снова путем нажатия F5. Это пойдет быстрое, поскольку вещи кэшируются.
8. Пройдите список и снимите флажок с чем-либо, что является conspicious или не имеет проверенной компании.
9. Дополнительный: Выполните сканер руткита.
10. Позвольте главному вирусному сканеру удалить любые файлы, которые оставили.
11. Дополнительный: Выполненный антивирус и сканеры антишпиона для избавлений от спама.
12. Дополнительный: Выполненные инструменты как HijackThis/OTL/ComboFix для избавлений от спама.
13. Перезагрузка и обладает Вашей чистой системой.
14. Дополнительный: Выполните сканер руткита снова.
15. Удостоверьтесь, что Ваш компьютер достаточно защищен!

Некоторые комментарии:

• Автоматически работает записан Microsoft и таким образом показывает любые местоположения вещей, которые автоматически запускаются...
• После того как программное обеспечение неконтролируемо от, Автоматически работает, оно не запустится и не может препятствовать тому, чтобы Вы удалили его...
• Там не существуйте руткиты для 64-разрядных операционных систем, потому что они должны были бы быть подписаны...

Это эффективно, потому что это отключит вредоносное программное обеспечение/шпионское ПО/вирусы от запуска,
Вы свободны выполнить дополнительные инструменты для вычищения любого спама, который оставили в системе.

Еще один инструмент, который я хотел бы добавить к обсуждению - сканер безопасности Microsoft . Он был выпущен всего несколько месяцев назад. Он немного похож на Malicious Software Removal Tool, но предназначен для использования в автономном режиме. На момент загрузки он будет иметь самые последние определения и будет использоваться только в течение 10 дней, так как будет считать свой файл определений "слишком старым для использования". Скачайте его с другого компьютера и запустите в безопасном режиме. Он работает довольно хорошо.