如果Windows计算机似乎感染了病毒或恶意软件，该怎么办？

• 感染的症状是什么？
• 注意到感染后该怎么办？
• 我该怎么做才能摆脱它？
• 如何防止恶意软件感染？

这个问题经常出现，建议的解决方案通常是相同的。该社区Wiki试图充当最终的，最全面的答案。

随时通过编辑添加您的贡献。

事情是这样的：近年来，恶意软件已变得既狡猾又卑鄙：

Sneakier，不仅是因为它更适合隐藏在rootkit或EEPROM hack中，而且还因为它可以成批传播。微妙的恶意软件可以隐藏在更明显的感染之后。答案中列出了很多好的工具，它们可以找到99％的恶意软件，但始终只有1％的恶意软件无法找到。通常，这1％是新事物：恶意软件工具无法找到它，因为它刚刚出现，并且正在使用一些新的漏洞利用或技术来隐藏工具尚不了解的自身。

恶意软件的保质期也很短。如果您被感染，那么那新的1％的几率很可能是感染的一部分。这不会是全部感染：只是一部分。安全工具将帮助您查找和删除更明显，更知名的恶意软件，最有可能删除所有可见的症状（因为您可以继续挖掘直到发现为止），但是它们可以留下一些小东西，例如键盘记录器或rootkit隐藏在安全工具尚不知道如何检查的一些新漏洞之后。反恶意软件工具仍然占有一席之地，但我将在后面介绍。

Nastier，因为它不再只是展示广告，安装工具栏或将您的计算机当作僵尸使用。现代恶意软件很可能会适合银行或信用卡信息。建立这些东西的人不再只是寻找名望的剧本小子；他们现在是受利润驱动的有组织的专业人员，如果他们不能直接从您那里窃取资金，他们会寻找可以转手并出售的东西。这可能是您计算机中的处理资源或网络资源，但也可能是您的社会保险号或对文件进行加密并将其保存以进行勒索。

综合考虑这两个因素，甚至试图从已安装的操作系统中删除恶意软件也不再值得。我曾经非常擅长删除这些内容，以至于我以这种方式成为了我生活中的重要部分，甚至不再尝试。我并不是说无法做到这一点，而是要说成本/收益和风险分析结果已经改变：这不再值得了。问题太多了，要获得似乎只有效果的结果太容易了。

很多人在这方面会与我意见相左，但是我挑战他们没有足够地权衡失败的后果。您是否愿意投注自己的生命储蓄，良好信誉甚至身份，以证明自己比每天赚百万的骗子要好？ 如果您尝试删除恶意软件，然后继续运行旧系统，那正是您的工作。

我知道外面有人读过这样的想法：“嘿，我已经从各种机器上清除了几种感染，而且没有发生任何不好的事情。” 我也是，朋友 我也是。在过去的几天里，我清理了自己的被感染系统。尽管如此，我建议我们现在需要在该声明的末尾添加“还”。您可能有99％的效率，但是您一次就必须犯错，失败的后果要比过去要高得多。一个失败的代价很容易超过其他所有成功的代价。您甚至可能已经有一台机器，里面仍然装有滴答定时炸弹，只是在等待激活或收集正确的信息之后才将其报告回来。即使您现在有一个100％有效的流程，这些东西也会一直在变化。记住：每次都要完美。

总之，这是不幸的，但如果你有一个确认的恶意软件感染的计算机的完整的重新铺路应该是先打开，而不是最后的地方。

这是完成此操作的方法：

在感染之前，请确保您有一种方法可以重新安装任何购买的软件（包括操作系统），而这些软件不依赖于内部硬盘上存储的任何内容。为此，通常仅意味着挂在cd / dvds或产品密钥上，但是操作系统可能需要您自己创建恢复磁盘。¹不要为此依赖恢复分区。如果您等到感染后才确定需要重新安装，则可能会发现自己再次购买了相同的软件。随着勒索软件的兴起，定期备份数据也非常重要（还要知道，定期进行非恶意操作，例如硬盘故障）。

如果您怀疑自己有恶意软件，请在此处查找其他答案。有很多好的工具建议。我唯一的问题是使用它们的最佳方法：我仅依靠它们进行检测。安装并运行该工具，但是只要发现真正感染的证据（不仅仅是“跟踪cookie”），就停止扫描：该工具已完成工作并确认您已感染。²

在确认感染时，请执行以下步骤：

1. 检查您的信用卡和银行帐户。在您发现有关感染的信息时，实际损坏可能已经发生。采取任何必要的步骤来保护您的卡，银行帐户和身份。
2. 在您从受感染计算机访问的任何网站上更改密码。请勿使用受到感染的计算机执行任何上述操作。
3. 备份数据（如果已有的话，甚至更好）。
4. 使用直接从OS发布者获得的原始媒体重新安装操作系统。确保重新安装包括对磁盘的完整重新格式化；系统还原或系统恢复操作还不够。
5. 重新安装您的应用程序。
6. 确保您的操作系统和软件已完全打补丁并且是最新的。
7. 运行完整的防病毒扫描以清除第二步中的备份。
8. 恢复备份。

如果做得正确，这很可能会花费您两到六个小时的真实时间，在等待安装应用，Windows更新下载或大型备份文件之类的两到三天内（甚至更长）进行汇款...但总比以后发现骗子耗尽了您的银行帐户要好。不幸的是，这是您应该自己做的事情，或者是有个好朋友为您做的事情。以每小时约100美元的典型咨询费率，购买一台新机器比付钱给一家商店要便宜。如果您有朋友为您做，请做点好事表示感谢。甚至喜欢帮助您设置新事物或修复损坏的硬件的怪胎也经常讨厌繁琐的清理工作。如果您自己备份，那也是最好的……您的朋友不会知道您将哪些文件放在哪里，或者哪些文件对您而言真的很重要。您比他们有更好的位置进行良好的备份。

很快，甚至所有这一切可能还不够，因为现在有能够感染固件的恶意软件。即使更换硬盘驱动器也可能无法消除感染，因此购买新计算机将是唯一的选择。值得庆幸的是，在我写这篇文章的时候，我们还没有到那个地步，但是它肯定已经到来并且正在迅速发展。

如果您出于所有原因绝对地坚持要确实要清理现有安装而不是重新开始，那么出于对上帝的爱，请确保使用的任何方法都涉及以下两个过程之一：

• 卸下硬盘驱动器，并将其作为来宾磁盘连接到另一台（干净！）计算机中，以运行扫描。

要么

• 从CD / USB密钥引导，并使用自己的工具集运行自己的内核。确保获得该图像并在干净的计算机上刻录。如有必要，请一位朋友为您制作磁盘。

在任何情况下，您都不应尝试使用作为受感染操作系统的来宾进程运行的软件来清理受感染的操作系统。那简直是愚蠢的。

当然，修复感染的最佳方法是首先避免感染，并且您可以做一些事情来帮助解决这一问题：

1. 保持系统补丁。确保立即安装Windows Update，Adobe Update，Java Update，Apple Update等。这甚至比防病毒软件重要得多，并且只要保持最新，这在大多数情况下并不难。这些公司中的大多数公司都在每月的同一天非正式地解决了所有发布的新补丁程序的问题，因此，如果您保持最新状态，它不会经常打扰您。Windows Update中断通常仅在您忽略它们太长时间时才会发生。如果这种情况经常发生在您身上，那么您就要改变自己的行为。这些很重要，即使现在比较容易，也不能仅选择“稍后安装”选项。
2. 默认情况下，不以管理员身份运行。在最新版本的Windows中，就像打开UAC功能一样简单。
3. 使用良好的防火墙工具。如今，Windows中的默认防火墙实际上已经足够了。您可能需要用WinPatrol之类的东西来补充这一层，以帮助阻止前端的恶意活动。Windows Defender在某种程度上也可以使用此功能。基本的Ad-Blocker浏览器插件在此级别作为安全工具也变得越来越有用。
4. 将大多数浏览器插件（尤其是Flash和Java）设置为“要求激活”。

5. 运行当前的防病毒软件。这是其他选择的五分之一，因为传统的A / V软件通常不再那么有效。强调“当前”也很重要。您可能拥有世界上最好的防病毒软件，但是如果不是最新的，则最好将其卸载。

   因此，我目前建议使用Microsoft Security Essentials。（从Windows 8开始，Microsoft Security Essentials是Windows Defender的一部分。）那里可能有更好的扫描引擎，但是Security Essentials将保持最新状态，而不会冒险拥有过期的注册。AVG和Avast也可以通过这种方式很好地工作。我只是不推荐您必须实际购买的任何防病毒软件，因为付费订阅失效会导致您的定义过时，这太普遍了。

   在这里也值得注意的是Mac用户现在也需要运行防病毒软件。他们没有它就可以逃脱的日子早已一去不复返了。顺便说一句，我认为这很有趣，我现在必须建议Mac用户购买防病毒软件，但建议Windows用户不要使用它。

6. 避免使用洪流站点，warez，盗版软件和盗版电影/视频。破解或发布该恶意软件的人经常向其中注入恶意软件-并非总是如此，但通常足以避免整个混乱。这就是为什么饼干会这样做的一部分：他们通常会从中获利。
7. 浏览网页时要用头。您是安全链中最薄弱的环节。如果听起来有些不可思议，那可能就是事实。最明显的下载按钮很少是您在下载新软件时想要再使用的按钮，因此请确保在阅读该链接之前先阅读并理解网页上的所有内容。如果您看到弹出窗口或听到声音消息，要求您致电Microsoft或安装一些安全工具，那是假的。
   此外，更喜欢直接从供应商或开发人员而不是第三方文件托管网站下载软件和更新/升级。

_{¹ Microsoft现在发布Windows 10安装介质，因此您可以合法地免费下载并写入8GB或更大容量的闪存驱动器。您仍然需要有效的许可证，但是基本操作系统不再需要单独的恢复磁盘。}

_{²这是指出我已经稍微放松了方法的好时机。如今，大多数“感染”都属于PUP（可能不需要的程序）和其他下载中包含的浏览器扩展的类别。通常，可以通过传统方式安全地删除这些PUP /扩展，它们现在占了足够大的恶意软件比例，我可能会在此时停止，只需尝试使用“添加/删除程序”功能或普通的浏览器选项即可删除扩展。但是，从更深层次的初步迹象看（任何提示，该软件都不会正常卸载），并且可以重新安装计算机。}

如何知道我的电脑是否被感染？

恶意软件的一般症状可以是任何东西。通常是：

• 机器比正常速度慢。
• 随机故障和不应该发生的事情（例如某些新病毒在您的计算机上设置了组策略限制，以防止任务管理器或其他诊断程序运行）。
• 当您认为计算机应处于空闲状态（例如，<5％）时，任务管理器会显示较高的CPU。
• 广告随机弹出。
• 您不记得安装的防病毒软件会弹出病毒警告（该防病毒程序是伪造的，并试图声称您有听起来很吓人的病毒，名称类似于“ bankpasswordstealer.vir”。建议您为该程序付费以清除它们）。
• 弹出式视窗/假死蓝屏（BSOD），请您拨打电话以修复感染。
• 重定向或阻止的Internet页面，例如AV产品或支持站点的主页（www.symantec.com，www.avg.com，www.microsoft.com），被重定向到充斥广告的站点，或伪造宣传虚假反垃圾邮件的站点病毒/“有用的”删除工具，或被完全阻止。
• 如果您还没有安装任何应用程序（或补丁），则增加了启动时间。
• 您的个人文件已加密，您看到赎金记录。
• 出乎意料的是，如果您“知道”您的系统，则通常会知道什么时候非常不对劲。

我该如何摆脱呢？

使用Live CD

由于受感染的PC的病毒扫描程序可能已受到感染，因此从Live CD扫描驱动器可能更安全。CD将引导计算机上的专用操作系统，然后它将扫描硬盘驱动器。

例如，有Avira Antivir Rescue System或ubcd4win。在免费的可启动防病毒救援CD下载列表中可以找到更多建议，例如：

• 卡巴斯基救援CD
• BitDefender救援CD
• F-Secure救援CD
• Avira Antivir救援磁盘
• 三位一体救援工具包CD
• AVG救援CD

将硬盘驱动器连接到另一台PC

如果要将受感染的硬盘驱动器连接到干净的系统以便对其进行扫描，请确保为将用于扫描受感染的驱动器的所有产品更新病毒定义。等待一周让防病毒提供者发布新的病毒定义可以提高检测所有病毒的机会。

一旦发现受感染的系统，请确保您的受感染系统仍与互联网断开连接。这将阻止它能够下载病毒的新版本（以及其他内容）。

首先使用Spybot Search and Destroy或Malwarebytes的反恶意软件之类的好工具，然后执行全面扫描。也可以尝试ComboFix和SuperAntiSpyware。没有任何一种防病毒产品会具有每种病毒的定义。使用多种产品是关键（不是实时保护）。如果系统中仅剩一种病毒，它可能就可以下载并安装所有最新版本的新病毒，而到目前为止，所有工作都将一事无成。

从启动中删除可疑程序

1. 以安全模式启动。
2. 使用msconfig以确定哪些程序和服务在开机启动（或在Windows 8下的任务管理器启动）。
3. 如果有可疑的程序/服务，请从引导中将其删除。否则，请跳过使用实时CD。
4. 重新开始。
5. 如果症状不消失和/或程序在启动时替换本身，尝试使用所谓的程序自动运行，以找到该程序，并从那里删除它。如果您的计算机无法启动，则自动运行功能可以从称为“分析脱机PC”的第二台PC上运行。特别注意Logon和Scheduled tasks标签。
6. 如果仍然无法成功删除该程序，并且确定是问题的原因，请引导至常规模式，然后安装名为Unlocker的工具。
7. 导航到该病毒的文件位置，然后尝试使用解锁器将其杀死。可能会发生一些事情：
   1. 该文件已删除，并且在重新启动后不会重新出现。这是最好的情况。
   2. 该文件被删除，但立即重新出现。在这种情况下，请使用名为Process Monitor的程序来查找重新创建文件的程序。您还需要删除该程序。
   3. 该文件无法删除，解锁程序会提示您在重新启动后将其删除。这样做，然后看它是否再次出现。如果是这样，则您必须在引导中有一个导致该情况发生的程序，然后重新检查在引导中运行的程序列表。

恢复后该怎么办

现在可以安全地（希望）启动到（先前）受感染的系统。尽管如此，请保持睁大眼睛以防感染的迹象。病毒可以将更改留在计算机上，即使删除了病毒，也可以使重新感染变得更容易。

例如，如果病毒更改了DNS或代理设置，则您的计算机会将您重定向到合法网站的伪造版本，以便下载看似知名的受信任程序实际上可以下载病毒。

他们还可以通过将您重定向到伪造的银行帐户站点或伪造的电子邮件站点来获取您的密码。确保检查您的DNS和代理设置。在大多数情况下，您的DNS应该由ISP提供或由DHCP自动获取。您的代理设置应被禁用。

检查hosts文件（\%systemroot%\system32\drivers\etc\hosts）中是否有可疑条目，并立即将其删除。另外，请确保已启用防火墙，并且您具有所有最新的Windows更新。

接下来，使用优质的防病毒软件保护您的系统，并为其添加防恶意软件产品。通常建议将Microsoft Security Essentials 与其他产品一起使用。

万一失败了怎么办

应当指出，某些恶意软件非常擅长避免扫描程序。一旦您被感染，它可能会安装rootkit或类似工具以保持隐身状态。如果情况确实很糟，唯一的选择是擦除磁盘并从头开始重新安装操作系统。有时，使用GMER或卡巴斯基的TDSS Killer进行的扫描可以告诉您是否具有rootkit。

您可能需要运行一些Spybot Search和Destroy。如果运行三遍后仍无法消除感染（并且您无法手动进行），请考虑重新安装。

另一个建议：当rootkit阻止其他东西运行或安装时，Combofix是一个非常强大的删除工具。

使用多个扫描引擎当然可以帮助找到最佳隐藏的恶意软件，但这是一项艰巨的任务，良好的备份/还原策略将更加有效和安全。

奖励：有一个有趣的视频系列，开头是Sysinternals ProcessExplorer＆Autoruns的创建者Mark Russinovich的“ 理解和对抗恶意软件：病毒，间谍软件”，内容涉及恶意软件清除。

杰夫·阿特伍德（Jeff Atwood）的“如何清理Windows间谍软件侵扰”中有一些出色的反恶意软件技巧。这是基本过程（请务必通读博客文章，以获取本摘要所掩盖的屏幕截图和其他详细信息）：

1. 停止当前正在运行的所有间谍软件。Windows内置的任务管理器不会削减它。获取Sysinternals Process Explorer。
   1. 运行进程资源管理器。
   2. 按公司名称对流程列表进行排序。
   3. 杀死所有没有公司名称的进程（DPC，中断，系统和系统空闲进程除外）或具有您不认识的公司名称的进程。
2. 下次启动系统时，请阻止间谍软件重新启动。同样，Windows的内置工具MSconfig是部分解决方案，但是Sysinternals AutoRuns是要使用的工具。
   1. 运行自动运行。
   2. 浏览整个列表。取消选中可疑条目-具有空白发布者名称或您不认识的任何发布者名称的条目。
3. 现在重启。
4. 重新启动后，请使用Process Explorer和AutoRuns重新检查。如果“回来”，您将不得不更深入地研究。
   • 在杰夫（Jeff）的示例中，回来的一件事是AutoRuns中的可疑驱动程序条目。他讲述了如何跟踪在Process Explorer中加载该进程的过程，关闭该句柄并从物理上删除恶意驱动程序。
   • 他还找到了一个奇怪的DLL文件，该文件挂接到Winlogon进程中，并演示了查找并杀死加载该DLL的进程线程，以便AutoRuns最终可以删除这些条目。

我删除恶意软件的方法非常有效，但我从未见过失败：

1. 下载自动运行，如果你仍然可以运行32位下载一个rootkit扫描器。
2. 引导到安全模式并启动自动运行（如果有），然后转到步骤5。
3. 如果无法进入安全模式，请将磁盘连接到另一台计算机。
4. 在该计算机上启动自动运行，转到文件->分析脱机系统并填写。
5. 等待扫描完成。
6. 在选项菜单上，选择所有内容。
7. 让它再次按F5进行扫描。随着事物被缓存，这将很快进行。
8. 浏览列表，然后取消选中任何可疑或没有经过验证的公司的内容。
9. 可选：运行rootkit扫描器。
10. 让顶级病毒扫描程序删除所有剩余的文件。
11. 可选：运行反恶意软件和反间谍软件扫描程序以消除垃圾邮件。
12. 可选：运行HijackThis / OTL / ComboFix之类的工具来摆脱垃圾邮件。
13. 重新启动并享受您的干净系统。
14. 可选：再次运行rootkit扫描程序。
15. 确保您的计算机受到足够的保护！

一些说明：

• 自动运行由Microsoft编写，因此可以显示自动启动的所有位置。
• 一旦从“自动运行”中取消选中软件，它就不会启动，也无法阻止您删除它...
• 不存在用于64位操作系统的rootkit，因为需要对其进行签名...

之所以有效，是因为它将阻止启动恶意软件/间谍软件/病毒，
您可以自由运行可选工具来清除系统上留下的所有垃圾。

请按照下面给出的顺序对PC进行消毒

1. 在未受感染的PC上，制作一张启动AV光盘，然后从受感染PC上的光盘启动，然后扫描硬盘驱动器，清除发现的所有感染。我更喜欢Windows Defender脱机启动CD / USB，因为它可以删除启动扇区病毒，请参阅下面的“注意”。

   或者，您可以尝试其他一些AV Boot光盘。

2. 使用引导光盘扫描并删除了恶意软件之后，请安装免费的MBAM，运行该程序并转到“更新”选项卡并进行更新，然后转到“扫描器”选项卡并进行快速扫描，选择并删除找到的所有内容。

3. 当MBAM完成安装SAS免费版本后，运行快速扫描，删除其自动选择的内容。

4. 如果Windows系统文件被感染，则可能需要运行SFC来替换文件，如果由于删除了受感染的系统文件而无法启动，则可能必须脱机执行此操作。我建议您在完成感染清除后再运行SFC。

5. 在某些情况下，您可能必须运行启动修复程序（仅Windows Vista和Windows7），才能使其再次正常启动。在极端情况下，可能需要连续进行3次启动维修。

MBAM和SAS不是像Norton这样的AV软件，它们是按需扫描程序，它们仅在您运行该程序时扫描鼻腔而不会干扰已安装的AV，可以每天或每周运行一次以确保您没有感染。确保在每次每周一次扫描之前更新它们。

注意：Windows Defender脱机产品非常擅于消除持续存在的MBR感染，而这些感染如今已很常见。

。

对于高级用户：

如果您将单个感染表示为软件，例如“ System Fix”，“ AV Security 2012”等， 请参阅此页面以获取特定的删除指南

。

如果您发现任何症状，则要检查的一件事是网络连接上的DNS设置。

如果已将它们从“自动获取DNS服务器地址”更改为与应有的服务器不同的服务器，则表明您感染了病毒。这可能是导致重定向离开反恶意软件站点或完全无法访问该站点的原因。

在感染发生之前记下您的DNS设置可能是个好主意，这样您就知道它们应该是什么。此外，您的ISP网站的帮助页面上还将提供详细信息。

如果您没有DNS服务器的记录，并且无法在ISP站点上找到信息，那么使用Google DNS服务器是一个不错的选择。分别在主服务器和辅助服务器的8.8.8.8和8.8.4.4中可以找到它们。

虽然重置DNS不能解决问题，但是它将允许您a）到达反恶意软件站点以获取您需要清洁PC的软件，以及b）如果感染再次发生，因为DNS设置将再次更改，因此可以发现。

勒索软件

勒索软件是一种较新的，特别可怕的恶意软件。这种程序通常带有木马程序（例如电子邮件附件）或浏览器漏洞，它会检查您计算机中的文件，对其进行加密（使其完全无法识别和无法使用），并要求赎金才能将其恢复为可用状态。州。

勒索软件通常使用非对称密钥密码学，其中涉及两个密钥：公钥和私钥。当您遭到勒索软件攻击时，计算机上运行的恶意程序会连接到坏人的服务器（命令和控制或C＆C），后者会生成两个密钥。它仅将公钥发送到您计算机上的恶意软件，因为这是加密文件所需的全部。不幸的是，这些文件只能用私钥解密，如果勒索软件编写得当，它甚至都不会进入您的计算机内存。坏人通常说，如果您付款了，他们会给您私钥（从而让您解密文件），但是当然您必须信任他们才能这样做。

你可以做什么

最好的选择是重新安装操作系统（以删除恶意软件的所有痕迹），并从之前的备份中还原您的个人文件。如果您现在没有备份，这将更具挑战性。养成备份重要文件的习惯。

付款可能会使您恢复文件，但请不要这样做。这样做可以支持他们的业务模型。另外，我说“可能会让您恢复”，因为我知道至少有两个品系写得很差，以致它们无法挽回地破坏了您的文件；甚至相应的解密程序实际上也不起作用。

备择方案

幸运的是，还有第三种选择。许多勒索软件开发人员犯了错误，这些错误使优秀的安全专业人员可以开发出可以消除损害的流程。这样做的过程完全取决于勒索软件的紧张程度，并且该列表在不断变化。一些很棒的人整理了一大堆勒索软件变体，包括应用于锁定文件的扩展名和勒索票据名称，它们可以帮助您确定拥有哪个版本。对于相当多的压力，该列表还具有指向免费解密器的链接！请遵循适当的说明（链接在“解密器”列中）以恢复文件。在开始之前，请使用对该问题的其他答案，以确保从计算机中删除了勒索软件程序。

如果您无法仅通过扩展名和赎金名称来识别出遭到攻击的原因，请尝试在互联网上搜索赎金票据中的一些独特短语。拼写或语法错误通常相当独特，您可能会遇到一个论坛线程，该线程可识别勒索软件。

如果您的版本尚不为人所知，或者没有免费的方式来解密文件，请不要放弃希望！安全研究人员正在致力于消除勒索软件，而执法部门则在追捕开发人员。解密器最终可能会出现。如果赎金是有时间限制的，则可以想象，开发修补程序后，您的文件仍可恢复。即使没有，除非绝对必要，否则请不要付款。等待期间，请再次使用此问题的其他答案，确保您的计算机没有恶意软件。考虑备份文件的加密版本，以确保文件安全，直到修复程序发布。

一旦尽可能地恢复（并将其备份到外部介质上！），请强烈考虑从头开始安装操作系统。再次，这将吹走任何驻留在系统内部的恶意软件。

其他特定于变体的技巧

大电子表格中还没有一些特定于勒索软件变体的技巧：

• 如果解密工具为LeChiffre不起作用，你可以恢复所有，但使用十六进制编辑器每个文件的数据的第一个和最后一个8KB。跳转到地址0x2000，并复制除最后0x2000字节以外的所有字节。小文件将被完全破坏，但是通过一些摆弄，您也许可以从大文件中得到一些帮助。
• 如果您受到WannaCrypt的打击，并且正在运行Windows XP，并且自感染以来没有重启过，并且很幸运，您可以使用Wannakey提取私钥。
• Bitdefender有许多免费工具，可帮助您识别变体并解密某些特定变体。
• （发现时将添加其他人）

结论

勒索软件令人讨厌，可悲的现实是，并非总是可以从中恢复。为了将来安全起见：

• 保持操作系统，Web浏览器和防病毒软件为最新
• 不要打开您没想到的电子邮件附件，尤其是在您不知道发件人的情况下
• 避免使用粗略的网站（例如，具有非法或道德可疑内容的网站）
• 确保您的帐户只能访问您个人需要使用的文档
• 始终在外部媒体（未连接到计算机）上有有效的备份！

恶意软件种类繁多。查找和删除其中的某些内容很简单。其中有些比较棘手。其中一些确实很难找到，也很难删除。

但是，即使您有轻度的恶意软件，也应该强烈考虑重新格式化并重新安装操作系统。这是因为您的安全性已经失败，如果一个简单的恶意软件失败了，则可能是您已经感染了恶意软件。

使用敏感数据或在保存敏感数据的网络内部工作的人员应强烈考虑擦除并重新安装。时间宝贵的人应该强烈考虑擦拭并重新安装（这是最快，最简单，最可靠的方法）。不熟悉高级工具的人应该强烈考虑擦拭并重新安装。

但是有时间并且喜欢闲逛的人可以尝试其他帖子中列出的方法。

病毒感染的可能解决方案依次为：（1）防病毒扫描，（2）系统修复，（3）完全重新安装。

首先请确保已备份所有数据。

加载并安装一些防病毒软件，确保它们是最新的，并深入扫描硬盘。我建议至少使用Malwarebytes的Anti-Malware。我也喜欢Avast。

如果由于某种原因不能解决问题，则可以使用实时CD应急扫描程序：我喜欢最好的Avira AntiVir Rescue System，因为它一天更新几次，因此下载的CD是最新的。作为启动CD，它是自主的，无法在Windows系统上使用。

如果未找到病毒，请使用“ sfc / scannow”修复重要的Windows文件。
看到这篇文章。

如果那还是不起作用，则应该执行“修复安装”。

如果没有任何效果，则应格式化硬盘并重新安装Windows。

我想添加到讨论中的另一个工具是Microsoft安全扫描程序。它是几个月前发布的。它有点像恶意软件删除工具，但设计用于脱机使用。从下载之日起，它将具有最新的定义，并且只能使用10天，因为它将认为其定义文件“太旧而无法使用”。用另一台计算机下载它并在安全模式下运行它。效果很好。

首先讲一点理论：请认识到没有什么可以替代理解。

最终的防病毒功能是用自己的思想和所谓的“现实” 来了解您正在做什么以及通常情况下系统的运行状况。

没有任何软件或硬件可以完全保护您免受自己和自己的行为的侵害，在大多数情况下，这是恶意软件首先进入系统的方式。

大多数现代的“生产级”恶意软件，广告软件和间谍软件都依靠各种“社会工程学”技巧来欺骗您安装“有用的”应用程序，加载项，浏览器工具栏，“病毒扫描程序”或单击Download将在其上安装恶意软件的绿色大按钮。您的机器。

如果您只是单击Next按钮，甚至是假定信任的应用程序（例如uTorrent）的安装程序，默认情况下也会安装广告软件和间谍软件，而无需花时间阅读所有复选框的含义。

对抗黑客使用的社交工程技巧的最佳方法是反向社交工程 -如果您掌握了此技术，则即使没有杀毒软件或防火墙，您也将能够避免大多数类型的威胁并保持系统的清洁和健康。

如果您发现系统中存在恶意/未经请求的生命形式的迹象，唯一的解决方案是完全重新格式化并重新安装系统。按照此处其他答案所述进行备份，快速格式化光盘并重新安装系统，甚至更好的是，将有用的数据移至某些外部存储，并从之前进行的干净分区转储中重新镜像系统分区。

某些计算机具有BIOS选项，可将系统还原为原始出厂设置。即使这看起来有些过大，也不会造成伤害，更重要的是，这将解决所有其他最终问题，无论您是否意识到这些问题，而不必一个个处理每个问题。

“修复”受损系统的最佳方法是完全不修复它，而是使用某种分区映像软件（例如Paragon Disk Manager，Paragon HDD Manager，Acronys Disk Manager，或者例如，dd如果您从Linux进行备份。

参考上面的William Hilsum“我如何摆脱这一点：使用Live CD”：

病毒无法在实时CD环境中运行，因此您可以临时使用计算机，而不必担心进一步感染。最重要的是，您可以访问所有文件。贾斯汀·波特（Justin Pot）在2011年6月20日撰写了一本名为“ Live CD的50酷用法”的小册子。本手册的开头介绍了如何从CD，闪存驱动器或SD卡引导，第19-20页介绍了有关使用不同的“反病毒软件”进行扫描的操作，其中一些已经提到过。在这种情况下，给出的建议非常宝贵，并以易于理解的英语进行了解释。当然，本手册的其余部分对于您的其他计算需求来说是无价的。（下载链接（PDF格式）从下面的链接中提供。在使用Internet时请切记要明智，不要试图误入“地方” 恶意软件很可能潜伏的地方，您应该没事。您可能使用的所有防病毒软件，Internet安全套件等都应具有最新更新，并且您可能使用的任何操作系统也应保持最新。

http://www.makeuseof.com/tag/download-50-cool-live-cds/

点击或复制并粘贴以上链接后，请点击

下载Live CD的50酷用法（以蓝色写成）

请注意，我试图在评论部分中编写此代码，但无法满足要求。因此，在官方答复中给出了它，因为它非常宝贵。

两个要点：

1. 首先不要被感染。使用良好的防火墙和防病毒软件，并练习“安全计算”-远离可疑站点，并在不知道来源来源时避免下载内容。
2. 请注意，网络上的许多网站都会在您未被感染时告诉您-他们想要诱使您购买其垃圾的反间谍软件，或者更糟的是，他们希望您下载某些东西，实际上，间谍软件伪装成“免费的反间谍软件应用程序”。同样，请注意，该网站上的许多漏洞（大多是出于愚蠢）会诊断出任何“奇数”错误，尤其是Windows以间谍软件引起的注册表损坏。

如本主题之前的建议，如果确定您已被感染，请使用linux live CD启动计算机并立即备份所有敏感数据。

将敏感文件存储在与操作系统引导驱动器不同的硬盘中也是一种好习惯。这样，您就可以安全地格式化受感染的系统，并对敏感数据进行全面扫描，以确保安全。

事实上，除了格式化系统分区以确保您运行的是无病毒和无恶意软件的环境外，没有什么最好的解决方案了。即使您运行了一个好的工具（毫无疑问，这里还有很多工具），总会有一些遗留物，您的系统目前看起来可能很干净，但是它肯定会成为一个定时炸弹，等待稍后爆炸。

2012年12月8日，Remove-Malware发布了一个名为“ Remove Malware Free 2013 Edition”的视频教程，以及补充指南，概述了如何免费从受感染的PC上清除恶意软件。

他们概述

• 备份–如何备份重要的个人文档，以防万一您的PC无法访问。
• 收集本指南所需的软件。
• 可启动防病毒软件–为什么可启动防病毒软件是删除恶意软件的最佳方法。
• 可启动防病毒光盘–如何创建可启动防病毒光盘。
• 可启动防病毒光盘–如何使用可启动防病毒光盘扫描您的PC。
• 清理–清除残留物并将其清除。
• 防止它再次发生

视频教程的时长超过1个小时，并且与书面指南一起是一个很好的资源。

视频教程：链接

书面指南：链接

更新：

J. Brodkin今天在2013年2月1日写了一篇非常有启发性的文章，标题为“病毒，特洛伊木马和蠕虫，哦，我：恶意软件的基础知识移动恶意软件可能很流行，但PC恶意软件仍然是大问题。” 来自arstechnica.com的文章重点介绍了恶意软件和不同类型的恶意软件的持续问题，并分别说明了以下问题：

• 后门
• 远程访问木马
• 信息窃取者
• 勒索软件

本文还重点介绍了恶意软件，僵尸网络操作和受攻击企业的传播。

简短答案：

1. 备份所有文件。
2. 格式化系统分区。
3. 重新安装Windows。
4. 安装防病毒软件。
5. 更新您的窗口。
6. 在开始使用防病毒软件扫描之前，请先对其进行扫描。

今天，除非擦除驱动器并重新开始，否则您永远无法确定已完全清除了侵扰。

我认为诸如MSE，MCAfee，Norton，Kaspersky等AV程序不能为您提供100％的保护，因为它们的定义文件总是紧随事实之后-在恶意软件已经出现在网络上并且可以做很多事情之后损坏。而且其中许多保护您免受PUP和广告软件的侵害。

我也认为恶意软件已经损坏了系统，因此像Malwarbytes，Superantispyware，Bitdefender扫描仪之类的扫描仪和其他扫描仪都无法提供很大帮助。如果扫描仪数量足够，则可以删除该恶意软件，但无法修复该恶意软件造成的损害。

因此，我制定了两层策略：

1. 我每周将系统分区和数据分区的映像（我使用免费的Macrium）制作到两个仅在映像过程中连接的外部磁盘上。因此，没有恶意软件可以到达他们。如果我的系统无法正常工作，我可以随时还原最新映像。我通常会保留六张完整的图像，以防万一我不得不回到上周。另外，我在操作系统中启用了系统还原，以便在更新错误的情况下可以快速退回。但是系统映像（阴影）不是很可靠，因为它们可能由于各种原因而消失。仅依靠系统映像是不够的。

2. 我的大部分互联网工作都是在虚拟Linux分区上进行的。Linux本身不是恶意软件的目标，Windows恶意软件不能影响Linux。使用该系统，我可以

将所有下载内容移至Windows系统之前，请先使用Virus Total进行检查。Virus Total通过60个最著名的AV程序运行文件，如果文件干净，则非常干净的机会。

我无法百分百确定自己干净的网站的所有Internet访问-例如此处的此网站。

我所有的邮件。这就是Gmail和AOL的优势。我可以使用浏览器查看邮件。在这里，我可以打开任何邮件而不必担心会感染病毒。和附件，我通过Virus Total运行。

我所有的网上银行。Linux为我提供了额外的安全性

通过这种方法，多年来我还没有看到任何恶意软件。如果您想尝试一个虚拟的Linux分区， 这里是如何。

感染的症状是什么？

用户可能无法从性能或任何其他方式理解它，在这种情况下，如果没有100％的准确性，任务管理器中可能会看到某些东西在运行，并且他不知道它是什么或它是如何出现的。但是，有时计算机性能会变差，程序运行缓慢，或者根本不运行，或者发生任何其他情况……这些症状确实有所不同，并且在某些情况下，感染可能是显而易见的，几乎无需三思而后行。即使出现问题也很难理解。一切都取决于您所感染的内容（病毒，特洛伊木马，随便命名），并且主要取决于由此引起的灾难。

注意到感染后该怎么办？我该怎么做才能摆脱它？1.使用防病毒软件扫描计算机。（KAspersky Internet Security，McAfee，Avast等）。请记住，即使使用BEST防病毒软件，也可能会发现您感染了什么病毒，但不会进行消毒100％保证。2.保留文件备份（确保它们也没有被感染），并确保清除计算机中所有被感染的文件，即使这意味着要删除它们。如果使用它们，您将再次受到感染，因此无论如何都应考虑它们已丢失。您可能想尝试使用其他防病毒程序，没关系，但是抱有很高的期望。3.消除感染的最好/更快/最有效的方法是格式化磁盘驱动器并进行操作系统的全新安装。4.如果您要使用任何备份，请确保在应用之前使用防病毒程序重新扫描它。在您无法理解某些问题之前，它可能也已被感染。

如何防止恶意软件感染？

1. 如今，使用防病毒软件，大多数防病毒程序都是针对几乎所有类型的恶意软件/病毒等的解决方案。请记住，预防胜于以后尝试解决问题。在大多数情况下，它们会提供很大的帮助。SpyHunter，恶意软件字节，Spybot等应用程序也非常适合提供一些额外的保护。使用防火墙也有帮助。请记住，即使您的计算机处于脱机状态且没有互联网连接，仍然需要防病毒软件。原因？您可能会使用CD，U盘，DVD或其他来自可能受到感染的朋友/客户的文件。即使在这种情况下，防病毒软件仍然可以提供保护
2. 从受信任的来源下载/安装/使用软件。
3. 输入受信任的互联网站点。
4. 确保您的操作系统始终处于最新状态！更新不仅是为了获得最佳性能，而且也是为了安全。

从外部或通过实时CD扫描恶意软件的问题在于，这些令人讨厌的软件中有许多都与内存进程，驱动程序等挂钩。如果未加载PC的操作系统，那么它们也将导致令人沮丧的删除过程。引导受感染的操作系统时，始终扫描恶意软件。

话虽如此，在USB驱动器上使用RKILL副本加载Windows。运行此实用程序可以杀死在后台烦扰的任何恶意软件进程，使您可以继续进行删除。这是非常有效的。我还没有遇到该程序无法完成工作的情况，令我惊讶的是有多少技术人员从未听说过该程序。

接下来，我选择使用恶意软件字节或ComboFix进行扫描。这些扫描仪的好处是，它们没有利用病毒定义，而是根据行为无情地定位恶意软件，这是一种非常有效的技术。只是警告一下-它们也更加危险，并且确实会破坏操作系统上的一些严肃的商店。确保您有备份。

上述过程有90％的时间对我有用，而且我每天都会删除大量此类内容。如果您有额外的偏执狂，使用AVG，SuperAntiSpyware或Microsoft Security Essentials之类的软件进行扫描可能不是一个坏主意。尽管我还没有看到这些程序能够检测到比无害的跟踪器cookie还要多的东西，但有些人还是对它们发誓。给自己省心，如果需要的话，就去做。