如何修复感染了恶意软件且反应迟钝的计算机?[重复]

103

可能重复:
如何从PC上清除恶意间谍软件,恶意软件,病毒或Rootkit?

我正在为朋友对Windows 7 PC进行故障排除。几天前,它开始运行“缓慢”。事实证明,“慢”大约需要15分钟才能看到桌面,另外30分钟可以显示图标。它可以打开任务管理器,似乎没有任何出错,CPU占用率在1-5%,大量的可用内存。

不过,这台机器显然感染了恶意软件,特别是一个名为“ Optimizer Pro”的程序要钱,要求“删除5102个文件,使我的计算机变慢”。这似乎非常可疑。

但我的问题是,我无法访问msconfig(希望将其输入到“开始”菜单并按Enter键后,我将其保留了几个小时-似乎未加载任何内容),或者根本什么都无法访问。我可以从Linux Live CD引导,但实际上可以从那里做任何有用的事情吗?

系统还原也没有修复它,并且安全模式表现出相同的行为。

windows-7  malware 
弗雷德利
source
键入开始菜单后,您需要等待项目出现。我以前曾经经历过。例如,使用cmd看到的延迟就是应用程序本身启动了
Cole Johnson
5
我最近在家庭成员的笔记本电脑上发生过这种情况。一旦我能够进入它,我就安排了一个chkdsk,它在三次尝试后就无法完成,并报告磁盘太乱了,无法修复任何东西。磁盘已被替换,我将其安装在USB到SATA设备上,以查看是否可以从中拉出任何文件。这可能与您的问题无关,但是“检查”不会有什么坏处。
Bratch
1
鲍里斯·特鲁霍夫
29
“从轨道上对站点进行核对,这是唯一可以确定的方法。” -与所有严重恶意软件感染的情况一样,我建议您使用Linux实时光盘抢救您可以使用的数据,然后重新安装Windows。否则,您很有可能不会清除非常少的恶意软件,或者稍后不得不重新开始修复它,或者(并且可能会造成破坏性的)某人会在假定机器干净的前提下继续使用它,尽管事实并非如此。
fgysin 2012年
2
试试format c:/
Phillip Schmidt 2012年

Answers:

244

我建议重新安装Windows

如果您要挽救现有安装,最终将花费数小时甚至是数天的时间,而您的工作无所作为。即使您能够成功运行所有恶意​​软件删除工具,我也不相信实际上已删除了所有恶意软件,因为按照定义,恶意软件作者总是比恶意软件删除作者领先一步。一旦一台机器被感染,这很严重,它可能充满了各种各样的坏东西。

所以...

  1. 格式化硬盘
  2. 安装Windows

并且,如评论者所建议的那样,您应假定旧安装中的所有文件和数据均被感染,因此不值得信任。

HairOfTheDog
source
60
虽然我通常不愿简短回答,但缺乏细节,但这四个词确实说明了一切。可能会更容易。
Shinrai 2012年
34
“从轨道上核潜艇,这是唯一可以确定的方法”-据说,这样做实际上会更快。
Journeyman Geek
48
无论速度如何,这都是正确的方法。在过去的几年中,恶意软件变得既狡猾又卑鄙。Sneakier可以成行携带,使用Malwarebytes之类的工具或其他工具来消除明显的症状可能仍然留下不太明显的键盘记录程序或rootkit。Nastier不仅显示广告或工具栏,而且还很可能会显示信用卡或银行信息。将两者放在一起,再也不用尝试清洁机器了。首次确认感染后,立即执行备份/重新安装/还原技术。
Joel Coehoorn 2012年
36
我将其发布在下面作为答案,但是在执行此步骤之前,我告诫您首先查看它是否存在硬件问题。如果它的硬盘驱动器发生故障,则重新安装Windows将无济于事。如OP所述,它仅以1-5%的速度运行并且内存使用率较低。在安全模式下,它执行相同的操作。这些也是硬件故障的征兆,因此安全起见并检查真正的问题是否是硬盘驱动器故障,然后才对它进行核对,这并不会伤害到它,只是发现其运行速度仍然非常慢!
Bob
16
在采取这一步骤之前,我会同意鲍勃的意见。引导linux live CD / USB,然后查看它是否可用。如果一切正常,则可能不是硬件问题。使用linux live CD / USB,还可以让您在重新安装之前先将可以保存的所有数据(照片,音乐等)复制到外部驱动器中。
集市
57

各种防病毒供应商都提供了可引导的救援/扫描CDROM。两个免费的是:

卡巴斯基救援磁盘10

Kaspersky Rescue Disk 10设计用于扫描和清除已被感染的x86和x64兼容计算机。

当感染严重到无法使用在操作系统下运行的防病毒应用程序或恶意软件清除实用程序(例如Kaspersky病毒清除工具)来对计算机进行消毒时,应使用该应用程序

AVG救援CD

AVG Rescue CD在系统崩溃的情况下使您的业务迅速恢复正常运行。

删除感染,修复文件并恢复系统。

Brian
source
5
我强烈建议使用卡巴斯基可启动防病毒软件。理想情况下,可以使用有线 Internet连接来更新病毒定义,而不必担心设置WiFi连接。
David Schwartz
1
好建议!首先,尝试使用上述免费工具清洁系统。如果这样做没有帮助,那么重新安装Windows系统可能是唯一的选择。别忘了备份,安全的选择是拆卸HDD并将其作为外部驱动器连接到另一台计算机上。
GregD 2012年
3
@GregD如果您没有合适的无尘室和适当的工具,您当然不希望尝试拆卸硬盘驱动器。您可能需要将其从计算机中删除,然后将其安装在其他计算机(或外部机箱)中,但这远非同一件事。
CVn 2012年
3
卡巴斯基 AVG不!
pratnala 2012年
2
当我在类似情况下进行尝试时,AVG说系统很干净。甚至没有病毒的迹象。但是卡巴斯基抓住了罪魁祸首。之后,对AVG失去信任。使用了2年以上。过去3年以来一直在卡巴斯基工作。KIS不是KAV
普拉特纳拉
31

我将跳到这里,首先询问更多有关此的信息,然后发表关于计算机的假设。您说过它仅使用1-5%的CPU,但是它运行缓慢吗?我并不是说它没有被病毒或任何东西所困扰,因为它可能确实存在,但我确实要指出,这是在向我尖叫错误的硬件。下次打开任务管理器时,请检查资源监视器。这是使用资源监视器的简单指南。

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

打开任务管理器,然后转到“性能”选项卡。底部是资源监视器的按钮。打开后,查看顶部的“磁盘”选项卡,查看并查看请求花费了多长时间。查看我的计算机和在该站点上找到的计算机映像,我猜想对于非SSD驱动器,您期望的是不到100毫秒的响应时间。如果计算机对所有内容的响应时间均超过1秒,则无论您如何启动计算机,计算机的速度都会变慢。在这里评论,让我们知道磁盘响应时间是否缓慢。如果是这样,您可以尝试在驱动器上运行Check磁盘,并永远等待它完成,然后查看是否可以解决问题。

请记住,这可能不是问题,但如果是这样,那么重新安装Windows或运行病毒扫描将无法解决问题。

鲍勃
source
2
那就是假设他可以打开它。他的计算机看上去确实太慢了……对于他报告中的任何内容,他必须等待一两个星期才能回答。
Journeyman Geek
4
资源监视器中的一个很好的指标是磁盘队列深度-如果这个值一直很高,则说明硬盘驱动器发生了抖动(即总线速度“瓶颈”)。这将导致速度降低,而不会对RAM或CPU的使用造成太大影响(请在性能良好的PC上进行病毒扫描时进行检查)。
HaydnWVN 2012年
1
由于当前安装太慢,因此在Live CD中检入可能会更容易。我不确定您会运行哪个程序。
布伦丹·朗
这些都是好点。我提到使用资源监视器是因为他说他能够打开任务管理器,所以我只是假设他也可以使用资源监视器。
鲍勃
30

要将我的想法添加到组合中...

尝试取出有问题的硬盘驱动器,然后将其插入外部存储盒中,然后将其插入工作正常的PC中。然后,您可以检查磁盘,运行防病毒/恶意软件检查,碎片整理等。

另外,请尽量利用所需的文件(请注意不要复制任何可能感染另一台PC的文件。显然,在执行此操作之前,请确保主机PC得到了良好的保护。

如果将硬盘驱动器放回原位后仍无法正常运行,则可以考虑重新安装Windows。花费时间来解决任何其他问题将是不值得的。

李·泰勒
source
7
在此之前,我做得很好,我将其修改为建议使用Linux活动光盘,并在整个过程中对数据进行扫描。使用实时光盘,您可以在受感染的设备上完成全部操作。
nerdwaller 2012年
1
为什么这不是最好的答案?显然,这与简单的重新安装方法相反。
stefan 2012年
1
因为该方法将是保存您的文档和照片,然后重新安装。
WindowsEscapist 2012年
3
这很危险,因为驱动器很容易感染新计算机。从Linux Live CD引导并以这种方式保存内容,然后对其进行核对并重新安装,会更好。
2012年
12

如果您可以启动进入安全模式,我会这样做。

以上所有都不会花费您一分钱。

Whinston Gordon最近在2012年11月6日为Lifehacker撰写了一篇出色的文章,标题为“您对慢速PC所做的假设(以及为什么它们可能是错误的)的假设”对所有人都有益。希望您能读到有趣的文章!

Simon
source
6
OP指出,安全模式的运行速度仍然和正常情况一样慢,因此这并没有真正的帮助。
克里斯·F(ChrisF)2012年
像Hiren的Boot CD这样的Boot CD无法从Windows启动,因此安全模式的速度与该选项无关。
Zoot
11

下载并启动任何linux live发行版,以检查计算机是否因某种原因(故障的RAM,坏的硬盘驱动器等)出现故障,或者安装的窗口太旧(可能是病毒攻击)。如果发生病毒攻击,您可以使用病毒扫描程序下载http://free.drweb.com/可引导的实时CD,以确保您的PC干净。免费的drweb扫描器每天都会更新几次,因此它甚至可以检测和治愈最新的恶意代码。

安德烈
source
8

我使用的最好的工具是Malwarebytes。几年前我在IT部门工作时就使用了它。此外,卡巴斯基和AVG(如上所述)一样,或两者兼而有之。

另一个不错的选择,包括实时的Malwarebytes映像,是Hiren的BootCD直接下载链接)。

修订版nerdwaller
source
以及他们应该如何正确安装,如果仅花费超过45分钟即可启动,更不用说运行它了?
Synetech
1
现场光盘。Hiren的BootCD上有一个独立服务器。
nerdwaller 2012年
2
你应该以前这么说过 ; 现在为时已晚
Synetech
1
因此,为什么我添加它来帮助。
nerdwaller 2012年
1
@ paulsm4以我的经验,90%的AV套件几乎错过了所有感染(在愚蠢的Tracking Cookies之外,当您意识到人们如何使用Facebook到处登录时这是无害的)。可悲的是,付钱的人是最坏的罪犯...太神奇了!在极少数情况下,我运行Windows-对我来说是MSE
nerdwaller 2012年
8

归根结底,我仍然认为@hair of dog的答案可能是“最佳”解决方案。

另一方面,留一个问题可能不是解决问题的方法。

这实际上是先前答案中的简化版本,还有更多观察结果。

以我的经验,硬盘驱动器是计算机速度降低的主要原因。它们是具有许多故障和错误模式的古怪设备。还有其他原因值得一看

在这种情况下,引导至通用的Linux live CD非常有用。调查可能的驱动器问题时,您需要做两件事。首先,您要询问驱动器在这里是否可以正常运行smartmontools(或它的图形前端gsmartcontrol)。您通常需要“健康”的结果。在执行此操作时,您可能还需要运行hdparm -Tt /dev/sdXx几次以获取磁盘速度的基准测试结果。在运行良好且足够相似的磁盘上运行同一命令,以查看其速度是否确实较慢。

我也建议此时进行文件级恢复。安装不干净的驱动器不会在Linux中自动安装-您需要执行a mount -f /dev/SDXx /mount/point强制将其安装。如果根据smartmontools明显损坏了磁盘,请使用以恢复为中心的DD变量进行备份-Gnu ddrescue是一个不错的选择。这将创建一个跳过不良扇区的图像

假设磁盘没有问题,那么它将变得很棘手。您可能会运行脱机AV扫描以尝试清理它,然后将其弹出到另一个系统中以进行维护。

您也可以挂载另一个Windows系统的注册表配置单元,以手动编辑启动项(花更多时间从Windows系统进行病毒检查和碎片整理),或者使用脱机密码更改器磁盘中的注册表编辑器(假设您知道自己在做什么)。重新寻找。

如果我们正在使用Windows工具进行与恢复/修复相关的活动-您可能要考虑构建PE磁盘(如果您不介意基于XP的活动磁盘,则为bartpe),或者为这些任务使用单独的“一次性”安装以减少恶意软件交叉污染的风险。

在这一点上,您应该确定磁盘速度是否慢,是否为恶意软件,以及是否值得花时间修复它。您还应该获取数据。如果其恶意软件以及脱机扫描和注册表编辑失败,则可以从livecd中运行切丝以擦除磁盘。如果其硬件出现故障,则可以从该dd备份中还原。如果以上都不是,那么事情会变得有趣

Journeyman Geek
source
2

您检查过硬盘了吗?也许它有一些坏扇区,每当访问某些文件时,都会导致很长的延迟。尝试chkdsk /r以安全模式运行(或使用其他磁盘修复工具)。

yinch3ng
source
1

建议重新安装。但是,如果设备上有数据您无法承受丢失,那么您可能想尝试Microsoft Defender Offline

基本上,它使您可以绕过操作系统,然后可以对硬盘进行扫描。确保下载一个新副本,以便您拥有最新的防病毒定义。

如果之后PC仍然很慢,则可以尝试使用Linux CD / USB进行引导以复制数据,然后重新安装Windows。但是请确保在将另一台受保护的计算机上备份的硬盘驱动器复制回旧计算机之前,对其进行扫描。

编码用户
source
1

至少,这种恶意软件会以环保的方式降低PC的速度,并且不会使CPU占用最大内存!

原始问题的简短答案是如前所述重新安装。但是,如今,恶意软件作者知道大多数人只是简单地重新安装而不是尝试删除,因此大多数人仅采取针对自动化工具的对策,而不是终端机上的博学专家。因此,如果不希望重新安装,并且您不介意浪费几个小时(或更长时间),则删除大多数恶意软件通常不太难。

但是,您需要熟悉命令提示符,并能够将恶意软件与合法软件区分开。这里没有替代经验的方法,但是我发现下面的方法是有效的。

首先准备环境:

  1. 从另一台干净的PC上,下载Sysinternals套件的副本,然后将其复制到USB记忆棒(或在可能的情况下,直接复制到PC的硬盘驱动器)。
  2. 将其中两个实用程序procexp.exe和autoruns.exe重命名为随机文件名(但要记下便可以识别它们!)
  3. 断开所有网络连接。
  4. 以安全模式启动计算机,进入桌面。安全模式不是必不可少的,但它会有所帮助,因为将减少正在运行的进程,而恶意软件应更容易脱颖而出。出于相同的原因,使用干净的用户配置文件也可以提供帮助,但是由于用户注册表中可能存在条目,因此这可以掩盖您的感染。
  5. 以管理员身份打开命令提示符,然后运行taskkill /F /IM explorer.exe以杀死资源管理器。这样可以阻止相当数量的恶意软件,使清除过程更容易。如果您无法运行命令提示符,则从另一台PC重命名的副本可能是有效的(有时您只需在同一台计算机上进行复制就可以摆脱困境)。
  6. 在命令提示符下,启动procexp并通过重命名的可执行文件自动运行。请注意,恶意软件可能会检测到哈希或其他特征并阻止您启动这些工具,但是至少进行哈希处理并不是一种可靠的方法,因为它们经常更新。通常,针对这些工具的任何对策都会寻找文件名。

在这里,您可以使用自动运行和procexp来删除恶意软件,但这与科学一样重要。Procexp向您显示当前正在运行的内容,自动运行向您显示其运行方式。寻找的模式是:

  • 看起来是随机生成的文件名
  • 从临时目录运行的软件
  • 在用户个人资料中运行的软件。对于Vista和更高版本,为了避免出现提升提示,从配置文件运行软件变得更加普遍,但是大多数合法软件仍将安装到程序文件中。鉴于该用户显然具有root用户访问权限,因此您将在系统目录中寻找它,但是该目录中可能有一个观察者,通常感染源于用户配置文件中的某个位置(下载,Internet临时文件)。
  • C:\ Windows和System32中最近修改的文件
  • 接近合法Windows二进制文件的名称,例如cmd.exe,services.exe(或相同的文件名,但位置错误)。我看过cnd.exe,service.exe。在我的时候explorer.exe。
  • Rundll32.exe条目。许多文件都是合法的,但是请检查进程以查看加载了哪些DLL。

拆卸技巧:

  • 在尝试杀死进程并删除条目之前简单地收集信息可能会有所帮助-这为您提供了更全面的概述,并且快速连续地采取多个步骤比孤立地做事更有效,因为观察者进程可以非常快地完成工作带您回到步骤1。
  • 对于任何明显的事情,请使用procexp的kill和delete函数。如果失败,有时可以echo > "c:\path\to\malware.exe"在命令提示符下使用空白来清除文件,然后执行kill and delete操作。
  • 使用自动运行来查找它的挂接位置。之所以使用此工具,是因为它似乎很完整,缺少rootkit或修改系统可执行文件,没有太多其他方法可以启动恶意软件(如果有)。为了节省时间,请使用“隐藏Microsoft条目”选项,该选项默认情况下处于禁用状态。
  • 如果您在自动运行程序中找到一个钩子,该钩子会为每个exe加载DLL,则您正在运行的进程(包括检测工具)将使恶意软件保持活动状态。在这种情况下,您需要使用上述echo命令将有问题的DLL清空,杀死并重新启动所有软件(每次运行程序均会导致DLL错误),然后重新启动。但是,请确保您先卸下了所有其他挂钩。
  • 可能存在一个监视程序,该监视程序寻找对恶意软件的修改并将其还原。在这种情况下,您可能必须同时执行多个操作,而执行此操作的唯一可靠方法是使用批处理脚本。但是根据检查间隔,足以按顺序快速执行步骤。
  • 如果找不到任何东西,而事实证明它是一个rootkit,则查找和删除它变得更加困难-您需要绕过更高级别的Windows API的工具。这可能超出了超级用户答案所涵盖的范围,但是使用RootkitRevealer后跟linux boot cd删除实际文件可能是有效的(记住要重命名exe)。
  • 如果您需要重新启动后才有信心将其完全移除,那么切断电源而不是进行有序的重新启动可以消除再次感染的机会。只需确保您先备份了他们的数据即可。

鉴于这种特定的恶意软件需要花费大量资金来修复计算机并降低计算机速度,因此DLL加载方法很有可能。它可能不会修改系统文件或安装Rootkit,因为这样做可能会导致完全破坏系统的风险更大。因此,您应该可以使用上面的常规方法将其删除,但是如果您仅丢失一个钩子,则很可能在下次启动时恢复到原来的状态。

如果这听起来很费劲,那就可以了。重新安装通常更容易,一旦计算机上装有恶意软件,您将永远无法完全信任计算机。但是我个人觉得这很有趣-是您与恶意软件编写者的对决,而且您拥有在控制台上成为人类的明显优势!

亚历克斯·福布斯
source
0

您可以看看Windows Defender Offline,它会扫描恶意软件并为您提供修复的选项。

德文尼
source
1
在运行速度如此慢的计算机上,这显然不是可行的解决方案。您甚至怎么打开它?这个家伙需要一种在损坏的环境之外进行修复的方法,无论是什么。在当前Windows安装中必须安装并运行的某些东西与该问题无关。
Caleb 2012年
1
它是做什么的。它已离线,启动安装了CD或USB驱动器的CD或USB驱动器,以扫描未运行的系统中是否存在恶意软件(在我发布的链接中进行了详细说明)
deveneyi 2012年
@Caleb:我看不出这个答案有什么问题。
Mehrdad
0

为简化起见,您可能遇到硬件问题,软件问题或两者都有。

确定您的计算机是从CD引导还是从USB引导,以及从外部媒体引导的步骤(如果默认情况下已禁用)。快速的Google搜索通常会加快此过程。

使用活动光盘(如Ultimate Boot CD)检查RAM和硬盘驱动器是否有错误。使用Memtest86 +测试RAM ,并使用硬盘驱动器制造商的测试套件,例如WD硬盘的DLG。这将排除内存和硬盘驱动器问题中的大多数问题。如果要排除散热问题,也可以检查系统温度。

接下来,运行Linux live CD或从USB启动Linux发行版。如果这没有问题,并且比已安装的系统运行快得多而又没有任何稳定性问题,那就是启动和启动时间。此时,将任何“不能丢失”的内容从硬盘驱动器转移到某种外部介质上。您需要先扫描这些文件中的恶意软件,然后才能在干净的PC附近找到它们。最好在某种现场环境中进行扫描。

如果您还没有尝试过还原分区,则可以从此处选择执行“破坏性还原”,但是我对还原分区的信心不足,因为它们可以像正常分区一样被恶意软件感染。在这里,成为Linux用户会很不错,因为您不必费心许可证密钥和安装介质。

如果您决定继续使用Windows,请按以下步骤操作:

找到系统还原光盘或您要安装的操作系统的合法版本。确认它是“完整”版本,而不是需要现有操作系统以前版本才能安装的“升级”版本。确保您具有许可证密钥并正确输入。如果还原无法正常进行,请致电制造商;如果操作系统安装错误,请致电Microsoft。

取出前面提到的“ Ultimate Boot CD”,然后运行Darik's Boot和Nuke。删除驱动器需要一段时间。由于您打算重新安装,因此可以使用一种较快速的格式化模式。“快速擦除”或“ DoD短路”应该可以解决问题。

从头开始在(现在为空白)硬盘驱动器上安装操作系统。

如有必要,将经过多次病毒扫描的旧文件传输回最新的操作系统安装中。享受安装软件和系统更新的过程。

诅咒自己没有最新的备份或实施系统映像备份例程。发誓要做得更好,并希望以后不会再有。可能会有下一次。

Zoot
source
-1

正确的解决方案是对其进行核对并重新安装Windows。如果这根本不是解决方案,则唯一的其他合适解决方案是使用实时cd / usb linux安装程序从Windows安装外部运行防病毒软件包。

我仔细阅读了给出的答案,很惊讶地发现Trinity Rescue Kit尚未被提及!

当我尝试从受感染的计算机中删除恶意软件/病毒/ rootkit时,此软件套件是我的解决方案。它拥有3-4种不同的软件解决方案,这些解决方案将在开始扫描/清理过程之前进入互联网并获取其最新定义。

g19狂热者
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.