Come posso risolvere un computer che è infestato da malware e non risponde molto?

Possibile duplicazione:
Come faccio a eliminare spyware, malware, virus o rootkit dal mio PC?

Sto cercando di risolvere un PC Windows 7 per un amico. Un paio di giorni fa ha cominciato a funzionare "lento". Si scopre 'lento' è di circa 15 minuti al primo scorcio del desktop, e altri 30 per mostrare icone. È ansible aprire Task Manager e niente sembra impreciso, l'utilizzo della CPU a 1-5%, abbondanza di memory.

La macchina è chiaramente infestata da malware, in particolare un programma chiamato 'Optimizer Pro' richiede soldi per rimuovere 5102 file che rallentano il computer '. Questo sembra molto sospetto.

Il mio problema è però che non posso accedere a msconfig (ho lasciato per un paio d'ore dopo averti sperato di aver digitato il menu Start e premuto inserire – niente sembra aver caricato), o qualsiasi altra cosa fondamentalmente. Posso fare il boot da un CD Linux Live, ma posso effettivamente fare qualsiasi cosa utile da lì?

Il ripristino di sistema non lo ha ancora risolto e la modalità provvisoria ha lo stesso comportmento.

Raccommand di reinstallare Windows

Se si tenta di salvare l'installazione esistente si finisce per trascorrere ore o, probabilmente, i giorni che lavorano su di esso e non hanno nulla da dimostrare per i vostri sforzi. E anche se fossi in grado di eseguire correttamente tutti gli strumenti di rimozione di malware, non crederei che tutti i malware siano stati effettivamente rimossi perché, per definizione, gli autori di malware sono sempre un passo avanti rispetto agli autori di rimozione di malware. Una volta che una macchina è infettata questo male è probabilmente caricato con tutti i tipi di roba ctriggers.

Così…

  1. Formattare il disco rigido
  2. Installare Windows

E, come suggerisce uno dei commentatori, si dovrebbe supporre che tutti i file e i dati della vecchia installazione siano infetti e non devono essere attendibili.

I vari fornitori di antivirus dispongono di CDROM di salvataggio / scansione avviabili. Due gratuite sono:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 è progettato per eseguire la scansione e la disinfezione dei computer compatibili x86 e x64 che sono stati infetti.

L'applicazione dovrebbe essere utilizzata quando l'infezione è così grave che è imansible disinfettare il computer utilizzando applicazioni anti-virus o utilità di rimozione di malware (ad esempio Kaspersky Virus Removal Tool) in esecuzione nel sistema operativo.

AVG CD di salvataggio

AVG CD di salvataggio Ottenga il vostro lavoro e funziona rapidamente in caso di arresti del sistema.

Rimuove le infezioni, ripara i file e recupera i sisthemes.

Ho intenzione di entrare qui e chiedere di più su questo in primo luogo, e poi postare le mie ipotesi sul computer. Hai detto che la sua utilizzando solo 1-5% della CPU, ma il suo ancora in movimento lentamente? Mentre non sto dicendo che non è pieno di virus o niente perché potrebbe essere molto, voglio sottolineare che questo mi sta gridando hardware difettoso. La prossima volta che si ottiene il Task Manager, andare a controllare il monitor di risorse. Ecco una semplice guida per l'utilizzo del monitor di risorse.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Apri il task manager e vai alla scheda Performance. Nella parte inferiore c'è un button per il monitoraggio delle risorse. Una volta aperta, controlla la scheda Disk in alto e guarda e vedi quanto richiedono le richieste. Guardando il mio computer e l'image del computer trovato in quel sito, intendo che per un'unità non SSD, i tempi di risposta di 100 millisecondi sembrano essere quello che stai cercando. Se il computer ha più di un secondo di risposta per tutto, il computer sta per essere lento, non import come si avvia. Commenta qui e fai sapere se il tempo di risposta del disco è lento. Se è vero, puoi provare ad eseguire un disco di controllo nell'unità e aspettare per sempre per finire e vedere se risolve il problema.

Ricorda che questo potrebbe non essere il problema, ma se è così, reinstallare le windows o eseguire una scansione di virus non risolve il problema.

Per aggiungere le mie idee al mix …

Provare a togliere l'hard disk offensivo e collegarlo ad un caddy esterno, quindi collegarlo a un PC funzionante. È quindi ansible controllare il disco, eseguire controlli anti-virus / malware, deframmentare, ecc.

Inoltre, salvare ciò che è ansible dei file necessari (facendo attenzione a non copiare tutto ciò che potrebbe infettare un altro PC. Ovviamente, assicurarsi che il PC host abbia una buona protezione prima di farlo.

Se dopo aver posizionato il disco rigido e funziona ancora male, considero di reinstallare Windows. Il tempo necessario per risolvere qualsiasi altra questione non ne vale la pena.

Se riesci ad avviare la modalità di sicurezza, lo farei.

  • Malwarebytes antimalware è un ottimo programma gratuito come sopra indicato e hanno appena rilasciato un programma Antirootkit anche sebbene in versione beta

  • Sono anche un fan di DR Web Cureit Free Antivirus (su richiesta scanner)

  • Il CD di avvio di Hiren è probabilmente uno dei più diffusi CD di avvio del malware disponibili

  • Potrebbe essere il caso che il computer è particolarmente frammentato e potrebbe essere necessario deframmentare, nel qual caso consiglio l' Ultradefrag Free Edition

  • Ccleaner per pulire tutti i rifiuti sul tuo sistema

Tutto il modo sopra non ti costerà un centesimo.

C'è un ottimo articolo scritto di recente dal 6 novembre 2012 da Whinston Gordon per Lifehacker che penso sarebbe utile a tutti, intitolato "Le supposizioni che fai sul tuo PC lento (e perché sono probabilmente sbagliate") . Speri che la trovi una lettura interessante!

Scaricare e avviare qualsiasi linux live distro per controllare se la macchina è in qualche modo disabilitata (RAM difettosa, disco rigido difettoso, …) o è semplicemente troppo vecchia window di installazione (forse attacco di virus). In caso di attacchi di virus è ansible scaricare http://free.drweb.com/ bootable live cd con scanner per virus per essere sicuri che il PC sia pulito. Lo scanner gratuito drweb ci ha aggiornato diverse volte al giorno in modo che sia in grado di rilevare e curare anche il più recente codice dannoso.

Lo strumento migliore che ho usato è Malwarebytes . Lo uso quando lavoravo in IT qualche anno fa. Inoltre, Kaspersky è buono come è AVG (come suggerito sopra), o una combinazione di tutti.

Un'altra big opzione, che include l'image live di Malwarebytes, è il BootCD di Hiren ( collegamento diretto al download).

Alla fine della giornata, credo ancora che il cane della risposta del cane sia probabilmente la soluzione "migliore".

D'altra parte, lasciando un problema come è, probabilmente non è il modo per fare le cose.

Questa è veramente una versione condensata di alcune delle risposte precedenti, con poche osservazioni.

Nella mia esperienza i harddrive sono una grande ragione per cui i computer devono rallentare. Sono dispositivi quirky con molti modi di errore e di errore. Ci sono altre ragioni che meritano di guardare troppo

Avvio di un cd live generico di linux è abbastanza utile in questo caso. Ci sono due cose che si desidera fare quando si esaminano i possibili problemi di unità. Innanzitutto si desidera chiedere all'unità se il suo ok – smartmontools (o il suo frontale grafico, gsmartcontrol ) è abbastanza buono qui. Voi desiderate generalmente risultati "sani". Mentre sei a questo punto, puoi anche eseguire hdparm -Tt /dev/sdXx alcune volte per get un risultato di benchmark della velocità del disco. Eseguire lo stesso command su un disco sano e simile sufficiente per vedere se è veramente più lento.

Suggerisco anche di eseguire il ripristino del livello di file a questo punto. Un drive che era impuro installato non monterà automaticamente in linux – dovrai fare un mount -f /dev/SDXx /mount/point per costringerlo a montare. Se il disco è ovviamente danneggiato in base a smartmontools, utilizza un diverso DD di ripristino per eseguire un backup – Gnu ddrescue è una buona scommessa. Questo creerà un'image che trascina settori danneggiati

Supponendo che il disco sia ok, diventa difficile. Potresti probabilmente eseguire una scansione AV offline per cercare di ripulirlo, quindi inserirlo in un altro sistema per fare qualche manutenzione.

È inoltre ansible montare l'hive del Registro di sistema di un altro sistema Windows per modificare manualmente le voci di avvio (big opportunità per eseguire un controllo di virus da un sistema Windows e una deframmentazione) oppure utilizzare l'editor del Registro di sistema dal disco delle chiavi di password offline supponendo di sapere cosa hai " ricercati.

Se stiamo facendo attività di recupero / riparazione usando gli strumenti di Windows, si consiglia di considerare la creazione di un disco PE (bartpe se non ti dispiace un disco live basato su XP), oppure utilizzando un'installazione separata, 'usa e getta' per queste attività per ridurre il rischio di contaminazione incrociata di malware.

A questo punto DOVREBBE essere elaborato se il disco è lento, se il suo malware, e se pensi che vale la pena di fissare il tuo tempo. Dovresti avere anche ottenuto i tuoi dati. Se il suo malware, le scansioni e le regedit non in linea sono fallite, è ansible eseguire il taglio dal livecd per eliminare il disco. Se il suo guasto hardware è ansible ripristinare dal backup di quel dd. Se non c'è nessuna di queste cose, le cose diventano interessanti

Hiren è il tuo amico.

http://www.hirensbootcd.org/download/

Scaricare, bruciare, avviarlo dal computer lento.

C'è una serie di strumenti disponibili per verificare errori tra cui Hard Drive, CPU, memory, ecc.

Esegui un paio di quelli per vedere cosa troverai.

Esso dispone anche di alcuni programmi di protezione per consentire di eseguire una scansione AV / Malware.

Altamente raccomandato.

Hai controllato i tuoi dischi rigidi? Forse ha alcuni settori danneggiati, causando un lungo ritardo each volta che si accede a determinati file. Provare a eseguire chkdsk /r in modalità provvisoria (o utilizzare un altro strumento di riparazione del disco).

Si raccomanda di reinstallare. Tuttavia, se ci sono dati sul dispositivo che non è ansible perdere, allora si consiglia di provare Microsoft Defender Offline .

In pratica consente di ignorare il sistema operativo e quindi eseguire una scansione del disco rigido. Assicurati di scaricare una nuova copia in modo da avere le definizioni antivirus recenti.

Se il PC è ancora lento dopo di che, è ansible provare l' avvio con un CD / USB Linux per copiare i dati e quindi reinstallare Windows. Ma assicuratevi di eseguire la scansione del disco rigido di backup su un'altra macchina (protetta) prima di copiarla alla vecchia macchina.

Alless questo malware rallenta il PC in modo ecologico e non ha la CPU massima!

La breve risposta alla domanda originale è quella di reinstallare come accennato in precedenza. In questi giorni però, gli autori di malware sanno che la maggior parte delle persone semplicemente reinstalla invece di tentare di rimuovere, quindi solo la maggior parte dei contratti contro gli strumenti automatizzati e non è una persona esperta al terminal. Quindi se una reinstallazione non è desiderabile e non ti dispiace perdere un paio di ore (o più), di solito non è troppo difficile rimuovere la maggior parte dei malware.

Tuttavia, è necessario conoscere il prompt dei comandi e essere in grado di distinguere il malware dal software legittimo. Non vi è alcun sostituto dell'esperienza qui, ma ho trovato l'approccio sotto per essere efficace.

In primo luogo preparare l'ambiente:

  1. Da un altro PC pulito, scaricare una copia della suite Sysinternals e copiarla su una chiavetta USB (o direttamente sul disco rigido del PC, se ansible).
  2. Rinomina due utilità, procexp.exe e autoruns.exe ai nomi di file casuali (ma fai una nota per riconoscerli!)
  3. Scolbind le connessioni di networking.
  4. Avviare il computer in modalità provvisoria, accedere al desktop. La modalità provvisoria non è essenziale, ma aiuta in modo che ci saranno less processi in esecuzione per far passare e il malware dovrebbe emergere più facilmente. L'utilizzo di un profilo utente pulito può anche aiutare per la stessa ragione, ma questo può oscurare l'infezione da parte dell'utente poiché ci sono probabilmente le voci nel Registro di sistema dell'utente.
  5. Aprire un prompt dei comandi come amministratore e eseguire taskkill /F /IM explorer.exe per uccidere l'esploratore. Questo arresta una gran quantità di malware nelle sue tracce, rendendo più facile la rimozione. Se non è ansible eseguire il prompt dei comandi, una copia rinominata da un altro PC può essere efficace (a volte è ansible uscire semplicemente facendo una copia sulla stessa macchina).
  6. Dal prompt dei comandi di avvio procexp e autoruns tramite gli eseguibili rinominati. Tieni presente che è ansible che il malware possa rintracciare gli hash o altre caratteristiche e impedire il lancio di questi strumenti, ma lo hashing alless non sarebbe un approccio affidabile poiché viene aggiornato abbastanza frequentemente. Di solito, qualsiasi contromisure contro questi strumenti cercano il nome del file.

Da qui potete utilizzare autoruns e proccexp per rimuovere il malware, ma è altrettanto arte come la scienza. Procexp mostra ciò che è attualmente in esecuzione e gli autorun mostrano come è stato lanciato. I templates da cercare sono:

  • I nomi di file che vengono generati in modo random
  • Software che esegue da directory temporanee
  • Software in esecuzione nel profilo dell'utente. Con Vista e versioni successive, il software in esecuzione dal profilo è diventato più comune per evitare le richieste di elevazione, ma la maggior parte dei software legittimi ancora installerà in Programmi. Dato che questo ha chiaramente l'accesso di root, dovrai cercarlo nelle directory di sistema, ma ci potrebbe essere un osservatore e di solito l'infezione proviene da qualche parte nel profilo utente (download, file temporanei di Internet).
  • File modificati di recente in C: \ Windows e System32
  • Nomi vicini ai binari legittimi di Windows come cmd.exe, services.exe (o gli stessi nomi di file ma nella posizione sbagliata). Ho visto cnd.exe, service.exe. explore.exe nel mio tempo.
  • Entrate Rundll32.exe. Molti sono legittimi ma controllano i processi per vedere quali DLL sono caricate.

Suggerimenti per la rimozione:

  • Può essere utile semplicemente raccogliere informazioni prima di tentare di uccidere i processi e di eliminare le voci – questo ti dà una panoramica più olistica, e prendere più passi in una rapida successione sarà più efficace di fare le cose in isolamento, in quanto i processi dei watcher possono molto rapidamente ti riport al passaggio 1.
  • Per qualsiasi uso ovvio utilizzare la function di uccisione e eliminazione di procexp. Se ciò non riesce, a volte usando il command echo > "c:\path\to\malware.exe" nel prompt dei comandi di command il file di cui è seguito il kill e l'eliminazione può funzionare.
  • Utilizza autoruns per trovare where è collegato. Utilizzo questo strumento perché sembra essere completo, corto di un rootkit o di modificare i file eseguibili, non ci sono molti altri modi per lanciare il malware, se presente. Per risparmiare tempo utilizza l'opzione "Nascondi voci Microsoft", distriggersta per impostazione predefinita.
  • Se trovi un hook in autoruns che carica una DLL con each exe, i processi in esecuzione (inclusi i tuoi strumenti di rilevazione) stanno per mantenere vivo il malware. In questo caso è necessario distriggersre la DLL offensiva con l'echo come sopra, uccidere e riavviare tutto il software (dovrebbe causare un errore DLL each volta che si esegue un programma), quindi riavviare. Ma assicuratevi di aver rimosso innanzitutto tutti gli altri ganci.
  • Può essere un process di watcher che cerca modifiche al malware e lo ripristina. Se è questo il caso, potrebbe essere necessario eseguire più azioni contemporaneamente e l'unico modo affidabile per farlo è utilizzare uno script batch. Ma a seconda dell'intervallo di controllo può essere sufficiente eseguire rapidamente i passi in sequenza.
  • Se non riesci a trovare qualcosa e si scopre che è un rootkit, la ricerca e la rimozione diventa molto più difficile – è necessario che gli strumenti che escludano le windows di livello superiore apis. Questo è probabilmente un po 'oltre l'ambito di quello che può essere coperto in una risposta Superuser, ma utilizzando RootkitRevealer seguita da un cd boot Linux per eliminare i file effettivi può essere efficace (ricorda di rinominare l'exe).
  • Se è necessario riavviare il computer prima di essere sicuri di una rimozione completa, tagliare il potere invece di eseguire un riavvio ordinato rimuove un'altra opportunità di reinfezione. Assicurati di aver eseguito il backup dei dati prima.

Dato che questo particolare malware richiede soldi per risolvere il computer e lo rallenta, l'approccio di carico DLL è probabile. Probabilmente non modifica i file di sistema o installa un rootkit, in quanto ciò comport un maggior rischio di interruzione del sistema. Quindi dovresti essere in grado di rimuoverlo utilizzando l'approccio generale sopra, ma se manca solo un hook, probabilmente tornerai al quadrato uno sul prossimo avvio.

Se questo suona come un grande sforzo, lo è. La reinstallazione è di solito più facile e non si può mai più fidarsi di un computer una volta che ha avuto malware su di esso. Ma personalmente lo trovo un po 'divertente – tu sei contro il malware e tu hai il chiaro vantaggio di essere l'umano alla console!

Potresti dare un'occhiata a Windows Defender Offline , che esegue la scansione per i malware e ti dà l'opzione di risolvere.

Per semplificare, hai un problema con l'hardware, un problema con il software o entrambi.

Scopri se il computer è dotato di avvio dal CD o avvio da USB abilitato e i passaggi da avviare da un supporto esterno se è disabilitato per impostazione predefinita. Una rapida ricerca di Google spesso velocizza questo process.

Utilizzare un cd live come il CD di avvio finale per controllare la RAM e il disco rigido per errori. Prova la RAM con Memtest86 + e utilizza la suite di test del produttore del disco rigido, come ad esempio i dischi rigidi DLG per WD . Ciò esclude la maggior parte dei problemi con problemi di memory e hard disk. È inoltre ansible controllare le temperature del sistema se si desidera escludere problemi termici.

Quindi, eseguire un CD live Linux o avviare una distribuzione Linux da USB. Se questo non presenta problemi e funziona molto più velocemente del sistema installato senza problemi di stabilità, è il boot e il tempo nuke. Trasferire in questo momento qualsiasi elemento "non può perdere" gli elementi dal disco rigido ad una sorta di supporti esterni. Vornetworking eseguire la scansione di questi file per i malware prima di poterli accedere in un posto vicino a un PC pulito. È preferibile scannerizzare questi dati in una sorta di ambiente live.

Se non avessi già provato la partizione di ripristino, potresti scegliere di eseguire un "ripristino distruttivo" da qui, ma non ho molto fiducia nelle partizioni di ripristino, poiché possono essere infettate da malware come le normali partizioni . Questo è where essere un utente Linux è bello, perché non devi sudare sulle chiavi di licenza e installare i media.

Se la tua mente è impostata con il soggiorno in Windows, ecco i tuoi passi:

Individuare un disco di ripristino del sistema o una versione legittima del sistema operativo che si desidera installare. Verifica che sia una versione "completa" e non è una versione "aggiornamento" che richiede una versione precedente del sistema operativo presente per installare. Assicurati di avere la chiave di licenza e inserirla correttamente. Siate disposti a call il produttore se il ripristino non funziona correttamente o Microsoft se l'installazione del sistema operativo non va corretta.

Prendi il "Ultimate Boot CD" precedentemente indicato e fai funzionare Boot e Nuke di Darik . Ci vorrà un po 'di tempo per cancellare l'unità. Poiché si prevede di reinstallare, è ansible utilizzare uno dei modi di formato più rapidi. Una "rapida cancellazione" o "DoD short" dovrebbero fare il trucco.

Installare il sistema operativo da zero sul disco rigido (ora vuoto).

Se necessario, trasferire i file vecchi che sono stati scannerizzati più volte per i virus di nuovo all'installazione del sistema operativo. Godetevi il process di installazione di aggiornamenti del software e del sistema.

Curse se non hai un backup più recente o implementa una routine di backup delle immagini di sistema. Si pnetworkingnde di essere migliore ad esso e spero che non ci sarà una prossima volta. Probabilmente sarà la prossima volta.

La soluzione corretta è quella di farlo e ri-installare le windows. Se semplicemente non è una soluzione, l'unica altra soluzione corretta è quella di utilizzare una configuration live cd / usb linux per eseguire pacchetti software antivirus dall'esterno dell'installazione di Windows.

Ho guardato le risposte date e sono sorpreso di vedere che Trinity Rescue Kit deve ancora essere menzionato!

Questa suite di software è la mia soluzione goto quando sto cercando di rimuovere malware / virus / rootkit da un computer infetto. Ha 3-4 soluzioni software diverse che vanno in networking e recuperano le ultime definizioni prima di avviare il suo process di scansione / pulizia.