Wie kann ich einen Computer reparieren, der mit Malware infiziert ist und extrem reagiert? [Duplikat]

103

Mögliche Duplikate:
Wie entferne ich böswillige Spyware, Malware, Viren oder Rootkits von meinem PC?

Ich behebe ein Problem mit einem Windows 7-PC für einen Freund. Vor ein paar Tagen fing es an, langsam zu laufen. Es stellt sich heraus, dass "langsam" etwa 15 Minuten bis zum ersten Blick auf den Desktop und weitere 30 Minuten bis zum Anzeigen von Symbolen sind. Es ist möglich, den Task-Manager zu öffnen, und nichts scheint fehlerhaft zu sein. Die CPU-Auslastung liegt bei 1-5%, und es ist viel Speicher frei.

Die Maschine ist jedoch eindeutig mit Malware infiziert. Insbesondere ein Programm namens "Optimizer Pro" verlangt Geld, um "5102 Dateien zu entfernen, die meinen Computer verlangsamen". Dies scheint sehr verdächtig.

Mein Problem ist jedoch, dass ich nicht darauf zugreifen kann msconfig(ich habe es für ein paar Stunden verlassen, nachdem ich es hoffentlich in das Startmenü eingegeben und die Eingabetaste gedrückt habe - nichts scheint geladen zu sein) oder überhaupt nichts im Grunde. Ich kann von einer Linux Live-CD booten, aber kann ich von dort aus tatsächlich etwas Nützliches tun?

Die Systemwiederherstellung hat dies ebenfalls nicht behoben, und der abgesicherte Modus zeigt dasselbe Verhalten.

Fredley
quelle
Nach dem Eingeben in das Startmenü müssen Sie warten, bis Elemente angezeigt werden. Das habe ich schon mal erlebt. Die Verzögerung, die Sie beispielsweise mit cmd sehen, ist das Starten der App
Cole Johnson,
5
Ich hatte dies vor kurzem auf dem Laptop eines Familienmitglieds geschehen. Sobald ich dazu in der Lage war, plante ich eine chkdsk, die nach drei Versuchen nicht abgeschlossen werden konnte, und berichtete, dass die Festplatte so durcheinander war, dass sie nichts reparieren konnte. Die Festplatte wird ersetzt und ich werde sie auf ein USB-zu-SATA-Gerät mounten, um zu sehen, ob ich Dateien daraus ziehen kann. Dies hängt möglicherweise nicht mit Ihrem Problem zusammen, aber es würde nicht schaden, "zu überprüfen".
Bratch
29
"Nuke die Website aus dem Orbit, es ist der einzige Weg, um sicher zu sein." - Wie in allen Fällen einer schwerwiegenden Malware-Infektion würde ich vorschlagen, die Daten, die Sie mit einer Linux-Live-CD speichern können, zu retten und anschließend Windows neu zu installieren. Andernfalls besteht die Möglichkeit, dass Sie nicht sehr viel Malware entfernen und diese später erneut beheben müssen.
fgysin
2
versuchenformat c:/
Phillip Schmidt

Antworten:

244

Ich empfehle Windows neu zu installieren

Wenn Sie versuchen, die vorhandene Installation zu retten, werden Sie am Ende Stunden oder wahrscheinlich Tage damit verbringen und nichts für Ihre Bemühungen zu zeigen haben. Und selbst wenn Sie alle Tools zum Entfernen von Malware erfolgreich ausführen könnten, würde ich nicht glauben, dass die gesamte Malware tatsächlich entfernt wurde, da die Malware-Autoren den Malware-Entfernungsautoren per Definition immer einen Schritt voraus sind. Sobald eine Maschine so schwer infiziert ist, ist sie wahrscheinlich mit allen möglichen schlechten Dingen beladen.

Damit...

  1. Festplatte formatieren
  2. Installieren Sie Windows

Und wie einer der Kommentatoren vorschlug, sollten Sie davon ausgehen, dass alle Dateien und Daten der alten Installation infiziert sind und nicht vertrauenswürdig sind.

HairOfTheDog
quelle
60
Während ich normalerweise von kurzen Antworten mit mangelnder Detailliertheit abraten kann, sagen diese vier Worte wirklich alles. Es wird wahrscheinlich einfacher sein.
Shinrai
34
"Nuke es aus dem Orbit, es ist der einzige Weg, um sicher zu sein" - Nach dem, was gesagt wurde, würde es so klingen, als ob es tatsächlich schneller wäre.
Journeyman Geek
48
Dies ist der richtige Ansatz, unabhängig von der Geschwindigkeit. In den letzten Jahren ist Malware sowohl heimtückischer als auch unangenehmer geworden. Es ist insofern hinterhältiger, als es in Paketen transportiert wird. Wenn Sie Malwarebytes oder andere Tools verwenden, um die offensichtlichen Symptome zu beseitigen, bleibt möglicherweise immer noch ein weniger offensichtlicher Keylogger oder Rootkit zurück. Das ist schlimmer, als nur Anzeigen oder eine Symbolleiste zu schalten. Es ist wahrscheinlich, dass Kreditkarten- oder Bankdaten richtig angezeigt werden. Setzen Sie diese beiden zusammen, und es lohnt sich einfach nicht mehr, eine Maschine zu reinigen. Gehen Sie bei der ersten bestätigten Infektion nach rechts für die Sicherung / Neuinstallation / Wiederherstellung.
Joel Coehoorn
36
Ich habe dies unten als Antwort gepostet, aber bevor ich diesen Schritt mache, warne ich Sie davor, zuerst zu prüfen, ob es sich um ein Hardwareproblem handelt. Wenn es sich um eine fehlerhafte Festplatte handelt, kann Windows nicht neu installiert werden. Wie das OP feststellte, läuft es nur mit 1-5% Prozent und geringem Speicherbedarf. Im abgesicherten Modus verhält es sich genauso. Dies sind auch Symptome für fehlerhafte Hardware, daher kann es nicht schaden, sicher zu sein und zu prüfen, ob das eigentliche Problem ein Festplattenausfall ist, bevor Sie das Ding auf den Prüfstand stellen, um herauszufinden, dass es sich immer noch super langsam bewegt!
Bob
16
Ich würde Bob zustimmen, bevor ich diesen Schritt mache. Booten Sie eine Linux-Live-CD / USB und prüfen Sie, ob sie dort verwendet werden kann. Wenn alles in Ordnung ist, ist es wahrscheinlich kein Hardwareproblem. Wenn Sie eine Linux Live-CD / USB verwenden, können Sie auch alle Daten, die gespeichert werden können (Fotos, Musik usw.), zuerst auf ein externes Laufwerk kopieren, bevor Sie sie erneut installieren.
Mart
57

Verschiedene Hersteller von Antivirenprogrammen bieten bootfähige Rettungs- / Scan-CD-ROMs an. Zwei freie sind:

Kaspersky Rescue Disk 10

Mit Kaspersky Rescue Disk 10 können infizierte x86- und x64-kompatible Computer gescannt und desinfiziert werden.

Die Anwendung sollte verwendet werden, wenn die Infektion so schwerwiegend ist, dass es nicht möglich ist, den Computer mit Antivirenprogrammen oder Dienstprogrammen zum Entfernen von Malware (z. B. Kaspersky Virus Removal Tool) zu desinfizieren, die unter dem Betriebssystem ausgeführt werden.

AVG Rescue CD

AVG Rescue CD Bringen Sie Ihr Unternehmen im Falle eines Systemabsturzes schnell wieder in Betrieb.

Entfernt Infektionen, repariert Dateien und stellt Systeme wieder her.

Brian
quelle
5
Ich kann das bootfähige Anti-Virus-Programm von Kaspersky nur empfehlen. Im Idealfall, eine Kabel - Internetverbindung zur Verfügung , die Virendefinitionen zu aktualisieren , ohne dass die WiFi - Verbindung über die Einrichtung zu kümmern.
David Schwartz
1
Guter Vorschlag! Versuchen Sie zunächst, das System mit den oben beschriebenen kostenlosen Tools zu reinigen. Wenn dies nicht hilft, ist möglicherweise die Neuinstallation des Windows-Systems die einzige verbleibende Option. Vergessen Sie nicht, eine Sicherungskopie zu erstellen. Sie können sicher sein, dass Sie die Festplatte zerlegen und als externes Laufwerk an einen anderen Computer anschließen.
GregD
3
@ GregD Sie möchten auf keinen Fall versuchen, die Festplatte zu zerlegen, wenn Sie nicht über einen ordnungsgemäßen Reinraum und geeignete Werkzeuge verfügen. Sie können es aus dem Computer entfernt werden sollen und in einem anderen installieren (oder in einem externen Gehäuse), aber das ist weit von der gleichen Sache.
ein Lebenslauf vom
3
Kaspersky ja. AVG Nein!
Pratnala
2
Als ich es in einer ähnlichen Situation versuchte, sagte AVG, das System sei sauber. Keine Spur von einem Virus. Aber Kaspersky hat den Täter gefasst. Hat danach das Vertrauen in AVG verloren. Gebraucht es für 2+ Jahre. Jetzt auf Kaspersky aus den letzten 3 Jahren. KIS nicht KAV
Pratnala
31

Ich werde hier vorbeischauen und zuerst mehr darüber fragen und dann meine Vermutungen über den Computer veröffentlichen. Sie sagten, dass es nur 1-5% der CPU beansprucht, sich aber immer noch langsam bewegt? Ich sage zwar nicht, dass es nicht mit Viren oder Ähnlichem durchsetzt ist, da dies sehr wahrscheinlich sein könnte, aber ich möchte darauf hinweisen, dass dies für mich schreiend nach fehlerhafter Hardware ist. Wenn Sie den Task-Manager das nächste Mal öffnen, überprüfen Sie den Ressourcenmonitor. Hier finden Sie eine einfache Anleitung zur Verwendung des Ressourcenmonitors.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Öffnen Sie den Task-Manager und wechseln Sie zur Registerkarte Leistung. Unten befindet sich eine Schaltfläche für den Ressourcenmonitor. Überprüfen Sie nach dem Öffnen die Registerkarte "Datenträger" oben und sehen Sie nach, wie lange Anforderungen dauern. Wenn Sie sich meinen Computer und das Computer-Image auf dieser Site ansehen, werden Sie vermuten, dass für ein Nicht-SSD-Laufwerk Antwortzeiten unter 100 Millisekunden genau das sind, wonach Sie suchen. Wenn der Computer mehr als 1 Sekunde Reaktionszeit für alles hat, wird Ihr Computer unabhängig davon, wie Sie ihn starten, langsam sein. Geben Sie hier einen Kommentar ab und teilen Sie uns mit, ob die Antwortzeit der Festplatte langsam ist. Wenn dies der Fall ist, können Sie versuchen, eine Überprüfungsdiskette auf dem Laufwerk auszuführen und ewig darauf zu warten, dass sie beendet wird, um festzustellen, ob das Problem dadurch behoben wird.

Denken Sie daran, dass dies möglicherweise nicht das Problem ist. Wenn dies jedoch der Fall ist, kann das Problem nicht durch eine Neuinstallation von Windows oder einen Virenscan behoben werden.

Bob
quelle
2
Vorausgesetzt, er kann es öffnen. Sein Computer scheint zu langsam für ... alles, was er meldet, und er müsste ein oder zwei Wochen warten, bis er antwortet.
Geselle Geek
4
Ein guter Indikator in Resource Monitor ist die Tiefe der Festplattenwarteschlange. Wenn diese konstant hoch ist, wird die Festplatte überlastet (dh der Engpass bei der Busgeschwindigkeit). Dies führt zu Verlangsamungen, ohne die RAM- oder CPU-Auslastung zu beeinträchtigen (überprüfen Sie dies während eines Virenscans auf einem guten PC).
HaydnWVN
1
Dies ist möglicherweise einfacher, wenn Sie eine Live-CD einchecken, da die aktuelle Installation so langsam ist. Ich bin nicht sicher, welches Programm Sie ausführen würden.
Brendan Long
Das sind alles gute Punkte. Ich erwähnte die Verwendung des Ressourcenmonitors, weil er sagte, er könne den Task-Manager öffnen, und ich ging nur davon aus, dass er auch den Ressourcenmonitor erhalten könnte.
Bob,
30

Um meine Ideen in die Mischung aufzunehmen ...

Nehmen Sie die fehlerhafte Festplatte heraus und schließen Sie sie an einen externen Caddy an. Schließen Sie sie dann an einen funktionierenden PC an. Sie können dann die Festplatte überprüfen, Antiviren- / Malware-Prüfungen durchführen, defragmentieren usw.

Stellen Sie außerdem sicher, dass Sie die Dateien, die Sie benötigen, so gut wie möglich retten (achten Sie darauf, dass Sie keine Dateien kopieren, die möglicherweise einen anderen PC infizieren könnten. Stellen Sie sicher, dass der Host-PC vor diesem Vorgang gut geschützt ist.

Wenn die Festplatte nach dem Zurücksetzen immer noch schlecht läuft, würde ich eine Neuinstallation von Windows in Betracht ziehen. Die Zeit, die benötigt wird, um andere Probleme zu lösen, lohnt sich nicht.

Lee Taylor
quelle
7
Dies hat mir schon lange geholfen. Ich würde es ändern, um die Verwendung einer Linux-Live-CD vorzuschlagen und während des gesamten Prozesses Scans der Daten durchzuführen. Mit der Live-CD können Sie alles auf dem infizierten Gerät erledigen.
Nerdwaller
1
Warum ist das hier nicht die beste Antwort? Es gewinnt eindeutig gegen den Ansatz einer einfachen Neuinstallation.
Stefan
1
Denn der Ansatz wäre, Ihre Dokumente und Fotos zu speichern und dann neu zu installieren.
WindowsEscapist
3
Dies ist gefährlich, da das Laufwerk den neuen Computer leicht infizieren kann. Es ist viel besser, von einer Linux Live-CD zu booten und die Dinge auf diese Weise zu sichern, sie dann zu nuken und neu zu installieren.
Omnifarious
12

Wenn Sie in den abgesicherten Modus booten können, würde ich das tun.

  • Malwarebytes Antimalware ist ein exzellentes kostenloses Programm, wie oben erwähnt, und sie haben gerade ein Antirootkit-Programm veröffentlicht, obwohl es sich um eine Beta-Version handelt

  • Ich bin auch ein Fan von DR Web Cureit Free Antivirus (On-Demand-Scanner)

  • Hirens Boot-CD ist wahrscheinlich eine der umfassendsten verfügbaren Boot-Malware-CDs

  • Es kann sein, dass Ihr Computer stark fragmentiert ist und defragmentiert werden muss. In diesem Fall empfehle ich Ultradefrag Free Edition

  • Ccleaner , um den gesamten Müll auf Ihrem System zu entfernen

Das alles kostet dich auch keinen Cent.

Es gibt einen ausgezeichneten Artikel geschrieben vor kurzem am 6. November 2012 von Whinston Gordon für Lifehacker , die ich denke , wäre für alle von Vorteil, mit dem Titel „Die Annahmen Sie machen über Ihren langsamen PC (und warum Sie sind wahrscheinlich falsch)“ . Ich hoffe, Sie finden es eine interessante Lektüre!

Simon
quelle
6
Das OP gibt an, dass der abgesicherte Modus immer noch so langsam wie normal ist, so dass dies nicht wirklich helfen würde.
ChrisF
Boot-CDs wie Hirens Boot-CD booten nicht unter Windows, daher ist die Geschwindigkeit des abgesicherten Modus für diese Option nicht relevant.
Zoot
11

Laden Sie eine beliebige Linux-Live-Distribution herunter und starten Sie sie, um zu überprüfen, ob der Computer behindert ist (fehlerhafter Arbeitsspeicher, defekte Festplatte, ...) oder ob es sich um eine zu alte Windows-Installation handelt (möglicherweise Virenbefall). Im Falle eines Virusangriffs können Sie http://free.drweb.com/ bootfähige Live-CD mit Virenscanner herunterladen , um sicherzustellen, dass Ihr PC sauber ist. Der kostenlose drweb-Scanner wurde mehrmals täglich aktualisiert, damit er auch den neuesten Schadcode erkennen und heilen kann.

andrej
quelle
8

Das beste Werkzeug, das ich benutzt habe, ist Malwarebytes . Ich habe es benutzt, als ich vor ein paar Jahren in der IT gearbeitet habe. Darüber hinaus ist Kaspersky genauso gut wie AVG (wie oben vorgeschlagen) oder eine Kombination aus allen.

Eine weitere großartige Option, die das Live-Image von Malwarebytes enthält, ist Hirens BootCD ( direkter Link zum Herunterladen).

Nerdwaller
quelle
Und wie genau sollen sie installieren, geschweige denn ausführen, wenn es> 45 Minuten dauert, nur um zu booten?
Synetech
1
Live-Disc. Es gibt einen Standalone oder einen auf Hirens BootCD.
Nerdwaller
2
Das hättest du vorher sagen sollen ; Jetzt ist es zu spät .
Synetech
1
Deshalb habe ich es hinzugefügt, um zu helfen.
Nerdwaller
1
@ paulsm4 Meiner Erfahrung nach verpassen 90% der AV-Suiten fast alle Infektionen (außerhalb der dummen Tracking-Cookies, die harmlos sind, wenn Sie feststellen, wie sich Menschen über Facebook überall anmelden). Leider sind die Bezahlten die schlimmsten Straftäter ... Unglaublich! In seltenen Fällen verwende ich Windows - für mich ist es MSE .
Nerdwaller
8

Letztendlich denke ich immer noch, dass @haar der Antwort des Hundes wahrscheinlich die 'beste' Lösung ist.

Auf der anderen Seite ist es wahrscheinlich nicht der richtige Weg, ein Problem so zu belassen, wie es ist.

Dies ist wirklich eine komprimierte Version einiger der vorherigen Antworten mit ein paar weiteren Beobachtungen.

Nach meiner Erfahrung sind Festplatten ein wichtiger Grund für Computer, langsamer zu werden. Es sind eigenartige Geräte mit vielen Fehler- und Fehlermodi. Es gibt noch andere Gründe, die es wert sind, untersucht zu werden

In diesem Fall ist das Booten einer generischen Linux-Live-CD sehr nützlich. Es gibt zwei Dinge, die Sie tun müssen, um mögliche Laufwerksprobleme zu untersuchen. Zunächst möchten Sie das Laufwerk fragen, ob es in Ordnung ist smartmontools(oder ob das grafische Front-End gsmartcontrol). Sie wollen im Allgemeinen "gesunde" Ergebnisse. Während Sie gerade dabei sind, möchten Sie möglicherweise auch hdparm -Tt /dev/sdXxeinige Male ausführen , um ein Benchmark-Ergebnis der Festplattengeschwindigkeit zu erhalten. Führen Sie den gleichen Befehl auf einer fehlerfreien und ausreichend ähnlichen Festplatte aus, um festzustellen, ob sie wirklich langsamer ist.

Ich würde auch vorschlagen, an dieser Stelle die Wiederherstellung auf Dateiebene durchzuführen. Ein Laufwerk, das nicht ordnungsgemäß gemountet wurde, wird unter Linux nicht automatisch mount -f /dev/SDXx /mount/pointgemountet. Sie müssen a ausführen, um das Mounten zu erzwingen. Wenn die Festplatte nach Angaben von smartmontools offensichtlich beschädigt ist, verwenden Sie einen DD-Varient für die Wiederherstellung, um eine Sicherung durchzuführen. Gnu ddrescue ist eine gute Wahl . Dadurch wird ein Bild erstellt, das fehlerhafte Sektoren überspringt

Vorausgesetzt, die Festplatte ist in Ordnung, wird es schwierig. Sie könnten wahrscheinlich einen Offline-AV-Scan ausführen, um zu versuchen, ihn zu bereinigen, und ihn dann auf einem anderen System ablegen, um Wartungsarbeiten durchzuführen.

Sie können auch die Registrierungsstruktur eines anderen Windows-Systems bereitstellen, um Starteinträge manuell zu bearbeiten (Zeit für eine Virenüberprüfung auf einem Windows-System und eine Defragmentierung), oder den Registrierungseditor auf der Offline- Kennwortänderungsdiskette verwenden, vorausgesetzt, Sie wissen, was Sie tun. Ich suche.

Wenn wir Wiederherstellungs- / Reparaturaktivitäten mit Windows-Tools ausführen, sollten Sie möglicherweise eine PE-Festplatte erstellen (bartpe, wenn Sie keine XP-basierte Live-Festplatte haben) oder eine separate "Einweg" -Installation für diese Aufgaben verwenden um das Risiko einer Kreuzkontamination mit Malware zu verringern.

An diesem Punkt sollten Sie herausgefunden haben, ob die Festplatte langsam ist, ob es sich um Malware handelt und ob Sie der Meinung sind, dass es sich lohnt, sie zu reparieren. Du hättest auch deine Daten rausholen sollen. Wenn die Malware und die Offline-Überprüfungen und -Regedits fehlgeschlagen sind, können Sie shred von der Live-CD ausführen, um die Festplatte zu löschen. Wenn seine Hardware ausfällt, können Sie von dieser dd-Sicherung wiederherstellen. Wenn dies nicht der Fall ist, werden die Dinge interessant

Geselle Geek
quelle
5

Hiren ist dein Freund.

http://www.hirensbootcd.org/download/

Laden Sie es herunter, brennen Sie es und starten Sie es vom langsamen Computer.

Dort gibt es eine Reihe von Tools, mit denen Sie nach Fehlern suchen können, z. B. Festplatte, CPU, Arbeitsspeicher usw.

Führen Sie ein paar davon aus, um zu sehen, was Sie finden.

Es gibt auch einige Sicherheitsprogramme, mit denen Sie einen AV / Malware-Scan durchführen können.

Sehr empfehlenswert.

Luiz Angelo
quelle
2

Haben Sie Ihre Festplatten überprüft? Vielleicht hat es einige fehlerhafte Sektoren, die eine lange Verzögerung verursachen, wenn auf bestimmte Dateien zugegriffen wird. Versuchen Sie es chkdsk /rim abgesicherten Modus (oder verwenden Sie ein anderes Festplattenreparatur-Tool).

yinch3ng
quelle
1

Neuinstallation wird empfohlen. Wenn sich jedoch Daten auf dem Gerät befinden, die Sie nicht verlieren dürfen, sollten Sie Microsoft Defender Offline ausprobieren .

Grundsätzlich können Sie das Betriebssystem umgehen und anschließend einen Scan der Festplatte durchführen. Stellen Sie sicher, dass Sie eine neue Kopie herunterladen, damit Sie über die neuesten Antivirendefinitionen verfügen.

Wenn der PC danach immer noch langsam ist, können Sie versuchen, mit einer Linux-CD / USB zu booten, um Ihre Daten zu kopieren, und anschließend Windows neu installieren. Stellen Sie jedoch sicher, dass Sie die Sicherungsfestplatte auf einem anderen (geschützten) Computer scannen, bevor Sie sie zurück auf den alten Computer kopieren.

Kodierungsbenutzer
quelle
1

Zumindest verlangsamt diese Malware den PC auf umweltfreundliche Weise und schont die CPU!

Die kurze Antwort auf die ursprüngliche Frage lautet, wie bereits erwähnt neu zu installieren. Heutzutage wissen Malware-Autoren jedoch, dass die meisten Leute einfach neu installieren, anstatt zu versuchen, sie zu entfernen. Daher ergreifen die meisten nur Gegenmaßnahmen gegen automatisierte Tools und nicht gegen eine sachkundige Person am Terminal. Wenn also eine Neuinstallation nicht wünschenswert ist und es Ihnen nichts ausmacht, ein paar Stunden (oder mehr) zu verschwenden, ist das Entfernen der meisten Malware normalerweise nicht allzu schwierig.

Sie müssen jedoch mit der Eingabeaufforderung vertraut sein und in der Lage sein, Malware von legitimer Software zu unterscheiden. Hier gibt es keinen Ersatz für Erfahrung, aber ich habe festgestellt, dass der folgende Ansatz effektiv ist.

Bereiten Sie zuerst die Umgebung vor:

  1. Laden Sie von einem anderen sauberen PC eine Kopie der Sysinternals-Suite herunter und kopieren Sie sie auf einen USB-Stick (oder, wenn möglich, direkt auf die Festplatte des PCs).
  2. Benennen Sie zwei der Dienstprogramme, procexp.exe und autoruns.exe, in zufällige Dateinamen um (notieren Sie sich dies, damit Sie sie erkennen können!)
  3. Trennen Sie alle Netzwerkverbindungen.
  4. Starten Sie den Computer im abgesicherten Modus und rufen Sie den Desktop auf. Der abgesicherte Modus ist nicht unbedingt erforderlich, hilft jedoch, da weniger Prozesse ausgeführt werden müssen und Malware sich leichter von anderen abheben sollte. Die Verwendung eines sauberen Benutzerprofils kann aus dem gleichen Grund ebenfalls hilfreich sein, aber dies kann die Infektion vor Ihnen verbergen, da sich wahrscheinlich Einträge in der Registrierung des Benutzers befinden.
  5. Öffnen Sie eine Eingabeaufforderung als Administrator und führen Sie taskkill /F /IM explorer.exeden Befehl aus , um den Explorer zu beenden. Dies stoppt eine ganze Menge Malware und erleichtert die Entfernung. Wenn Sie nicht in der Lage sind, die Eingabeaufforderung auszuführen, kann eine umbenannte Kopie von einem anderen PC effektiv sein (manchmal müssen Sie einfach eine Kopie auf demselben Computer erstellen).
  6. Starten Sie an der Eingabeaufforderung procexp und autoruns über die umbenannten ausführbaren Dateien. Beachten Sie, dass Malware möglicherweise die Hashes oder andere Merkmale erkennt und Sie daran hindert, diese Tools zu starten. Allerdings ist Hashing kein zuverlässiger Ansatz, da sie relativ häufig aktualisiert werden. In der Regel wird bei Gegenmaßnahmen gegen diese Tools nach dem Dateinamen gesucht.

Von hier aus können Sie die Malware mithilfe von Autoruns und procexp entfernen, aber das ist genauso Kunst wie Wissenschaft. Procexp zeigt Ihnen, was gerade läuft, und Autoruns zeigt Ihnen, wie es gestartet wurde. Zu suchende Muster sind:

  • Dateinamen, die zufällig generiert aussehen
  • Software, die aus temporären Verzeichnissen ausgeführt wird
  • Software, die im Benutzerprofil ausgeführt wird. In Vista und höheren Versionen wird immer häufiger Software über das Profil ausgeführt, um Eingabeaufforderungen zu vermeiden. Die meisten legitimen Programme werden jedoch weiterhin in den Programmdateien installiert. Vorausgesetzt, dass dieser Benutzer eindeutig über Root-Zugriff verfügt, werden Sie in Systemverzeichnissen danach suchen, aber es könnte einen Beobachter geben, und die Infektion geht normalerweise von einer Stelle im Benutzerprofil aus (Downloads, temporäre Internetdateien).
  • Kürzlich geänderte Dateien in C: \ Windows und System32
  • Namen, die sich in der Nähe legitimer Windows-Binärdateien befinden, z. B. cmd.exe, services.exe (oder dieselben Dateinamen, jedoch am falschen Speicherort). Ich habe cnd.exe, service.exe gesehen. Explore.exe in meiner Zeit.
  • Rundll32.exe Einträge. Viele sind legitim, überprüfen jedoch die Prozesse, um festzustellen, welche DLLs geladen wurden.

Tipps zum Entfernen:

  • Es kann hilfreich sein, einfach Informationen zu sammeln, bevor Sie versuchen, Prozesse abzubrechen und Einträge zu löschen. Dies gibt Ihnen einen ganzheitlichen Überblick, und mehrere Schritte in schneller Folge sind effektiver als isolierte Aktionen, da Beobachterprozesse sehr schnell ablaufen können Bring dich zurück zu Schritt 1.
  • Verwenden Sie für alles Offensichtliche die Kill- und Delete-Funktion von procexp. Wenn dies fehlschlägt, kann es manchmal echo > "c:\path\to\malware.exe"funktionieren, wenn Sie an der Eingabeaufforderung die Datei gefolgt von kill und delete löschen.
  • Verwenden Sie Autoruns, um herauszufinden, wo es angeschlossen ist. Ich verwende dieses Tool, weil es vollständig zu sein scheint, kein Rootkit enthält oder keine ausführbaren Systemdateien modifiziert. Es gibt nur wenige andere Möglichkeiten, wie Malware gestartet werden kann. Um Zeit zu sparen, verwenden Sie die Option "Microsoft-Einträge ausblenden", die standardmäßig deaktiviert ist.
  • Wenn Sie in Autoruns einen Haken finden, der eine DLL mit jeder Exe lädt, werden Ihre laufenden Prozesse (einschließlich Ihrer Erkennungstools) die Malware am Leben erhalten. In diesem Fall müssen Sie die betreffende DLL wie oben beschrieben mit Echo leeren, Ihre gesamte Software beenden und neu starten (sollte bei jedem Ausführen eines Programms zu einem DLL-Fehler führen) und anschließend neu starten. Aber stellen Sie sicher, dass Sie zuerst alle anderen Haken entfernt haben.
  • Möglicherweise gibt es einen Überwachungsprozess, der nach Änderungen an der Malware sucht und diese wiederherstellt. In diesem Fall müssen Sie möglicherweise mehrere Aktionen gleichzeitig ausführen. Die einzig zuverlässige Methode ist die Verwendung eines Stapelskripts. Abhängig vom Überprüfungsintervall kann es jedoch ausreichen, die Schritte schnell nacheinander auszuführen.
  • Wenn Sie nichts finden können und sich herausstellt, dass es sich um ein Rootkit handelt, wird es viel schwieriger, es zu finden und zu entfernen - Sie benötigen Tools, die die übergeordneten Windows-APIs umgehen. Dies würde wahrscheinlich den Rahmen einer Superuser-Antwort sprengen, aber die Verwendung von RootkitRevealer, gefolgt von einer Linux-Boot-CD, um die eigentlichen Dateien zu löschen, kann effektiv sein (denken Sie daran, die Exe umzubenennen).
  • Wenn Sie einen Neustart durchführen müssen, bevor Sie sicher sind, dass das Gerät vollständig entfernt werden kann, wird durch einen Stromausfall anstelle eines ordnungsgemäßen Neustarts eine weitere Möglichkeit zur Neuinfektion ausgeschlossen. Stellen Sie einfach sicher, dass Sie zuerst ihre Daten gesichert haben.

Angesichts der Tatsache, dass diese spezielle Malware Geld für die Reparatur Ihres Computers benötigt und ihn verlangsamt, ist der DLL-Ladeansatz wahrscheinlich. Es werden wahrscheinlich keine Systemdateien geändert oder kein Rootkit installiert, da dies ein höheres Risiko birgt, das System vollständig zu beschädigen. Sie sollten es also mit dem oben beschriebenen allgemeinen Ansatz entfernen können. Wenn Sie jedoch nur einen Haken verpassen, sind Sie beim nächsten Start wahrscheinlich wieder auf dem ersten Platz.

Wenn das nach viel Aufwand klingt, ist es das auch. Eine Neuinstallation ist in der Regel einfacher und Sie können einem Computer, auf dem sich Malware befindet, nie wieder uneingeschränkt vertrauen. Aber ich persönlich finde es irgendwie lustig - du bist es gegen den Malware-Schreiber und du hast den klaren Vorteil, der Mensch an der Konsole zu sein!

Alex Forbes
quelle
0

Sie können sich Windows Defender Offline ansehen , es sucht nach Malware und bietet Ihnen die Möglichkeit, Fehler zu beheben.

deveneyi
quelle
1
Dies ist eindeutig keine praktikable Lösung für eine Maschine, die so langsam läuft. Wie würden Sie es überhaupt öffnen? Dieser Typ braucht einen Weg, um es von AUSSERHALB der kaputten Umgebung zu beheben, was auch immer das ist. Etwas, das innerhalb der aktuellen Windows-Installation installiert und ausgeführt werden muss, ist nicht das, worum es bei dieser Frage geht.
Caleb
1
Welches ist, was es tut. Es ist OFFLINE, starten Sie eine CD oder ein USB-Laufwerk, auf dem es installiert ist, um das nicht laufende System auf Malware zu scannen (
siehe
@Caleb: Ich sehe nicht, was mit dieser Antwort falsch ist.
Mehrdad
0

Zur Vereinfachung haben Sie entweder ein Problem mit der Hardware, ein Problem mit der Software oder beides.

Stellen Sie fest, ob Ihr Computer von CD oder über USB gestartet wurde, und führen Sie die Schritte zum Starten von externen Medien aus, wenn diese standardmäßig deaktiviert sind. Eine schnelle Google-Suche beschleunigt diesen Vorgang häufig.

Verwenden Sie eine Live-CD wie die Ultimate Boot-CD , um den Arbeitsspeicher und die Festplatte auf Fehler zu überprüfen. Testen Sie den Arbeitsspeicher mit Memtest86 + und verwenden Sie die Testsuite Ihres Festplattenherstellers, z. B. DLG für WD-Festplatten . Dies schließt die meisten Probleme mit Speicher- und Festplattenproblemen aus. Sie können auch die Systemtemperaturen überprüfen, wenn Sie thermische Probleme ausschließen möchten.

Führen Sie als Nächstes eine Linux-Live-CD aus oder starten Sie eine Linux-Distribution über USB. Wenn dies keine Probleme aufzeigt und ohne Stabilitätsprobleme viel schneller als das installierte System läuft, ist es Boot- und Nuke-Zeit. Übertragen Sie jetzt alle "Ich kann nichts verlieren" -Elemente von der Festplatte auf ein externes Medium. Sie sollten diese Dateien auf Malware scannen, bevor Sie sie auf einen sauberen PC übertragen. Es ist vorzuziehen, diese in einer Art Live-Umgebung zu scannen.

Wenn Sie die Wiederherstellungspartition noch nicht ausprobiert haben, können Sie von hier aus eine "destruktive Wiederherstellung" durchführen. Ich habe jedoch kein großes Vertrauen in Wiederherstellungspartitionen, da diese wie die normalen Partitionen durch Malware infiziert werden können . Hier ist es schön, Linux-Benutzer zu sein, da Sie nicht über Lizenzschlüssel nachdenken und Medien installieren müssen.

Wenn Sie fest entschlossen sind, in Windows zu bleiben, gehen Sie wie folgt vor:

Suchen Sie eine Systemwiederherstellungs-CD oder eine legitime Version des Betriebssystems, das Sie installieren möchten. Stellen Sie sicher, dass es sich um eine "vollständige" Version handelt und nicht um eine "Upgrade" -Version, für deren Installation eine frühere Version des Betriebssystems erforderlich ist. Stellen Sie sicher, dass Sie den Lizenzschlüssel haben und geben Sie ihn richtig ein. Wenden Sie sich an den Hersteller, wenn die Wiederherstellung nicht ordnungsgemäß funktioniert, oder an Microsoft, wenn die Installation des Betriebssystems fehlschlägt.

Nehmen Sie die zuvor erwähnte "Ultimate Boot CD" und starten Sie Dariks Boot and Nuke . Das Löschen des Laufwerks dauert eine Weile. Da Sie eine Neuinstallation planen, können Sie einen der schnelleren Formatierungsmodi verwenden. Ein "Quick Erase" oder "DoD Short" sollte den Trick machen.

Installieren Sie das Betriebssystem von Grund auf auf der (jetzt leeren) Festplatte.

Übertragen Sie bei Bedarf die alten Dateien, die mehrmals auf Viren geprüft wurden, zurück auf das neue Betriebssystem. Genießen Sie die Installation von Software- und Systemupdates.

Verzeihen Sie sich, dass Sie keine aktuellere Sicherung haben oder keine System-Image-Sicherungsroutine implementieren. Versprechen Sie, es besser zu machen, und hoffen Sie, dass es kein nächstes Mal gibt. Es wird wahrscheinlich ein nächstes Mal geben.

Zoot
quelle
-1

Die richtige Lösung besteht darin, den Kernel zu entfernen und Windows neu zu installieren. Wenn dies einfach keine Lösung ist, besteht die einzig richtige Lösung darin, ein Live-CD / USB-Linux-Setup zu verwenden, um Antivirensoftwarepakete von außerhalb Ihrer Windows-Installation auszuführen.

Ich habe die gegebenen Antworten durchgesehen und bin überrascht zu sehen, dass das Trinity Rescue Kit noch nicht erwähnt wurde!

Diese Software-Suite ist meine Lösung, wenn ich versuche, Malware / Viren / Rootkits von einem infizierten Computer zu entfernen. Es gibt 3-4 verschiedene Softwarelösungen, die ins Internet gehen und die neuesten Definitionen abrufen, bevor der Scan- / Reinigungsprozess gestartet wird.

g19fanatic
quelle