Come posso rimuovere spyware, malware, adware, virus, trojan o rootkit dannosi dal mio PC?


447

Cosa devo fare se il mio computer Windows sembra essere infetto da un virus o malware?

  • Quali sono i sintomi di un'infezione?
  • Cosa devo fare dopo aver notato un'infezione?
  • Cosa posso fare per liberarmene?
  • come prevenire l'infezione da malware?

Questa domanda si presenta frequentemente e le soluzioni suggerite sono generalmente le stesse. Questa wiki della comunità è un tentativo di servire come la risposta definitiva e più completa possibile.

Sentiti libero di aggiungere i tuoi contributi tramite le modifiche.


72
Una cosa assolutamente da NON fare è installare uno degli strumenti "anti-malware" a cui sei invitato quando arrivi a una pagina web che dice "Il tuo computer è infetto da un virus!" Questi sono quasi certamente malware stessi. È necessario utilizzare solo strumenti ben controllati (presumibilmente) quelli indicati di seguito o su un altro sito attendibile.
Daniel R Hicks,

@Gnoupi Questo articolo potrebbe essere
Simon,

24
Per chiunque stia solo arrivando a questa domanda che desidera la versione tl; dr ... Una volta infetto, non c'è modo (beh ... nessun modo che non ti implichi già di essere un ingegnere informatico e di investire alcuni anni della tua vita eseguire un'autopsia digitale sulla macchina) per sbarazzarsi di / assicurarsi di essersi sbarazzati di un'infezione. Il malware può nascondersi nei file, nei programmi applicativi, nei sistemi operativi, nel firmware ... Ecco perché non dovresti mai fidarti di un computer che ha avuto un'infezione. I venditori AV cercheranno di convincerti che il loro prodotto è il proiettile d'argento che riparerà il tuo sistema. Loro mentono.
Parthian Shot

@DanielRHicks in realtà in alcuni casi portano a un prodotto AV legittimo. L'ultima volta che l'ho visto su Android con la sua fastidiosa "funzione di supporto agli annunci" (le barre degli annunci che compaiono in fondo all'app e alle pagine Web). Ad esempio ho appena toccato un "Rimuovi virus!" e siamo entrati nel Google Play Store nella pagina delle app 360 Security - Antivirus Boost .
David Balažic,

Quando consideriamo la possibilità di rootkit virtuali e rootkit di firmware, possiamo praticamente dire: sei disossato. Questi due tipi di rootkit vengono salvati in aree del computer che non è possibile pulire. Se vuoi sbarazzartene, devi acquistare un nuovo computer. I rootkit del firmware sono rari e i rootkit virtuali non esistono ancora, ma ancora: l'esistenza di questi due rootkit dimostra che non esiste una soluzione completa funzionante al 100% che manterrà il malware del tuo computer libero per l'eternità e oltre. Come tedesco lo conspirerei a un "Eierlegende Wollmilchsau"
BlueWizard,

Risposte:


273

Ecco la cosa: il malware negli ultimi anni è diventato più subdolo e più cattivo :

Più subdolo , non solo perché è meglio nascondersi con rootkit o hack EEPROM, ma anche perché viaggia in pacchetti. Il malware sottile può nascondersi dietro infezioni più ovvie. Ci sono molti buoni strumenti elencati nelle risposte che possono trovare il 99% di malware, ma c'è sempre quell'1% che ancora non riescono a trovare. Per lo più, quell'1% è roba nuova : gli strumenti malware non riescono a trovarlo perché è appena uscito e sta usando qualche nuovo exploit o tecnica per nascondersi che gli strumenti non conoscono ancora.

Anche il malware ha una breve durata. Se sei infetto, è molto probabile che qualcosa del nuovo 1% faccia parte dell'infezione. Non sarà l' intera infezione: solo una parte di essa. Gli strumenti di sicurezza ti aiuteranno a trovare e rimuovere il malware più ovvio e ben noto, e molto probabilmente rimuoveranno tutti i sintomi visibili (perché puoi continuare a scavare fino ad arrivare così lontano), ma possono lasciare piccoli pezzi dietro, come un keylogger o rootkit nascosto dietro qualche nuovo exploit che lo strumento di sicurezza non sa ancora come controllare. Gli strumenti anti-malware hanno ancora il loro posto, ma ci tornerò più avanti.

Più cattivo , in quanto non si limiterà a mostrare annunci, installare una barra degli strumenti o utilizzare più il computer come uno zombi. È probabile che il malware moderno vada bene per i dati bancari o delle carte di credito. Le persone che costruiscono queste cose non sono più solo dei kiddie di script in cerca di fama; ora sono professionisti organizzati motivati ​​dal profitto e, se non possono rubarti direttamente, cercheranno qualcosa che possano girare e vendere. Potrebbe trattarsi di risorse di elaborazione o di rete nel tuo computer, ma potrebbe anche essere il tuo numero di previdenza sociale o crittografare i tuoi file e conservarli per il riscatto.

Metti insieme questi due fattori e non è più utile nemmeno tentare di rimuovere malware da un sistema operativo installato . Ero molto bravo a rimuovere queste cose, al punto in cui ho fatto una parte significativa della mia vita in quel modo, e non ho nemmeno più fatto il tentativo. Non sto dicendo che non si può fare, ma sto dicendo che i risultati di analisi costi / benefici e dei rischi sono cambiati: non ne vale più la pena. C'è troppo in gioco, ed è troppo facile ottenere risultati che sembrano solo essere efficaci.

Molte persone non saranno d'accordo con me su questo, ma sfido a non soppesare abbastanza fortemente le conseguenze del fallimento. Sei disposto a scommettere i tuoi risparmi di una vita, il tuo buon credito, persino la tua identità, che sei migliore in questo rispetto ai truffatori che guadagnano milioni facendolo ogni giorno? Se si tenta di rimuovere malware e continuare a eseguire il vecchio sistema, è esattamente quello che stai facendo.

So che ci sono persone là fuori che leggono questo pensiero: "Ehi, ho rimosso diverse infezioni da varie macchine e non è mai successo niente di brutto." Anch'io amico. Anch'io. In passato ho ripulito la mia parte di sistemi infetti. Tuttavia, suggerisco che ora dobbiamo aggiungere "ancora" alla fine di tale affermazione. Potresti essere efficace al 99%, ma devi sbagliarti una volta sola e le conseguenze del fallimento sono molto più alte di quanto non fossero una volta; il costo di un solo fallimento può facilmente superare tutti gli altri successi. Potresti anche avere una macchina già là fuori che ha ancora una bomba a orologeria al suo interno, in attesa di essere attivata o di raccogliere le informazioni giuste prima di riportarla indietro. Anche se ora hai un processo efficace al 100%, questa roba cambia continuamente. Ricorda: devi essere perfetto ogni volta;

In sintesi, è sfortunato, ma se si dispone di un'infezione da malware confermata, una ripianificazione completa del computer dovrebbe essere il primo posto in cui si gira anziché l'ultimo.


Ecco come ottenerlo:

Prima di essere infetto , assicurati di avere un modo per reinstallare qualsiasi software acquistato, incluso il sistema operativo, che non dipende da alcun elemento archiviato sul tuo disco rigido interno. A tal fine, ciò significa normalmente appendere su cd / dvd o chiavi di prodotto, ma il sistema operativo potrebbe richiedere la creazione di dischi di ripristino da soli. 1 Non fare affidamento su una partizione di ripristino per questo. Se aspetti fino a dopo un'infezione per assicurarti di avere ciò di cui hai bisogno per reinstallare, potresti ritrovarti a pagare di nuovo per lo stesso software. Con l'ascesa del ransomware, è anche estremamente importante eseguire backup regolari dei dati (oltre a, sai, cose normali non dannose come il guasto del disco rigido).

Quando sospetti di avere malware , cerca altre risposte qui. Ci sono molti buoni strumenti suggeriti. Il mio unico problema è il modo migliore per usarli: mi affido solo a loro per il rilevamento. Installa ed esegui lo strumento, ma non appena trova la prova di una vera infezione (più di un semplice "cookie di tracciamento") basta interrompere la scansione: lo strumento ha fatto il suo lavoro e ha confermato la tua infezione. 2

Al momento di un'infezione confermata, procedere come segue:

  1. Controlla il tuo credito e conti bancari. Quando scoprirai l'infezione, potrebbe essere già stato fatto un danno reale. Adottare le misure necessarie per proteggere le carte, il conto bancario e l'identità.
  2. Modifica le password su qualsiasi sito Web a cui hai effettuato l'accesso dal computer infetto. Non utilizzare il computer compromesso per eseguire questa operazione.
  3. Effettua un backup dei tuoi dati (ancora meglio se ne hai già uno).
  4. Reinstalla il sistema operativo utilizzando i supporti originali ottenuti direttamente dall'editore del sistema operativo. Assicurarsi che la reinstallazione includa un nuovo formato completo del disco; un'operazione di ripristino o ripristino del sistema non è sufficiente.
  5. Reinstalla le tue applicazioni.
  6. Assicurati che il sistema operativo e il software siano completamente aggiornati e aggiornati.
  7. Eseguire una scansione antivirus completa per pulire il backup dal secondo passaggio.
  8. Ripristina il backup.

Se eseguito correttamente, ciò richiederà probabilmente tra le due e le sei ore reali del tuo tempo, distribuite in due o tre giorni (o anche più a lungo) mentre attendi l'installazione di app, il download di aggiornamenti di Windows o file di backup di grandi dimensioni per trasferire ... ma è meglio che scoprire in seguito che i criminali hanno svuotato il tuo conto bancario. Sfortunatamente, questo è qualcosa che dovresti fare da solo o che un amico tecnico deve fare per te. Con un tasso di consulenza tipico di circa $ 100 / ora, acquistare una nuova macchina può essere più economico che pagare un negozio per farlo. Se hai un amico, fallo per te, fai qualcosa di carino per mostrare il tuo apprezzamento. Anche i fanatici che adorano aiutarti a creare nuove cose o riparare hardware rotto spesso odianoil tedio del lavoro di pulizia. È anche meglio se fai il tuo backup ... i tuoi amici non sapranno dove metti quali file o quali sono veramente importanti per te. Sei in una posizione migliore per fare un buon backup di loro.

Presto anche tutto questo potrebbe non essere sufficiente, poiché ora esiste un malware in grado di infettare il firmware. Anche la sostituzione del disco rigido potrebbe non rimuovere l'infezione e l'acquisto di un nuovo computer sarà l'unica opzione. Per fortuna, al momento sto scrivendo questo, non siamo ancora arrivati ​​a quel punto, ma è decisamente all'orizzonte e si sta avvicinando rapidamente.


Se insisti assolutamente, al di là di ogni ragione, che desideri davvero pulire l'installazione esistente anziché ricominciare da capo, allora per l'amore di Dio assicurati che qualunque metodo tu utilizzi implichi una delle due seguenti procedure:

  • Rimuovere il disco rigido e collegarlo come disco guest in un altro computer (pulito!) Per eseguire la scansione.

O

  • Avvio da una chiave CD / USB con il proprio set di strumenti che esegue il proprio kernel. Assicurarsi che l'immagine per questo sia ottenuta e masterizzata su un computer pulito. Se necessario, chiedi a un amico di creare il disco per te.

In nessun caso dovresti provare a pulire un sistema operativo infetto utilizzando il software in esecuzione come processo guest del sistema operativo compromesso. È semplicemente stupido.


Naturalmente, il modo migliore per correggere un'infezione è evitarlo in primo luogo, e ci sono alcune cose che puoi fare per aiutarlo:

  1. Mantieni il tuo sistema patchato. Assicurati di installare prontamente Aggiornamenti Windows, Aggiornamenti Adobe, Aggiornamenti Java, Aggiornamenti Apple, ecc. Questo è molto più importante anche del software antivirus, e per la maggior parte non è così difficile, finché ti mantieni aggiornato. La maggior parte di quelle aziende ha deciso informalmente di rilasciare nuove patch lo stesso giorno ogni mese, quindi se tieni aggiornato non ti interrompe così spesso. Le interruzioni di Windows Update si verificano in genere solo quando le si ignora per troppo tempo. Se questo ti succede spesso, spetta a te cambiare il tuo comportamento. Questi sono importanti e non va bene scegliere continuamente l'opzione "Installa più tardi", anche se è più semplice in questo momento.
  2. Non eseguire come amministratore per impostazione predefinita. Nelle versioni recenti di Windows, è semplice come lasciare attiva la funzionalità UAC.
  3. Usa un buon strumento firewall. In questi giorni il firewall predefinito in Windows è in realtà abbastanza buono. Potresti voler integrare questo livello con qualcosa come WinPatrol che aiuta a bloccare le attività dannose sul front-end. Windows Defender funziona anche in questa misura in una certa misura. Anche i plug-in del browser Ad-Blocker di base stanno diventando sempre più utili a questo livello come strumento di sicurezza.
  4. Impostare la maggior parte dei plug-in del browser (in particolare Flash e Java) su "Chiedi di attivare".
  5. Esegui il software antivirus corrente . Questo è un quinto lontano rispetto alle altre opzioni, poiché il tradizionale software A / V spesso non è più così efficace. È anche importante sottolineare la "corrente". Potresti avere il miglior software antivirus al mondo, ma se non è aggiornato, puoi anche disinstallarlo.

    Per questo motivo, attualmente consiglio Microsoft Security Essentials. (Da Windows 8, Microsoft Security Essentials fa parte di Windows Defender.) Esistono probabilmente motori di scansione decisamente migliori, ma Security Essentials si manterrà aggiornato, senza mai rischiare una registrazione scaduta. Anche AVG e Avast funzionano bene in questo modo. Non posso raccomandare alcun software antivirus che devi effettivamente pagare, perché è fin troppo comune che l'abbonamento a pagamento scada e tu finisca con definizioni obsolete.

    Vale anche la pena notare che ora anche gli utenti Mac devono eseguire software antivirus. I giorni in cui potevano fuggire senza di essa sono ormai lontani. A parte questo, penso che sia divertente ora devo raccomandare agli utenti Mac di acquistare software antivirus, ma sconsiglio agli utenti Windows.

  6. Evita siti torrent, warez, software pirata e film / video piratati. Questa roba viene spesso iniettata da malware dalla persona che l'ha violata o pubblicata, non sempre, ma abbastanza spesso da evitare tutto il casino. Fa parte del motivo per cui un cracker dovrebbe fare questo: spesso otterranno un taglio di eventuali profitti.
  7. Usa la testa quando navighi sul web. Sei l'anello più debole della catena di sicurezza. Se qualcosa sembra troppo bello per essere vero, probabilmente lo è. Il pulsante di download più ovvio è raramente quello che desideri più utilizzare durante il download di nuovo software, quindi assicurati di leggere e comprendere tutto sulla pagina Web prima di fare clic su quel link. Se vedi un pop-up o senti un messaggio acustico che ti chiede di chiamare Microsoft o di installare uno strumento di sicurezza, è un falso.
    Inoltre, preferisci scaricare il software e gli aggiornamenti / upgrade direttamente dal fornitore o dallo sviluppatore piuttosto che da siti Web di hosting di file di terze parti.

1 Microsoft ora pubblica i supporti di installazione di Windows 10 in modo da poter scaricare e scrivere legalmente su un'unità flash da 8 GB o più grande gratuitamente. È ancora necessaria una licenza valida, ma non è più necessario un disco di ripristino separato per il sistema operativo di base.

2 Questo è un buon momento per sottolineare che ho leggermente attenuato il mio approccio. Oggi, la maggior parte delle "infezioni" rientrano nella categoria dei PUP (programmi potenzialmente indesiderati) e delle estensioni del browser incluse con altri download. Spesso questi PUP / estensioni possono essere rimossi in modo sicuro con mezzi tradizionali, e ora sono una percentuale abbastanza grande di malware che posso fermare a questo punto e semplicemente provare la funzione Aggiungi / Rimuovi Programmi o la normale opzione del browser per rimuovere un'estensione. Tuttavia, al primo segno di qualcosa di più profondo - qualsiasi suggerimento il software non si limiterà a disinstallare normalmente - ed è tornato a ripavare la macchina.


5
Questo sembra essere il più saggio, al giorno d'oggi, anzi. Vorrei aggiungere che c'è un altro motivo per cui alcuni malware sono subdoli: rimarranno inattivi e useranno il tuo computer per altre attività. Potrebbe essere un proxy, archiviare cose più o meno illegali o far parte di un attacco DDOS.
Gnoupi,

2
@ConradFrix Troppo presto per dirlo ... Non ho ancora avuto bisogno di farlo su un PC Windows 8 ... ma sono pessimista perché non provoca la riformattazione dell'unità. Windows 8 include diversi miglioramenti della sicurezza, tra cui l'esecuzione di software antivirus dal momento 0 come parte del sistema operativo, in modo che io spero di non aver mai bisogno di farlo per Windows 8.
Joel Coehoorn,

5
@DanielRHicks ha letto l'intera frase. Sono le due o le sei ore del tuo tempo, distribuite su un giorno o tre in cui sei efficiente nel dare il via a qualcosa e ricontrollare più tardi. Se fai da baby-sitter a tutto, allora sì: ci vorrà del tempo.
Joel Coehoorn,

2
@JoelCoehoorn Sono solo io o un malware così avanzato che infetterebbe anche il firmware su tutti i tipi di componenti rendendo inutili gli sforzi di rimozione?
Enis P. Aginić,

3
Ricordare che se si esegue un backup DOPO aver scoperto l'infezione, è altamente probabile che il backup stesso sia infetto. Esegui la scansione del backup prima di tentare un ripristino.
Tejas Kale,

201

Come posso sapere se il mio PC è infetto?

I sintomi generali per il malware possono essere qualsiasi cosa. I soliti sono:

  • La macchina è più lenta del normale.
  • Errori casuali e cose che accadono quando non dovrebbero (ad es. Alcuni nuovi virus impongono restrizioni sui criteri di gruppo sul computer per impedire l'esecuzione di Task Manager o altri programmi di diagnostica).
  • Task Manager mostra una CPU elevata quando pensi che la tua macchina dovrebbe essere inattiva (ad es. <5%).
  • Le pubblicità spuntano a caso.
  • Avvisi di virus spuntati da un antivirus che non ricordi di aver installato (il programma antivirus è un falso e cerca di affermare di avere virus che suonano spaventosi con nomi come "bankpasswordstealer.vir". Sei incoraggiato a pagare per questo programma per pulire questi ).
  • Popup / falsa schermata blu della morte (BSOD) che ti chiede di chiamare un numero per correggere l'infezione.
  • Le pagine Internet reindirizzate o bloccate, ad esempio, le home page di prodotti AV o siti di supporto (www.symantec.com, www.avg.com, www.microsoft.com) vengono reindirizzate a siti pieni di pubblicità o siti falsi che promuovono anti falsi virus / strumenti di rimozione "utili" o bloccati del tutto.
  • Aumento del tempo di avvio, quando non sono state installate applicazioni (o patch) ... Questo è imbarazzante.
  • I tuoi file personali sono criptati e vedi una nota di riscatto.
  • Qualunque cosa, se "conosci" il tuo sistema, in genere sai quando qualcosa è molto sbagliato.

Come posso liberarmene?

Utilizzando un Live CD

Poiché lo scanner antivirus del PC infetto potrebbe essere compromesso, è probabilmente più sicuro eseguire la scansione dell'unità da un Live CD. Il CD avvierà un sistema operativo specializzato sul tuo computer, che eseguirà quindi la scansione del disco rigido.

Esistono, ad esempio, Avira Antivir Rescue System o ubcd4win . Ulteriori suggerimenti sono disponibili nell'Elenco di download dei CD di ripristino di AntiVirus di avvio GRATUITO come:

  • CD di Kaspersky Rescue
  • BitDefender Rescue CD
  • CD di F-Secure Rescue
  • Avira Antivir Rescue Disk
  • CD del kit di salvataggio Trinity
  • CD di AVG Rescue

Collegamento del disco rigido a un altro PC

Se si sta collegando il disco rigido infetto a un sistema pulito per scansionarlo, assicurarsi di aggiornare le definizioni dei virus per tutti i prodotti che verranno utilizzati per scansionare il disco infetto. Attendere una settimana per consentire ai fornitori di antivirus di rilasciare nuove definizioni di virus può migliorare le possibilità di rilevare tutti i virus.

Assicurati che il tuo sistema infetto rimanga disconnesso da Internet non appena scopri che è infetto. Ciò impedirà di poter scaricare nuove edizioni di virus (tra le altre cose).

Inizia con un buon strumento come Spybot Search and Destroy o Anti-Malware di Malwarebytes ed esegui una scansione completa. Prova anche ComboFix e SuperAntiSpyware . Nessun singolo prodotto antivirus avrà ogni definizione di virus. L'uso di più prodotti è fondamentale ( non per la protezione in tempo reale ). Se sul sistema rimane anche un solo virus, potrebbe essere in grado di scaricare e installare tutte le ultime edizioni di nuovi virus e tutti gli sforzi finora compiuti sarebbero stati inutili.

Rimuovere i programmi sospetti dall'avvio

  1. Avvia in modalità provvisoria.
  2. Utilizzare msconfigper determinare quali programmi e servizi iniziano all'avvio (o all'avvio in Task Manager in Windows 8).
  3. Se ci sono programmi / servizi sospetti, rimuoverli dal boot. Altrimenti, passa all'utilizzo di un CD live.
  4. Ricomincia.
  5. Se i sintomi non scompaiono e / o il programma si sostituisce all'avvio, provare a utilizzare un programma chiamato Autoruns per trovare il programma e rimuoverlo da lì. Se non è possibile avviare il computer, Autoruns ha una funzione in cui può essere eseguito da un secondo PC chiamato "Analizza PC offline". Prestare particolare attenzione alle schede Logone Scheduled tasks.
  6. Se non si riesce ancora a rimuovere il programma e si è sicuri che sia la causa dei problemi, avviare in modalità normale e installare uno strumento chiamato Unlocker
  7. Passare alla posizione del file che è quel virus e tentare di utilizzare lo sblocco per ucciderlo. Alcune cose possono accadere:
    1. Il file viene eliminato e non ricompare al riavvio. Questo è il caso migliore.
    2. Il file viene eliminato, ma ricompare immediatamente. In questo caso, utilizzare un programma chiamato Process Monitor per scoprire il programma che ha ricreato il file. Sarà necessario eliminare anche quel programma.
    3. Il file non può essere eliminato, lo sblocco ti chiederà di eliminarlo al riavvio. Fallo e vedi se riappare. In tal caso, è necessario disporre di un programma di avvio che ne consenta la verifica e riesaminare l'elenco dei programmi eseguiti in avvio.

Cosa fare dopo il ripristino

Ora dovrebbe essere sicuro (si spera) di avviarsi nel sistema (precedentemente) infetto. Tuttavia, tieni gli occhi aperti per i segni di infezione. Un virus può lasciare modifiche su un computer che faciliterebbero il reinfetto anche dopo che il virus è stato rimosso.

Ad esempio, se un virus ha modificato le impostazioni DNS o proxy, il tuo computer ti reindirizzerebbe a versioni false di siti Web legittimi, in modo che il download di ciò che sembra essere un programma noto e affidabile possa effettivamente scaricare un virus.

Potrebbero anche ottenere le tue password reindirizzandoti a siti di conti bancari falsi o siti di posta elettronica falsi. Assicurati di controllare le impostazioni DNS e proxy. Nella maggior parte dei casi, il DNS deve essere fornito dall'ISP o acquisito automaticamente da DHCP. Le impostazioni del proxy devono essere disabilitate.

Controlla il tuo hostsfile ( \%systemroot%\system32\drivers\etc\hosts) per eventuali voci sospette e rimuoverle immediatamente. Assicurati anche che il tuo firewall sia abilitato e che tu abbia tutti gli ultimi aggiornamenti di Windows.

Quindi, proteggi il tuo sistema con un buon antivirus e integralo con un prodotto Anti malware. Microsoft Security Essentials è spesso consigliato insieme ad altri prodotti .

Cosa fare se tutto fallisce

Va notato che alcuni malware sono molto bravi a evitare gli scanner. È possibile che, una volta infettati, possano installare rootkit o simili per rimanere invisibili. Se le cose vanno davvero male, l'unica opzione è cancellare il disco e reinstallare il sistema operativo da zero. A volte una scansione con GMER o Kaspersky TDSS Killer può mostrarti se hai un rootkit.

Potresti voler fare alcune corse di Spybot Search and Destroy. Se dopo tre esecuzioni non è possibile rimuovere un'infestazione (e non si riesce a farlo manualmente) prendere in considerazione una reinstallazione.

Un altro suggerimento: Combofix è uno strumento di rimozione molto potente quando i rootkit impediscono l'esecuzione o l'installazione di altre cose.

L'uso di più motori di scansione può sicuramente aiutare a trovare i malware meglio nascosti, ma è un compito faticoso e una buona strategia di backup / ripristino sarà più efficiente e sicura.


Bonus: c'è un'interessante serie di video che inizia con " Comprendere e combattere il malware: virus, spyware" con Mark Russinovich, il creatore di ProcessExplorer & Autoruns di Sysinternals, sulla pulizia del malware.


74
Pulire l'unità è spesso il percorso più rapido e sicuro come viene suggerito in tutto il sito come "la migliore risposta"
Ivo Flipse

1
Dalla mia esperienza non mi fiderei di spybot come mia prima scelta. Avira, Kaspersky Virus Removal Tool e AVG sono una buona scelta libera secondo AV-comparative av-comparatives.org e AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/…
fluxtendu

18
Un suggerimento è che molti di questi programmi malware fanno rubare password e dati bancari, quindi non è una cattiva idea di disconnettersi da Internet una volta che si diventa sospetto di un'infezione. Potrebbe anche essere troppo tardi, ma c'è la possibilità che tu limiti le perdite di dati o impedisca al malware di aggiornarsi, fino a quando non avrai successo nella pulizia.
Emgee,

4
@emgee Buona regola empirica sull'esfiltrazione dei dati: in caso di dubbio, estrarre (la spina Ethernet)
Nate Koppenhaver

6
Combofix.org non è la posizione di download ufficiale di Combofix e non è autorizzato o raccomandato dall'autore di Combofix. Il download ufficiale è qui .
Andrew Lambert,

87

Ci sono alcuni ottimi suggerimenti per combattere il malware nel "Come pulire un'infestazione da spyware di Windows" di Jeff Atwood . Ecco il processo di base (assicurati di leggere il post del blog per gli screenshot e altri dettagli su cui questo sommario analizza):

  1. Ferma qualsiasi spyware attualmente in esecuzione. Task Manager integrato di Windows non lo taglierà; ottenere Sysinternals Process Explorer .
    1. Esegui Process Explorer.
    2. Ordina l'elenco dei processi per Nome azienda.
    3. Uccidi tutti i processi che non hanno un nome di società (esclusi DPC, interruzioni, sistema e processo di inattività del sistema) o che hanno nomi di società che non riconosci.
  2. Interrompere il riavvio dello spyware al successivo avvio del sistema. Ancora una volta, lo strumento integrato di Windows, MSconfig, è una soluzione parziale, ma Sysinternals AutoRuns è lo strumento da utilizzare.
    1. Esegui AutoRun.
    2. Passa attraverso l'intero elenco. Deseleziona le voci sospette: quelle con nomi di editori vuoti o qualsiasi nome di editore che non riconosci.
  3. Ora riavvia.
  4. Dopo il riavvio, ricontrollare con Process Explorer e AutoRuns. Se qualcosa "ritorna", dovrai scavare più a fondo.
    • Nell'esempio di Jeff, qualcosa che è tornato era una voce sospetta del driver in AutoRuns. Parla del rintracciamento del processo che lo ha caricato in Process Explorer, chiudendo la maniglia ed eliminando fisicamente il driver non autorizzato.
    • Ha anche trovato un file DLL dal nome strano collegato al processo Winlogon e dimostra di trovare e uccidere i thread del processo caricando quella DLL in modo che AutoRuns possa finalmente rimuovere le voci.

3
Inoltre, Trend Micro Hijack è un'utilità gratuita che genera un rapporto approfondito delle impostazioni del registro e dei file dal computer. Avvertirò che trova cose buone e cattive e non fa distinzioni, ma Google è nostro amico se siamo sospettosi.
Umber Ferrule,

2
Il link Explorer processo Sysinternals è morto. Queste risposte sono su alcuni dei principali risultati di Google. Qualcuno può aggiornarlo con un link aggiornato? Lo sto anche cercando.
Malavos,

Gli autoruns sono fantastici, ma il suggerimento di fare affidamento sull'editore potrebbe non essere utile. Questa domanda di stackoverflow mostra come le informazioni sulla versione possono essere facilmente modificate (e quindi falsificate) [ stackoverflow.com/questions/284258/… . Ho provato questo su una DLL Java e Autoruns ha mostrato l'editore in modo errato.
AlainD,

il tuo collegamento di autorun systernals è rotto
Daniel

50

Il mio modo di rimuovere il malware è efficace e non l'ho mai visto fallire:

  1. Scarica Autoruns e se esegui ancora 32 bit scarica uno scanner rootkit.
  2. Avvia in modalità provvisoria e avvia Autoruns se puoi, quindi vai al passaggio 5.
  3. Se non riesci ad accedere alla modalità provvisoria, collega il disco a un altro computer.
  4. Avvia Autoruns su quel computer, vai su File -> Analizza Sistema Offline e compila.
  5. Attendere il completamento della scansione.
  6. Nel menu Opzioni, seleziona tutto.
  7. Lascialo scansionare di nuovo premendo F5. Questo andrà veloce man mano che le cose vengono memorizzate nella cache.
  8. Vai nell'elenco e deseleziona tutto ciò che è propizio o che non ha una società verificata.
  9. Opzionale: eseguire lo scanner rootkit.
  10. Consenti a uno scanner antivirus principale di rimuovere tutti i file rimasti.
  11. Opzionale: esegui scanner anti-malware e anti-spyware per sbarazzarti della spazzatura.
  12. Opzionale: esegui strumenti come HijackThis / OTL / ComboFix per sbarazzarti della spazzatura.
  13. Riavvia e goditi il ​​tuo sistema pulito.
  14. Opzionale: eseguire nuovamente lo scanner rootkit.
  15. Assicurati che il tuo computer sia sufficientemente protetto!

Alcune osservazioni:

  • Autoruns è scritto da Microsoft e mostra quindi qualsiasi posizione delle cose che si avviano automaticamente ...
  • Una volta che il software è stato deselezionato da Autoruns, non si avvierà e non potrà impedirti di rimuoverlo ...
  • Non esistono rootkit per i sistemi operativi a 64 bit perché dovrebbero essere firmati ...

È efficace perché disabiliterà l'avvio di malware / spyware / virus,
sei libero di eseguire strumenti opzionali per ripulire qualsiasi spazzatura rimasta sul tuo sistema.


Ho infettato Windows 7 a 64 bit, con un virus, non permettendomi di eseguire antivirus e utilità di sistema, e Autoruns ancora non ha aiutato. Ho fatto una domanda al riguardo. superuser.com/questions/1444463/… . Credo che uno strumento to dovrebbe essere eseguito all'avvio del sistema per controllare il comportamento del sistema operativo.
WebComer il

45

Seguire l'ordine indicato di seguito per disinfettare il PC

  1. Su un PC non infetto, crea un disco AV di avvio, quindi esegui l'avvio dal disco sul PC infetto ed esegui la scansione del disco rigido, rimuovi tutte le infezioni che trova. Preferisco il CD / USB di avvio offline di Windows Defender perché può rimuovere i virus del settore di avvio, vedere "Nota" di seguito.

    Oppure, puoi provare altri dischi AV Boot .

  2. Dopo aver scansionato e rimosso malware utilizzando il disco di avvio, Installa MBAM gratuito , esegui il programma e vai alla scheda Aggiorna e aggiornalo, quindi vai alla scheda Scanner ed esegui una scansione rapida, seleziona e rimuovi tutto ciò che trova.

  3. Al termine dell'installazione di MBAM, installare la versione gratuita SAS , eseguire una scansione rapida, rimuovere ciò che seleziona automaticamente.

  4. Se i file di sistema di Windows sono stati infettati , potrebbe essere necessario eseguire SFC per sostituire i file, potrebbe essere necessario farlo offline se non si avvia a causa della rimozione dei file di sistema infetti. Ti consiglio di eseguire SFC dopo aver rimosso qualsiasi infezione.

  5. In alcuni casi potrebbe essere necessario eseguire un ripristino all'avvio (solo Windows Vista e Windows7) per riavviarlo correttamente. In casi estremi potrebbero essere necessarie 3 riparazioni all'avvio di seguito.

MBAM e SAS non sono software AV come Norton, sono scanner su richiesta che eseguono la scansione dei nasties solo quando si esegue il programma e non interferiscono con l'AV installato, questi possono essere eseguiti una volta al giorno o alla settimana per assicurarsi di non essere infetti. Assicurati di aggiornarli prima di ogni scansione giornaliera-settimanale.

Nota: il prodotto Windows Defender Offline è molto efficace nella rimozione di infezioni persistenti da MBR che sono comuni in questi giorni.

.

Per utenti esperti:

Se hai una singola infezione che si presenta come software, ad esempio "Correzione del sistema" "AV Security 2012" ecc., Consulta questa pagina per guide di rimozione specifiche

.


3
Avere un secondo PC dedicato alla scansione antivirus è probabilmente la soluzione migliore, poiché non si fa affidamento sull'unità infetta per il proprio sistema. Tuttavia, oltre alle aziende di supporto informatico, dubito che molte persone abbiano una soluzione così pronta.
Gnoupi,

2
Se non è disponibile un PC dedicato, è possibile eseguire una procedura simile avviando il sistema con un CD live
Ophir Yoktan

@Ophir: Live CD?
fuddin,


Proprio come una nota, Microsoft Standalone System Sweeper è solo il vecchio nome di Windows Defender Offline, nel caso qualcuno lo avesse trovato.
Scott Chamberlain,

37

Se noti uno dei sintomi, una cosa da controllare sono le impostazioni DNS sulla connessione di rete.

Se questi sono stati cambiati da "Ottieni indirizzo server DNS automaticamente" o in un server diverso da quello che dovrebbe essere, allora è un buon segno che hai un'infezione. Questa sarà la causa dei reindirizzamenti lontano dai siti anti-malware o un completo fallimento nel raggiungere il sito.

È probabilmente una buona idea prendere nota delle impostazioni DNS prima che si verifichi un'infezione in modo da sapere quali dovrebbero essere. Inoltre, i dettagli saranno disponibili nelle pagine della guida del sito Web dell'ISP.

Se non hai una nota dei server DNS e non riesci a trovare le informazioni sul tuo sito ISP, utilizzare i server DNS di Google è una buona alternativa. Si trovano in 8.8.8.8 e 8.8.4.4 rispettivamente per i server primario e secondario.

Mentre il ripristino del DNS non risolverà il problema, ti consentirà di a) raggiungere i siti anti-malware per ottenere il software necessario per pulire il PC eb) individuare se l'infezione si ripresenta poiché le impostazioni DNS cambieranno di nuovo.


33

ransomware

Una nuova forma di malware particolarmente orribile è il ransomware . Questo tipo di programma, di solito fornito con un Trojan (ad esempio un allegato di posta elettronica) o un exploit del browser, passa attraverso i file del tuo computer, li crittografa (rendendoli completamente irriconoscibili e inutilizzabili) e richiede un riscatto per restituirli a un utilizzabile stato.

Il ransomware usa generalmente la crittografia a chiave asimmetrica , che coinvolge due chiavi: la chiave pubblica e la chiave privata . Quando vieni colpito dal ransomware, il programma dannoso in esecuzione sul tuo computer si collega al server dei cattivi (il comando e controllo, o C&C), che genera entrambe le chiavi. Invia solo la chiave pubblica al malware sul tuo computer, poiché è tutto ciò che serve per crittografare i file. Sfortunatamente, i file possono essere decifrati solo con la chiave privata, che non arriva nemmeno nella memoria del tuo computer se il ransomware è ben scritto. I cattivi di solito affermano che ti daranno la chiave privata (permettendoti così di decrittografare i tuoi file) se paghi, ma ovviamente devi fidarti di loro per farlo.

Cosa puoi fare

L'opzione migliore è reinstallare il sistema operativo (per rimuovere ogni traccia di malware) e ripristinare i file personali dai backup eseguiti in precedenza. Se non hai backup adesso, questo sarà più impegnativo. Prendi l'abitudine di eseguire il backup di file importanti.

Pagare probabilmente ti permetterà di recuperare i tuoi file, ma per favore non farlo . In questo modo supporta il loro modello di business. Inoltre, dico "probabilmente ti lascerò recuperare" perché conosco almeno due ceppi che sono scritti così male che corrompono irreparabilmente i tuoi file; anche il programma di decrittazione corrispondente in realtà non funziona.

alternative

Fortunatamente, c'è una terza opzione. Molti sviluppatori di ransomware hanno commesso errori che consentono ai buoni professionisti della sicurezza di sviluppare processi che annullano il danno. Il processo per farlo dipende interamente dalla tensione del ransomware e tale elenco è in continua evoluzione. Alcune persone meravigliose hanno messo insieme un grande elenco di varianti di ransomware , tra cui le estensioni applicate ai file bloccati e il nome della nota di riscatto, che possono aiutarti a identificare quale versione hai. Per parecchi ceppi, quell'elenco ha anche un collegamento a un decryptor gratuito! Seguire le istruzioni appropriate (i collegamenti si trovano nella colonna Decryptor) per ripristinare i file. Prima di iniziare , utilizzare le altre risposte a questa domanda per assicurarsi che il programma ransomware sia rimosso dal computer.

Se non riesci a identificare ciò con cui sei stato colpito solo dalle estensioni e dal nome della nota di riscatto, prova a cercare su Internet alcune frasi distintive dalla nota di riscatto. Gli errori di ortografia o grammaticali sono in genere abbastanza unici e probabilmente ti imbatterai in un thread del forum che identifica il ransomware.

Se la tua versione non è ancora nota o non ha un modo gratuito per decrittografare i file, non perdere la speranza! I ricercatori della sicurezza stanno lavorando per annullare il ransomware e le forze dell'ordine perseguono gli sviluppatori. È possibile che alla fine appaia un decryptor. Se il riscatto è limitato nel tempo, è possibile che i file siano ancora recuperabili quando viene sviluppata la correzione. Anche se no, per favore non pagare a meno che non sia assolutamente necessario. Durante l'attesa, assicurati che il tuo computer sia privo di malware, utilizzando nuovamente le altre risposte a questa domanda. Prendi in considerazione il backup delle versioni crittografate dei tuoi file per tenerli al sicuro fino a quando non verrà pubblicata la correzione.

Una volta ripristinato il più possibile (e averne eseguito il backup su un supporto esterno!), Prendi in considerazione l'idea di installare il sistema operativo da zero. Ancora una volta, ciò spazzerà via qualsiasi malware che si è depositato in profondità all'interno del sistema.

Ulteriori suggerimenti specifici per la variante

Alcuni suggerimenti specifici per le varianti di ransomware che non sono ancora nel grande foglio di calcolo:

  • Se lo strumento di decodifica per LeChiffre non funziona, puoi recuperare tutti tranne il primo e l'ultimo 8 KB dei dati di ciascun file usando un editor esadecimale. Passa all'indirizzo 0x2000 e copia tutti tranne gli ultimi 0x2000 byte. I file di piccole dimensioni verranno completamente distrutti, ma con alcuni armeggi potresti essere in grado di ottenere qualcosa di utile da quelli più grandi.
  • Se sei stato colpito con WannaCrypt e stai utilizzando Windows XP, non hai riavviato dall'infezione e sei fortunato, potresti essere in grado di estrarre la chiave privata con Wannakey .
  • Bitdefender ha una serie di strumenti gratuiti per aiutare a identificare la variante e decifrare alcune varianti specifiche.
  • (altri verranno aggiunti man mano che vengono scoperti)

Conclusione

Il ransomware è brutto e la triste realtà è che non è sempre possibile recuperarlo. Per proteggerti in futuro:

  • Mantieni aggiornato il tuo sistema operativo, browser web e antivirus
  • Non aprire gli allegati di posta elettronica che non ti aspettavi, soprattutto se non conosci il mittente
  • Evita i siti Web imprecisi (ovvero quelli con contenuti illegali o eticamente dubbiosi)
  • Assicurati che il tuo account abbia accesso solo ai documenti con cui devi lavorare personalmente
  • Avere sempre backup funzionanti su supporti esterni (non collegati al computer)!

Ci sono alcuni programmi ora disponibili che presumibilmente ti proteggono dal ransomware, ad esempio: winpatrol.com/WinAntiRansom (un programma commerciale). Non l'ho mai usato perché non sono più su Windows, ma il prodotto WinPatrol dell'azienda è quello che ho usato per anni e che ho spesso consigliato. Alcuni sviluppatori di antivirus dispongono di strumenti anti-ransomware, a volte come opzione a costo più elevato.
fixer1234,

Per informazioni specifiche sulla rimozione di Petya ransomware, vedere anche questa domanda e risposta: superuser.com/questions/1063695/…
fixer1234

2
Aggiungerei un'altra cosa all'elenco dei consigli nella conclusione: evitare di visitare siti che promuovono comportamenti illegali o amorali, come la pirateria di media e software; contenuto fuorilegge nella maggior parte del mondo; ecc. Questi siti spesso contraggono con i fornitori di pubblicità meno affidabili, che non fanno alcuno sforzo per filtrare il contenuto dei loro "annunci", rendendo facile per i criminali iniettare la tua pagina web con contenuti che forniscono malware o tentano di sfruttare il tuo browser per accedere al tuo sistema. A volte anche un buon adblocker mancherà questa roba.
allquixotic,

@allquicatic Ho aggiunto un punto elenco in quella vena. Fammi sapere se qualcos'altro può essere espanso. Grazie!
Ben N,

31

Esiste un'ampia varietà di malware. Alcuni di questi sono banali da trovare e rimuovere. In parte è più complicato. Alcuni di questi sono davvero difficili da trovare e molto difficili da rimuovere.

Ma anche se hai un malware lieve, dovresti prendere in seria considerazione la possibilità di riformare e reinstallare il sistema operativo. Questo perché la tua sicurezza ha già fallito e se non è riuscita per un malware semplice, forse sei già infetto da un malware vizioso.

Le persone che lavorano con dati sensibili o all'interno di reti in cui sono conservati dati sensibili dovrebbero prendere in seria considerazione l'idea di cancellare e reinstallare. Le persone il cui tempo è prezioso dovrebbero prendere in seria considerazione la possibilità di pulire e reinstallare (è il metodo più rapido, semplice e sicuro). Le persone che non si sentono a proprio agio con strumenti avanzati dovrebbero prendere in seria considerazione l'idea di cancellare e reinstallare.

Ma le persone che hanno il tempo e si divertono a sfogliare, possono provare i metodi elencati in altri post.


3
Corretta. Questa roba è progettata per aggirare la sicurezza e la pulizia e l'uso banale del sistema operativo. Non prendere parte a una corsa agli armamenti. La tolleranza zero è l'unica politica.
XTL

30

Le possibili soluzioni per un'infezione da virus sono nell'ordine: (1) scansioni antivirus, (2) riparazione del sistema, (3) reinstallazione totale.

Assicurati innanzitutto di eseguire il backup di tutti i tuoi dati.

Carica e installa alcuni antivirus, assicurati che siano aggiornati e scansiona in profondità il tuo disco rigido. Consiglio di utilizzare almeno l' antimalware di Malwarebytes . Mi piace anche Avast.

Se ciò non dovesse funzionare per qualsiasi motivo, è possibile utilizzare uno scanner antivirus per CD live di ripristino: mi piace il miglior sistema Avira AntiVir Rescue perché viene aggiornato più volte al giorno e quindi il CD di download è aggiornato. Come CD di avvio è autonomo e non funziona con il tuo sistema Windows.

Se non viene rilevato alcun virus, utilizzare "sfc / scannow" per riparare file importanti di Windows.
Vedere questo articolo .

Se anche questo non funziona, è necessario eseguire un'installazione di riparazione .

Se non funziona, è necessario formattare il disco rigido e reinstallare Windows.


2
Quando sono stato infettato da un recente virus / trojan, ho usato Knoppix su una chiavetta USB, ho eseguito apt-get wine, ho installato Dr Web Cure-It nella mia sessione di vino e l'ho eseguito per pulire l'infezione. Ho dovuto farlo in questo modo perché il mio laptop non avrebbe avviato alcune delle altre alternative di CD live.
PP.

23

Un altro strumento che vorrei aggiungere alla discussione è Microsoft Safety Scanner . È stato appena rilasciato alcuni mesi fa. È un po 'come lo strumento di rimozione del software dannoso , ma progettato per l'uso offline. Avrà le definizioni più recenti dal momento in cui lo scarichi e sarà utilizzabile solo per 10 giorni poiché considererà il suo file di definizioni "troppo vecchio per essere utilizzato". Scaricalo con un altro computer ed eseguilo in modalità provvisoria. Funziona abbastanza bene.


22

Prima un po 'di teoria: renditi conto che non c'è sostituto per la comprensione .

L' antivirus finale è capire cosa stai facendo e in generale cosa sta succedendo con il tuo sistema, con la tua mente e nella cosiddetta realtà.

Nessuna quantità di software o hardware ti proteggerà completamente da te stesso e dalle tue azioni, che nella maggior parte dei casi è il modo in cui il malware entra in un sistema in primo luogo.

La maggior parte dei malware, degli adware e degli spyware "a livello di produzione" moderni si basano su vari trucchi di "social engineering" per ingannarti nell'installazione di app "utili", componenti aggiuntivi, barre degli strumenti del browser, "scanner di virus" o clic su grandi Downloadpulsanti verdi che installeranno malware su la tua macchina.

Anche un programma di installazione per un'app apparentemente attendibile, come ad esempio uTorrent, installerebbe per impostazione predefinita adware e possibilmente spyware se si fa semplicemente clic sul Nextpulsante e non si prenderà il tempo di leggere il significato di tutte le caselle di controllo.

Il modo migliore per combattere i trucchi del social engineering che gli hacker usano è il social engineering inverso : se padroni di questa tecnica riuscirai a evitare la maggior parte dei tipi di minacce e a mantenere il tuo sistema pulito e integro anche senza antivirus o firewall.

Se hai notato segni di forme di vita dannose / indesiderate che abitano il tuo sistema, l'unica soluzione pulita sarebbe quella di riformattare e reinstallare completamente il tuo sistema. Effettua un backup come descritto nelle altre risposte qui, formatta rapidamente i dischi e reinstalla il tuo sistema, o, ancora meglio, sposta i dati utili su una memoria esterna e reinventa la partizione di sistema da un dump di partizioni pulito che hai creato in precedenza.

Alcuni computer dispongono di un'opzione BIOS per ripristinare le impostazioni di fabbrica originali del sistema. Anche se questo può sembrare un po 'eccessivo, non farà mai male e, cosa ancora più importante, risolverà tutti gli altri eventuali problemi, che tu ne sia consapevole o meno, senza dover gestire ogni problema uno per uno.

Il modo migliore per "riparare" un sistema compromesso è quello di non risolverlo affatto, ma invece di ripristinare un'istantanea "buona" nota utilizzando un qualche tipo di software di imaging delle partizioni, come Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, o ad esempio ddse hai effettuato il backup da Linux.


12

Con riferimento a William Hilsum "Come sbarazzarsi di questo: utilizzando un Live CD" sopra:

Un virus non sarà in grado di funzionare in un ambiente CD live, quindi puoi fare un uso temporaneo del tuo computer senza timore di ulteriori infezioni. Meglio ancora, puoi accedere a tutti i tuoi file. Il 20 giugno 2011 Justin Pot ha scritto un opuscolo intitolato "50 Cool Uses for Live CD". L'inizio dell'opuscolo spiega come eseguire l'avvio da CD, Flash Drive o scheda SD e le pagine 19-20 spiegano la scansione con diversi "antimalwares" alcuni già menzionati. Il consiglio dato è prezioso per questo scenario ed è spiegato in inglese di facile comprensione. Ovviamente il resto dell'opuscolo è prezioso per le tue altre esigenze informatiche. (il link per il download (in formato PDF) è fornito dal link in basso. Ricorda sempre di essere sensibile quando usi Internet, non essere tentato di vagare verso "luoghi" dove è molto probabile che si stia nascondendo malware e dovresti stare bene. Qualsiasi Antivirus, Internet Security Suite ecc. Che potresti utilizzare dovrebbe avere gli ultimi aggiornamenti e qualsiasi sistema operativo che stai utilizzando dovrebbe anche essere tenuto aggiornato.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

Dopo aver fatto clic o copiato e incollato il link sopra riportato, fare clic su

SCARICA 50 fantastici usi per Live CD (scritti in blu)

Nota che ho provato a scrivere questo nella sezione commenti, ma non ci sono riuscito. Quindi l'ho dato in una risposta ufficiale, in quanto è inestimabile.


Non dovrei essere d'accordo: IMHO se un virus è presente in un file sull'HDD anche se il sistema si avvia Clean dal LiveCd è sempre possibile eseguire il codice dannoso quando si esegue il file infetto. Se non rilevato o interrotto, può persino diffondersi su altri file o dispositivi.
Hastur,

9

Due punti importanti:

  1. Non essere infettato in primo luogo. Usa un buon firewall e antivirus e pratica il "calcolo sicuro": stai lontano da siti discutibili ed evita di scaricare roba quando non sai da dove proviene.
  2. Tieni presente che molti siti web ti diranno che sei "infetto" quando non lo sei: vogliono indurti a comprare il loro anti-spyware o, peggio, vogliono che tu scarichi materiale che è, infatti, spyware mascherato da "applicazione antispyware gratuita". Allo stesso modo, tieni presente che molti su questo sito, principalmente per stupidità, diagnosticano qualsiasi errore "dispari", in particolare il tipo di corruzione del registro per cui Windows è famosa, come segni di spyware.

8

Come suggerito in precedenza in questo argomento, se sei SICURO di essere infetto, utilizza un CD live di Linux per avviare il computer e eseguire immediatamente il backup di tutti i tuoi dati sensibili.

È anche buona norma archiviare i file sensibili su un disco rigido diverso dall'unità di avvio del sistema operativo. in questo modo puoi formattare in sicurezza il sistema infetto ed eseguire una scansione completa dei tuoi dati sensibili solo per essere al sicuro.

È un dato di fatto, non esiste soluzione migliore che formattare la partizione di sistema per assicurarsi di eseguire un ambiente privo di virus e malware. Anche se usi un buon strumento (e senza dubbio ce ne sono molti là fuori), ci sono sempre degli avanzi lasciati indietro e il tuo sistema potrebbe sembrare pulito al momento, ma sicuramente diventa una bomba a orologeria in attesa di esplodere in seguito.


6

L'8 dicembre 2012. Remove-Malware ha rilasciato un tutorial video intitolato "Rimuovi Malware Free 2013 Edition" insieme a una guida complementare che illustra come sbarazzarsi del malware dal PC infetto gratuitamente.

Delineano

  • Backup: come eseguire il backup dei documenti personali importanti nel caso in cui il PC diventi inaccessibile.
  • Raccolta del software necessario per questa guida.
  • Antivirus avviabile: perché l'antivirus avviabile è il modo migliore per rimuovere il malware.
  • Disco antivirus avviabile: come creare un disco antivirus avviabile.
  • Disco antivirus avviabile: come eseguire la scansione del PC con un disco antivirus avviabile.
  • Pulizia: arrotonda i resti e rimuovili.
  • Prevenire che accada di nuovo

Il tutorial video dura oltre 1 ora e insieme alla guida scritta è una risorsa eccellente.

Il tutorial video: link

Guida scritta: link

Aggiornare:

Un articolo molto istruttivo scritto oggi dal 1 ° febbraio 2013 da J. Brodkin intitolato "Virus, Trojan e worm, oh mio: Le basi del malware I malware mobili possono essere alla moda, ma il malware per PC è ancora il grosso problema". da arstechnica.com evidenzia il continuo problema del malware e dei diversi tipi di malware con spiegazioni su ciascuno, evidenziando:

  • backdoor
  • Trojan di accesso remoto
  • Furti di informazioni
  • ransomware

L'articolo evidenzia inoltre la diffusione di malware, operazioni su botnet e aziende sotto attacco.


1

RISPOSTA BREVE:

  1. Esegui il backup di tutti i tuoi file.
  2. Formatta la partizione di sistema.
  3. Reinstalla Windows.
  4. Installa antivirus.
  5. Aggiorna le tue finestre.
  6. Scansiona il tuo backup con antivirus prima di iniziare a usarlo.

Oggi non si può mai essere sicuri di aver rimosso completamente un'infestazione, tranne se si cancella l'unità e si ricomincia.


0

Non penso che programmi AV come MSE, MCAfee, Norton, Kaspersky, ecc. Possano proteggerti al 100% perché i loro file di definizione arrivano sempre dopo il fatto - dopo che il malware è già disponibile sul Web e può aver fatto molto di danno. E molti di questi non ti proteggono da PUP e adware.

Inoltre, non penso che scanner come Malwarbytes, Superantispyware, Bitdefender e altri possano aiutare molto quando il malware ha già danneggiato il sistema. Se disponi di un numero sufficiente di scanner, sarai in grado di rimuovere il malware ma non sarai in grado di riparare i danni causati da questo malware.

Pertanto ho sviluppato una strategia a due livelli:

  1. Realizzo immagini settimanali (utilizzo Macrium gratuito ) della mia partizione di sistema e della mia partizione dati su due dischi esterni collegati solo durante l'imaging. Quindi nessun malware può accedervi. Se qualcosa non dovesse funzionare nel mio sistema, posso sempre ripristinare l'immagine più recente. Di solito conservo una mezza dozzina di immagini complete nel caso dovessi tornare indietro rispetto alla settimana scorsa. Inoltre ho abilitato il ripristino del sistema nel mio sistema operativo in modo da poter tornare rapidamente indietro in caso di aggiornamento difettoso. Ma le immagini di sistema (ombre) non sono molto affidabili perché possono scomparire per vari motivi. Basarsi solo sulle immagini di sistema non è sufficiente.

  2. Gran parte del mio lavoro su Internet lo faccio da una partizione Linux virtuale. Linux stesso non è il bersaglio del malware e il malware Windows non può influenzare Linux. Con quel sistema lo faccio

tutti i miei download e controllandoli con Virus Total prima di spostarli sul sistema Windows. Virus Total esegue il file attraverso 60 dei programmi AV più noti e, se risulta pulito, è molto probabile che sia pulito.

tutti gli accessi a Internet di siti Web in cui non sono sicuro al 100% che siano puliti, ad esempio questo sito Web qui.

tutta la mia posta. Questo è il vantaggio di Gmail e AOL. Posso controllare la mia posta con il mio browser. Qui posso aprire qualsiasi pezzo di posta senza aver paura di ottenere un virus. E gli allegati che eseguo tramite Virus Total.

tutto il mio banking online. Linux mi offre un ulteriore livello di sicurezza

Con questo approccio non vedo alcun malware da anni. Se ti piace provare una partizione Linux virtuale, ecco come .


In che modo questa è una risposta a "Cosa devo fare se il mio computer Windows sembra essere infetto da un virus o malware?"
Andrew Morton,

@whs: Andrew Morton ha ragione sul fatto che questa non è una risposta a questa domanda, ma è un'ottima risposta a una domanda diversa, e sarebbe un vero peccato se venisse annullato il voto per essere nel posto sbagliato. Poni una nuova domanda, ad esempio "Come posso evitare l'infezione da malware oltre a eseguire un programma A / V ed evitare siti Web ombreggiati" e pubblicare qui la risposta.
fixer1234

So che questa è una vecchia risposta, ma devo aggiungere i miei 2 centesimi. Linux non è immune da tutti i malware. en.wikipedia.org/wiki/Linux_malware Inoltre, eseguendo costantemente backup di un personal computer non nell'ambito di competenza del 99% degli utenti medi.
computercarguy,

-2

Quali sono i sintomi di un'infezione?


non potrebbe essere nulla che l'utente possa capire in termini di prestazioni o in altro modo, in questi casi senza una precisione del 100% si potrebbe vedere qualcosa in Task Manager in esecuzione e non ha idea di cosa sia o come sia arrivato lì. ma ci sono casi in cui le prestazioni del computer diventano scadenti, programmi che funzionano più lentamente o per niente o comunque ... i sintomi variano davvero e ci sono casi in cui un'infezione potrebbe essere ovvia quasi senza pensarci due volte, ci sono casi che è molto difficile capire anche se qualcosa va storto. tutto dipende da cosa sei stato infettato (virus, trojan, chiamalo come desideri) e principalmente dal distanziatore che ha causato da esso.


Cosa devo fare dopo aver notato un'infezione? Cosa posso fare per liberarmene? 1. Scansiona il tuo computer con un antivirus. (KAspersky Internet Security, McAfee, Avast, ecc. Ecc.). Tieni presente che anche utilizzando il MIGLIORE Antivirus potresti trovare ciò di cui sei infetto, ma la disinfezione NON lo è100% garantito. 2. mantenere un backup dei file (assicurarsi che non siano anch'essi infetti) e assicurarsi di eliminare tutti i file infetti nel computer anche se ciò significa eliminarli. se li usi, verrai nuovamente infettato, quindi considerali comunque persi. Potresti provare a utilizzare un altro programma antivirus e va bene, ma non hai grandi speranze. 3. il modo migliore / più veloce / più efficace per sbarazzarsi di un'infezione è formattare l'unità disco e effettuare un'installazione pulita del sistema operativo. 4. se si sta per utilizzare QUALSIASI backup, assicurarsi di ripetere la scansione con un programma antivirus prima di applicare. potrebbe anche essere infetto prima che tu potessi capire che qualcosa non andava.

come prevenire l'infezione da malware?

  1. Utilizzando un antivirus, oggigiorno la maggior parte dei programmi antivirus è una soluzione per quasi tutti i tipi di malware / virus ecc. Tenere presente che prevenire è meglio che cercare di risolvere il problema in un secondo momento. Nella maggior parte dei casi sono di grande aiuto. Anche applicazioni come SpyHunter, byte malware, Spybot ecc. Sono ottime per una protezione extra. Anche l'utilizzo di un firewall aiuta. Tieni presente che anche se il tuo computer è OFFLINE e non ha una connessione Internet, è comunque necessario un antivirus. Motivo? è possibile utilizzare CD, chiavette USB, DVD o altri file che provengono da amici / clienti ecc. che potrebbero essere infetti. tuttavia la protezione che un antivirus offre anche in questo caso è preziosa
  2. Download / installazione / utilizzo di software da fonti attendibili.
  3. Accesso a siti Internet attendibili.
  4. Assicurati che il tuo sistema operativo sia SEMPRE AGGIORNATO! gli aggiornamenti non sono solo per le migliori prestazioni, ma anche per la sicurezza.

Questa domanda ha nove anni e ha altre 19 risposte. Cosa stai aggiungendo che non è già stato detto?
Scott,

Benvenuto in Super User e grazie per aver cercato di contribuire a questo thread. Forse ti starai chiedendo perché questo abbia attratto un downvote. In realtà, se questa fosse una domanda tipica, la tua risposta potrebbe aver funzionato bene. Come nuovo utente, non sei a conoscenza di alcun contesto. Questa è una delle nostre domande "canoniche". Se guardi le visite e i voti positivi, sono perché rimandiamo la maggior parte delle persone con problemi di malware a questa discussione. Per supportare tale utilizzo, abbiamo cercato di organizzarlo in argomenti specifici e i post sono stati per lo più forniti da alcuni dei nostri utenti più esperti. (proseguendo)
fixer1234

I post sono stati anche molto raffinati. La tua risposta in realtà non contribuisce a nulla che non sia già stato affrontato meglio in altre risposte. Come base di conoscenza, uno degli obiettivi del sito è che ogni risposta fornisce qualcosa di sostanzialmente diverso da ciò che è già stato contribuito. Quindi ti incoraggio a continuare a condividere le tue conoscenze, ma considera solo la cancellazione di questo particolare post.
fixer1234

-14

Il problema con la scansione di malware esternamente o con un CD live è che molti di questi brutti software si agganciano a processi di memoria, driver e molto altro. Se il sistema operativo del PC non è caricato, non lo sono neppure per un processo di rimozione frustrante. Cerca SEMPRE malware durante l'avvio del sistema operativo infetto.

Detto questo, carica Windows con una copia di RKILL su un'unità USB. L'esecuzione di questa utility uccide qualsiasi processo di malware che si interrompe in background, consentendoti di andare avanti con la rimozione. È MOLTO efficace. Devo ancora imbattermi in una situazione in cui il programma ha fallito il suo lavoro e sono sorpreso di quanti tecnici non ne abbiano mai sentito parlare.

Quindi scelgo di scansionare con byte malware o ComboFix. Il vantaggio di questi scanner è piuttosto che utilizzare le definizioni dei virus, individuano il malware in modo incessante in base al comportamento, una tecnica molto efficace. Un avvertimento però: sono anche molto più pericolosi e possono davvero rovinare qualche negozio serio sul tuo sistema operativo. Assicurati di avere un backup.

Il 90 percento delle volte il processo di cui sopra funziona per me e rimuovo un sacco di queste cose ogni giorno. Se sei paranoico in più, eseguire una scansione con qualcosa come AVG, SuperAntiSpyware o Microsoft Security Essentials potrebbe non essere una cattiva idea. Anche se non ho visto questi programmi rilevare molto di più del innocuo cookie tracker, alcune persone lo giurano. Concediti la tranquillità e fallo se è necessario.


10
ALWAYS scan for malware while the infected OS is booted... è un po 'come dire Combatti sempre il nemico mentre prestano attenzione . Se il tuo malware scanner non riesce a trovare il codice dannoso mentre è a riposo in un file, non ha alcuna possibilità contro il codice mentre è in memoria in grado di eseguire le sue acrobazie che occultano il voodoo.
Twisty Impersonator

1
Quindi vuoi caricare il sistema operativo, in modo che i processi dannosi siano in esecuzione e POI vuoi uccidere i processi in modo da poterli rimuovere? Questo è solo all'indietro secondo me.
svin83,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.