Come posso riparare un computer infestato da malware che non risponde? [duplicare]

Possibile duplicato:
come posso eliminare spyware, malware, virus o rootkit dannosi dal mio PC?

Sto risolvendo un PC Windows 7 per un amico. Un paio di giorni fa ha iniziato a funzionare 'lentamente'. Si scopre che 'lento' è di circa 15 minuti al primo sguardo sul desktop e altri 30 per mostrare le icone. E ' è possibile aprire il Task Manager, e nulla sembra storto, l'utilizzo della CPU al 1-5%, un sacco di memoria libera.

La macchina è chiaramente infestata da malware, in particolare un programma chiamato "Optimizer Pro" richiede denaro per "rimuovere i file 5102 che rallentano il mio computer". Questo sembra altamente sospetto.

Il mio problema è che non riesco ad accedervi msconfig(l'ho lasciato per un paio d'ore dopo averlo digitato nel menu Start e ho premuto invio - nulla sembra aver caricato), o praticamente nulla. Posso fare il boot da un Live CD di Linux, ma posso davvero fare qualcosa di utile da lì?

Anche Ripristino configurazione di sistema non ha risolto il problema e la Modalità provvisoria mostra lo stesso comportamento.

Consiglio di reinstallare Windows

Se provi a recuperare l'installazione esistente finirai per passare ore o, probabilmente, giorni a lavorarci e non avrai nulla da mostrare per i tuoi sforzi. E anche se tu fossi in grado di eseguire con successo tutti gli strumenti di rimozione del malware, non mi fiderei che tutto il malware sia stato effettivamente rimosso perché, per definizione, gli autori del malware sono sempre un passo avanti rispetto agli autori della rimozione del malware. Una volta che una macchina è stata infettata gravemente, è probabilmente caricata con tutti i tipi di cose cattive.

Così...

1. Formatta il disco rigido
2. Installa Windows

E, come suggerito da uno dei commentatori, dovresti presumere che tutti i file e i dati della vecchia installazione siano infetti e non debbano essere attendibili.

Vari venditori di antivirus hanno CDROM di ripristino / scansione avviabili. Due quelli gratuiti sono:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 è progettato per scansionare e disinfettare computer compatibili con x86 e x64 che sono stati infettati.

L'applicazione deve essere utilizzata quando l'infezione è così grave che è impossibile disinfettare il computer utilizzando applicazioni antivirus o utilità di rimozione malware (come Kaspersky Virus Removal Tool) in esecuzione nel sistema operativo.

CD di AVG Rescue

CD di AVG Rescue Ripristina rapidamente la tua attività in caso di crash del sistema.

Rimuove le infezioni, ripara i file e ripristina i sistemi.

Salterò qui e chiederò di più su questo, quindi pubblicherò le mie ipotesi sul computer. Hai detto che utilizza solo l'1-5% della CPU, ma si muove ancora lentamente? Anche se non sto dicendo che non sia pieno di virus o altro perché potrebbe essere, voglio sottolineare che questo mi sta urlando hardware difettoso. La prossima volta che apri Task Manager, vai a controllare il monitor delle risorse. Ecco una semplice guida all'uso del monitor delle risorse.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Apri Task Manager e vai alla scheda Prestazioni. Nella parte inferiore è presente un pulsante per il monitoraggio delle risorse. Una volta aperto, controlla la scheda Disco in alto e guarda e vedi quanto tempo impiegano le richieste. Guardando il mio computer e l'immagine del computer trovata su quel sito, indovinerò che per un'unità non SSD, i tempi di risposta inferiori a 100 millisecondi sembrano essere ciò che stai cercando. Se il computer ha più di 1 secondo di tempo di risposta per tutto, il tuo computer sarà lento, indipendentemente da come lo avvii. Commenta di nuovo qui e facci sapere se il tempo di risposta del disco è lento. In tal caso, puoi provare a eseguire un disco di controllo sull'unità e attendere per sempre che finisca e vedere se questo risolve il problema.

Ricorda che questo potrebbe non essere il problema, ma se lo è, la reinstallazione di Windows o l'esecuzione di una scansione antivirus non risolveranno il problema.

Per aggiungere le mie idee al mix ...

Prova a estrarre il disco rigido offensivo e a collegarlo a un caddy esterno, quindi collegalo a un PC funzionante. È quindi possibile controllare il disco, eseguire controlli anti-virus / malware, deframmentare, ecc.

Inoltre, salva ciò che puoi dai file necessari (facendo attenzione a non copiare nulla che potrebbe potenzialmente infettare un altro PC. Ovviamente, assicurati che il PC host abbia una buona protezione prima di farlo.

Se dopo aver riposizionato il disco rigido e funzionasse ancora male, prenderei in considerazione la reinstallazione di Windows. Il tempo impiegato per cercare di risolvere qualsiasi altro problema non ne varrà la pena.

Se riesci ad avviare in modalità provvisoria, lo farei.

• L'antimalware di Malwarebytes è un eccellente programma gratuito come menzionato sopra e hanno appena rilasciato un programma Antirootkit anche se in versione beta

• Sono anche un fan di DR Web Cureit Free Antivirus (scanner su richiesta)

• Il CD di avvio di Hiren è probabilmente uno dei CD di malware di avvio più completi disponibili

• Potrebbe essere il caso in cui il tuo computer sia gravemente frammentato e potrebbe essere necessario deframmentare, nel qual caso raccomando Ultradefrag Free Edition

• Ccleaner per pulire tutta la spazzatura del tuo sistema

Tutto quanto sopra non ti costerà neanche un centesimo.

C'è un eccellente articolo scritto di recente il 6 novembre 2012 da Whinston Gordon per Lifehacker che penso sarebbe utile a tutti, intitolato "I presupposti che fai sul tuo PC lento (e perché probabilmente sono sbagliati)" . Spero che la trovi una lettura interessante!

Scarica e avvia qualsiasi distribuzione live di Linux per verificare se la macchina è in qualche modo handicappata (RAM difettosa, disco rigido danneggiato, ...) o è solo un'installazione di Windows troppo vecchia (forse un attacco di virus). In caso di attacco di virus è possibile scaricare http://free.drweb.com/ cd live avviabile con scanner antivirus per assicurarsi che il PC sia pulito. Lo scanner gratuito di drweb ci ha aggiornato più volte al giorno in modo da poter rilevare e curare anche il più recente codice dannoso.

Lo strumento migliore che ho usato è Malwarebytes . L'ho usato quando ho lavorato in IT alcuni anni fa. Inoltre, Kaspersky è buono come AVG (come suggerito sopra) o una combinazione di tutti.

Un'altra grande opzione, che include l'immagine live di Malwarebytes, è BootCD di Hiren ( link diretto per il download).

Alla fine della giornata, penso ancora che @hair della risposta del cane sia probabilmente la soluzione "migliore".

D'altra parte, lasciare un problema così com'è, probabilmente non è il modo di fare le cose.

Questa è davvero una versione ridotta di alcune delle risposte precedenti, con qualche altra osservazione.

Nella mia esperienza, i dischi rigidi sono un grande motivo per rallentare i computer. Sono dispositivi bizzarri con molte modalità di errore e errore. Ci sono anche altri motivi per cui vale la pena dare un'occhiata

L'avvio in un cd live di Linux generico è piuttosto utile in questo caso. Ci sono due cose che vuoi fare quando cerchi i possibili problemi di guida. Per prima cosa vuoi chiedere all'unità se è ok - smartmontools(o il suo front-end grafico, gsmartcontrol) è abbastanza buono qui. Desideri risultati generalmente "sani". Mentre ci sei, potresti anche voler eseguire hdparm -Tt /dev/sdXxalcune volte per ottenere un risultato di riferimento della velocità del disco. Esegui lo stesso comando su un disco abbastanza sano e simile per vedere se è davvero più lento.

Suggerirei anche di fare il ripristino a livello di file a questo punto. Un'unità che è stata montata in modo impuro non si monterà automaticamente in Linux - dovrai mount -f /dev/SDXx /mount/pointforzare il montaggio. Se il disco è ovviamente danneggiato secondo gli smartmontools, usa una variante DD incentrata sul recupero per fare un backup - Gnu ddrescue è una buona scommessa. Questo creerà un'immagine che salta i settori danneggiati

Supponendo che il disco sia ok, diventa complicato. Probabilmente potresti eseguire una scansione AV offline per provare a ripulirla, quindi inserirla in un altro sistema per fare un po 'di manutenzione.

Puoi anche montare l'hive del registro di un altro sistema Windows per modificare manualmente le voci di avvio (ottimo momento per eseguire un controllo dei virus da un sistema Windows e una deframmentazione) o utilizzare l'editor del registro dal disco del cambia-password offline supponendo che tu sappia cosa ' stai cercando.

Se eseguiamo attività di ripristino / riparazione utilizzando gli strumenti di Windows, potresti prendere in considerazione la creazione di un disco PE (bartpe se non ti dispiace un disco live basato su XP) o utilizzare un'installazione separata "usa e getta" per queste attività per ridurre il rischio di contaminazione incrociata di malware.

A questo punto DOVREBBE aver capito se il disco è lento, se è un malware e se ritieni che valga la pena ripararlo. Avresti dovuto anche ottenere i tuoi dati. Se il suo malware e le scansioni e le regedit offline falliscono, puoi eseguire lo shred dal LiveCd per cancellare il disco. Se il suo errore hardware, è possibile ripristinare da quel backup dd. Se non è nessuno dei precedenti, le cose si fanno interessanti

Hiren è tuo amico.

http://www.hirensbootcd.org/download/

Scaricalo, masterizzalo, avvialo dal computer lento.

C'è una serie di strumenti lì, per verificare la presenza di errori tra cui disco rigido, CPU, memoria, ecc.

Esegui un paio di quelli per vedere cosa trovi.

Dispone inoltre di alcuni programmi di sicurezza che consentono di eseguire una scansione AV / malware.

Altamente raccomandato.

Hai controllato i tuoi dischi rigidi? Forse ha alcuni settori danneggiati, causando un lungo ritardo ogni volta che si accede a determinati file. Prova a eseguire chkdsk /rin modalità provvisoria (o utilizza un altro strumento di riparazione del disco).

Si consiglia di reinstallare. Tuttavia, se sul dispositivo sono presenti dati che non puoi permetterti di perdere, potresti provare Microsoft Defender Offline .

Fondamentalmente ti permette di bypassare il sistema operativo e quindi puoi eseguire una scansione del disco rigido. Assicurati di scaricare una nuova copia in modo da avere definizioni antivirus recenti.

Se dopo il PC è ancora lento, puoi provare a eseguire l' avvio con un CD / USB Linux per copiare i tuoi dati e quindi reinstallare Windows. Assicurati di eseguire la scansione del disco rigido di backup su un altro computer (protetto) prima di copiarlo sul vecchio computer.

Almeno questo malware rallenta il PC in modo ecologico e non massimizza la CPU!

La risposta breve alla domanda originale è reinstallare come menzionato in precedenza. Al giorno d'oggi, tuttavia, gli autori di malware sanno che la maggior parte delle persone semplicemente si reinstalla invece di tentare la rimozione, quindi la maggior parte prende solo contromisure contro strumenti automatizzati e non una persona esperta al terminale. Quindi, se una reinstallazione non è desiderabile e non ti dispiace sprecare un paio d'ore (o più), di solito non è troppo difficile rimuovere la maggior parte del malware.

Tuttavia, è necessario conoscere il prompt dei comandi ed essere in grado di distinguere il malware dal software legittimo. Non vi è alcun sostituto per l'esperienza qui, ma ho trovato efficace l'approccio di seguito.

In primo luogo preparare l'ambiente:

1. Da un altro PC pulito, scaricare una copia della suite Sysinternals e copiarla su una chiavetta USB (o direttamente sul disco rigido del PC, se possibile).
2. Rinomina due dei programmi di utilità, procexp.exe e autoruns.exe in nomi di file casuali (ma prendi nota in modo da poterli riconoscere!)
3. Disconnetti tutte le connessioni di rete.
4. Avviare il computer in modalità provvisoria, accedere al desktop. La modalità provvisoria non è essenziale, ma aiuta in quanto ci saranno meno processi in esecuzione da superare e il malware dovrebbe emergere più facilmente. Anche l'utilizzo di un profilo utente pulito può essere d'aiuto per lo stesso motivo, ma ciò può oscurare l'infezione da parte tua in quanto vi sono probabilmente voci nel registro dell'utente.
5. Apri un prompt dei comandi come amministratore ed esegui taskkill /F /IM explorer.exeper uccidere explorer. Ciò blocca una buona quantità di malware nelle sue tracce, facilitando la rimozione. Se ti viene impedito di eseguire il prompt dei comandi, una copia rinominata da un altro PC può essere efficace (a volte puoi cavartela semplicemente facendo una copia sullo stesso computer).
6. Dal prompt dei comandi avviare procexp e autoruns tramite gli eseguibili rinominati. Tieni presente che è possibile che il malware rilevi gli hash o altre caratteristiche e ti impedisca di avviare questi strumenti, ma almeno l'hash non sarebbe un approccio affidabile in quanto vengono aggiornati abbastanza frequentemente. Di solito qualsiasi contromisura contro questi strumenti cerca il nome del file.

Da qui puoi usare autoruns e procexp per rimuovere il malware, ma è tanto arte quanto scienza. Procexp mostra ciò che è attualmente in esecuzione e autoruns ti mostra come è stato lanciato. I modelli da cercare sono:

• Nomi di file che sembrano generati casualmente
• Software in esecuzione da directory temporanee
• Software in esecuzione nel profilo dell'utente. Con Vista e versioni successive, l'esecuzione del software dal profilo è diventata più comune per evitare le richieste di elevazione, ma la maggior parte dei software legittimi verrà comunque installata in Programmi. Dato che questo ha chiaramente l'accesso come root, andrai a cercarlo nelle directory di sistema, ma potrebbe esserci un osservatore e di solito l'infezione proviene da qualche parte del profilo utente (download, file temporanei Internet).
• File modificati di recente in C: \ Windows e System32
• Nomi vicini a file binari di Windows legittimi come cmd.exe, services.exe (o gli stessi nomi di file ma nella posizione errata). Ho visto cnd.exe, service.exe. explore.exe ai miei tempi.
• Voci Rundll32.exe. Molti sono legittimi ma controllano i processi per vedere quali DLL sono caricate.

Suggerimenti per la rimozione:

• Può essere utile semplicemente raccogliere informazioni prima di tentare di terminare i processi ed eliminare le voci: questo ti offre una visione più olistica e fare più passi in rapida successione sarà più efficace del fare le cose in modo isolato, poiché i processi degli osservatori possono molto rapidamente tornare al passaggio 1.
• Per qualsiasi cosa ovvia usa la funzione kill and delete di procexp. Se ciò non riesce, a volte utilizzare echo > "c:\path\to\malware.exe"sul prompt dei comandi per cancellare il suo file seguito da kill ed delete può funzionare.
• Usa gli autoruns per trovare dove è collegato. Uso questo strumento perché sembra completo, a corto di rootkit o modificando gli eseguibili del sistema, non ci sono molti altri modi per avviare il malware, se presente. Per risparmiare tempo, utilizzare l'opzione "Nascondi voci Microsoft", che è disabilitata per impostazione predefinita.
• Se trovi un hook in autoruns che carica una DLL con ogni exe, i tuoi processi in esecuzione (inclusi i tuoi strumenti di rilevamento) manterranno vivo il malware. In questo caso è necessario svuotare la DLL incriminata con echo come sopra, uccidere e riavviare tutto il software (dovrebbe provocare un errore DLL ogni volta che si esegue un programma), quindi riavviare. Ma assicurati di aver rimosso prima eventuali altri ganci.
• Potrebbe esserci un processo di monitoraggio che cerca modifiche al malware e lo ripristina. In tal caso, potrebbe essere necessario eseguire più azioni contemporaneamente e l'unico modo affidabile per farlo è utilizzare uno script batch. Ma a seconda dell'intervallo di controllo può essere sufficiente eseguire rapidamente i passaggi in sequenza.
• Se non riesci a trovare nulla e risulta essere un rootkit, trovarlo e rimuoverlo diventa molto più difficile: hai bisogno di strumenti che aggirino l'apis di Windows di livello superiore. Questo è probabilmente un po 'oltre lo scopo di ciò che può essere coperto in una risposta Superuser, ma l'uso di RootkitRevealer seguito da un cd di avvio di Linux per eliminare i file effettivi può essere efficace (ricordati di rinominare l'exe).
• Se è necessario riavviare prima di essere sicuri della completa rimozione, interrompere l'alimentazione anziché eseguire un riavvio ordinato rimuove un'ulteriore opportunità di reinfezione. Assicurati solo di aver prima eseguito il backup dei loro dati.

Dato che questo particolare malware richiede denaro per riparare il tuo computer e lo rallenta, è probabile che l'approccio di caricamento della DLL. Probabilmente non modifica i file di sistema né installa un rootkit, poiché ciò comporta un rischio maggiore di interrompere completamente il sistema. Quindi dovresti essere in grado di rimuoverlo usando l'approccio generale sopra, ma se perdi un solo gancio probabilmente tornerai al punto di partenza al prossimo avvio.

Se questo sembra un grande sforzo, lo è. La reinstallazione è in genere più semplice e non puoi mai più fidarti completamente di un computer una volta che ha malware. Ma personalmente lo trovo divertente - sei tu contro lo scrittore di malware e hai il chiaro vantaggio di essere l'umano alla console!

Puoi dare un'occhiata a Windows Defender Offline , cerca malware e ti dà la possibilità di risolvere.

Per semplificare, hai un problema con l'hardware, un problema con il software o entrambi.

Scopri se il tuo computer ha l'avvio da CD o l'avvio da USB abilitato e i passaggi per l'avvio da un supporto esterno se è disabilitato per impostazione predefinita. Una rapida ricerca su Google spesso accelera questo processo.

Utilizzare un cd live come Ultimate Boot CD per verificare la presenza di errori nella RAM e nel disco rigido. Prova la RAM con Memtest86 + e utilizza la suite di test del produttore del tuo disco rigido, come DLG per dischi rigidi WD . Ciò escluderà la maggior parte dei problemi con la memoria e i problemi del disco rigido. È inoltre possibile controllare le temperature del sistema se si desidera escludere problemi termici.

Quindi, esegui un CD live Linux o avvia una distribuzione Linux da USB. Se questo non presenta problemi e funziona molto più velocemente del sistema installato senza problemi di stabilità, è il tempo di avvio e di esplosione. A questo punto, trasferisci qualsiasi elemento "impossibile da perdere" dal disco rigido a una sorta di supporto esterno. Ti consigliamo di scansionare questi file alla ricerca di malware prima di portarli ovunque vicino a un PC pulito. È preferibile scansionarli in una sorta di ambiente live.

Se non avessi già provato la partizione di ripristino, potresti scegliere di eseguire un "ripristino distruttivo" da qui, ma non ho molta fiducia nelle partizioni di ripristino, poiché possono essere infettate da malware proprio come le partizioni normali . Qui è piacevole essere un utente Linux, perché non è necessario sudare per le chiavi di licenza e installare i supporti.

Se hai intenzione di rimanere in Windows, ecco i tuoi passaggi:

Individua un disco di ripristino del sistema o una versione legittima del sistema operativo che desideri installare. Verificare che sia una versione "completa" e non una versione "aggiornamento" che richiede una versione precedente del sistema operativo presente per l'installazione. Assicurati di avere la chiave di licenza e inseriscila correttamente. Preparati a chiamare il produttore se il ripristino non funziona correttamente o Microsoft se l'installazione del sistema operativo non è corretta.

Prendi il "Ultimate Boot CD" precedentemente citato ed esegui Darik's Boot e Nuke . Ci vorrà del tempo per cancellare l'unità. Poiché prevedi di reinstallare, puoi utilizzare una delle modalità di formattazione più rapide. Una "cancellazione rapida" o "DoD short" dovrebbe fare il trucco.

Installa il sistema operativo da zero sul disco rigido (ora vuoto).

Se necessario, trasferire i vecchi file che sono stati scansionati più volte alla ricerca di virus nella nuova installazione del sistema operativo. Goditi il ​​processo di installazione del software e degli aggiornamenti di sistema.

Maledici te stesso per non avere un backup più recente o per l'implementazione di una routine di backup dell'immagine di sistema. Prometti di essere migliore, e spero che non ci sarà una prossima volta. Probabilmente ci sarà una prossima volta.

La soluzione corretta è quella di nuke e reinstallare Windows. Se questa non è semplicemente una soluzione, l'unica altra soluzione corretta è quella di utilizzare un'installazione linux cd / usb live per eseguire pacchetti software antivirus all'esterno dell'installazione di Windows.

Ho esaminato le risposte fornite e sono sorpreso di vedere che il kit di salvataggio Trinity non è ancora stato menzionato!

Questa suite di software è la mia soluzione goto quando sto cercando di rimuovere malware / virus / rootkit da un computer infetto. Ha 3-4 diverse soluzioni software che usciranno in rete e recupereranno le sue ultime definizioni prima di iniziare il processo di scansione / pulizia.