Что мне делать, если мой компьютер с Windows, похоже, заражен вирусом или вредоносным ПО?

• Каковы симптомы заражения?
• Что делать после обнаружения заражения?
• Что я могу сделать, чтобы избавиться от этого?
• Как предотвратить заражение вредоносным ПО?

Этот вопрос возникает довольно часто, и предложенные решения обычно одни и те же. Этот вики-сообщество – попытка служить исчерпывающим и самым полным ответом, который возможен.

Не стесняйтесь добавлять свои дополнения через правки.

Вот в чем дело: Вредоносное ПО в последние годы стало одновременно хитрым и злобным:

Хитрым не только потому, что лучше прячется с помощью руткитов или взломов EEPROM, но и потому, что оно путешествует группами. Ненавязчивые вредоносные программы могут скрываться за более очевидными инфекциями. Здесь перечислено много хороших инструментов, которые могут обнаружить 99% вредоносного ПО, но всегда есть этот 1%, который они не могут обнаружить. В основном это тот 1%, который новый: инструменты по борьбе с вредоносным ПО не могут его обнаружить, потому что он только что вышел и использует какие-то новые уязвимости или техники для сокрытия, которых инструменты еще не знают.

Вредоносное ПО также имеет короткий срок службы. Если вы заражены, что-то из этого нового 1% очень вероятно является одной частью вашего заражения. Это не будет всем заражением: просто частью его. Системы безопасности помогут вам найти и удалить более очевидные и известные вредоносные программы, и, скорее всего, удалят все видимые симптомы (поскольку вы можете продолжать копаться до тех пор, пока не дойдете до этого), но они могут оставить небольшие кусочки, такие как кейлоггер или руткит, скрывающиеся за какой-то новой уязвимостью, которую инструмент безопасности еще не знает, как проверить. Инструменты против вредоносного ПО все еще имеют свое место, но я к этому вернусь позже.

Злобным тем фактом, что они больше не просто показывают рекламу, устанавливают панели инструментов или используют ваш компьютер как зомби. Современное вредоносное ПО, вероятнее всего, идет прямо за банковской или кредитной информацией. Люди, создающие эти вещи, больше не просто скрипт-кидди, ищущие славы; сейчас это организованные профессионалы, мотивированные прибылью, и если они не могут украсть у вас напрямую, они будут искать что-то, что можно перевернуть и продать. Это могут быть ресурсы обработки или сети в вашем компьютере, но это также может быть ваш номер социального страхования или шифрование ваших файлов и удерживание их в заложниках.

Сложив эти два фактора вместе, уже не имеет смысла пытаться удалить вредоносное ПО из установленной операционной системы. Раньше я очень хорошо справлялся с удалением этого; до того, что значительная часть моего заработка приходила от этого, и теперь я даже не делаю попыток. Я не говорю, что это невозможно сделать, но я говорю, что результаты анализа затрат/выгод и рисков изменились: это просто уже не стоит того. Ставки слишком высоки, и получить результаты, которые только кажутся эффективными, слишком легко.

Много людей будут со мной не согласны, но я сомневаюсь, что они достаточно сильно взвешивают последствия неудачи. Готовы ли вы поставить свои сбережения, свою хорошую кредитную историю, даже свою личность на то, что вы лучше в этом, чем мошенники, зарабатывающие миллионы на этом каждый день? Если вы попробуете удалить вредоносное ПО, а затем продолжите использовать старую систему, это именно то, что вы делаете.

Я знаю, что есть люди, которые читают это и думают: “Эй, я удалил несколько инфекций с разных машин, и ничего плохого никогда не случалось.” Я тоже. Я тоже. В прошлом я очистил свою долю зараженных систем. Тем не менее, я предлагаю теперь добавить “еще” в конце этого утверждения. Вы можете быть на 99% эффективными, но вам нужно ошибиться всего один раз, и последствия неудачи намного выше, чем когда-либо; стоимость всего одного провала может легко перевесить все остальные успехи. У вас может уже быть машина, которая все еще содержит тикающую бомбу, просто дожидаясь активации или сбора правильной информации, прежде чем сообщить о ней. Даже если у вас сейчас есть 100% эффективный процесс, это все время меняется. Помните: вам нужно быть идеальными каждый раз; плохие парни просто должны один раз повезти.

В заключение, это печально, но если у вас есть подтвержденная инфекция вредоносного ПО, полное переустановление компьютера должно быть первым шагом, к которому вы обращаетесь, а не последним.

Вот как это сделать:

Перед тем, как вы заразитесь, убедитесь, что у вас есть способ переустановить любое купленное программное обеспечение, включая операционную систему, который не зависит от чего-либо, хранящегося на вашем внутреннем жестком диске. Для этой цели это обычно означает хранение cd/dvd или продуктовых ключей, но операционная система может потребовать, чтобы вы создали резервные диски самостоятельно.¹ Не полагайтесь на раздел восстановления для этого. Если вы подождете, пока произойдет заражение, чтобы убедиться, что у вас есть все необходимое для переустановки, вы можете оказаться в ситуации, когда вам придется снова платить за то же программное обеспечение. С ростом программ-вымогателей также чрезвычайно важно регулярно делать резервные копии своих данных (плюс, вы знаете, обычные не-порочные вещи, такие как сбой жесткого диска).

Когда вы заподозрили, что у вас есть вредоносное ПО, смотрите на другие ответы здесь. Здесь предлагается много хороших инструментов. Моя единственная проблема – это наилучший способ их использовать: я полагаюсь на них только для обнаружения. Установите и запустите инструмент, но как только он найдет доказательства настоящей инфекции (больше чем просто “куки для отслеживания”), просто остановите сканирование: инструмент выполнил свою задачу и подтвердил ваше заражение.²

При подтвержденной инфекции, выполните следующие шаги:

1. Проверьте свои кредитные и банковские счета. К тому времени, когда вы узнаете о заражении, реальный ущерб уже мог быть нанесен. Примите все необходимые меры для защиты своих карт, банковского счета и идентичности.
2. Измените пароли на любом веб-сайте, который вы посещали с компрометированного компьютера. Не используйте компрометированный компьютер для этого.
3. Создайте резервную копию своих данных (еще лучше, если у вас уже есть одна).
4. Переустановите операционную систему, используя оригинальные носители, полученные непосредственно от поставщика ОС. Убедитесь, что переустановка включает полное форматирование вашего диска; восстановление системы или операция восстановления системы недостаточны.
5. Переустановите свои приложения.
6. Убедитесь, что ваша операционная система и программное обеспечение полностью обновлены и актуальны.
7. Запустите полное антивирусное сканирование, чтобы очистить резервную копию из третьего шага.
8. Восстановите резервную копию.

Если сделать все правильно, это, вероятно, займет от двух до шести реальных часов вашего времени, распределенных на два-три дня (или даже больше), пока вы ждете, пока такие вещи, как приложения будут установлены, обновления Windows будут загружены или большие резервные файлы будут переданы… но это лучше, чем узнать позже, что мошенники опустошили ваш банковский счет. К сожалению, это то, что вы должны сделать сами, или попросить технически подкованного друга сделать это для вас. При типичной ставке консультирования около 100 долларов в час, иногда может быть дешевле купить новую машину, чем платить магазину за это. Если у вас есть друг, чтобы сделать это вместо вас, сделайте что-нибудь приятное, чтобы показать вашу признательность. Даже гики, которые любят помочь вам настроить новые вещи или исправить сломанное оборудование, часто ненавидят скучную работу по очистке. Также лучше, если вы сделаете свою собственную резервную копию… ваши друзья не знают, где вы положили какие файлы или какие из них действительно важны для вас. Вы в лучшем положении, чтобы сделать хорошую резервную копию, чем они.

Скоро даже все это может быть недостаточно, так как теперь существует вредоносное ПО, способное заражать прошивки. Даже замена жесткого диска может не удалить инфекцию, и покупка нового компьютера станет единственным вариантом. К счастью, на момент написания этого материала мы еще не пришли к этому моменту, но этот день определенно приближается быстро.

Если вы абсолютно настаиваете, не имея никакого разума, что хотите очистить свою существующую установку, а не начать заново, тогда ради Бога убедитесь, что любой метод, который вы используете, включает в себя одну из следующих двух процедур:

• Удалите жесткий диск и подключите его как гостевой диск на другом (чистом!) компьютере для сканирования.

ИЛИ

• Загрузите с CD/USB-накопителя с его собственным набором инструментов, работающим на своем собственном ядре. Убедитесь, что изображение для этого получено и записано на чистом компьютере. Если это необходимо, попросите друга сделать диск для вас.

При любых обстоятельствах не пытайтесь очистить зараженную операционную систему, используя программное обеспечение, работающее как гостевой процесс этой компрометированной операционной системы. Это просто глупо.

Конечно, лучший способ справиться с инфекцией – это избежать ее в первую очередь, и есть несколько действий, которые вы можете предпринять для этого:

1. Держите свою систему обновленной. Убедитесь, что вы незамедлительно устанавливаете обновления Windows, обновления Adobe, обновления Java, обновления Apple и т. д. Это гораздо важнее, чем антивирусное программное обеспечение, и в большинстве случаев это не так уж сложно, если вы держите актуальность. Большинство из этих компаний неформально пришли к решению выпустить новые патчи в один и тот же день каждого месяца, так что, если вы будете держать актуальность, это не будет слишком часто прерывать вас. Принудительные перезагрузки обновлений Windows обычно происходят только тогда, когда вы игнорируете уведомления слишком долго. Если это часто происходит с вами, вам нужно изменить свое поведение. Это важно, и не нормально просто постоянно выбирать опцию “установить позже”, даже если это легче в данный момент.

2. Не работайте как администратор по умолчанию. В последних версиях Windows это так же просто, как оставить функцию UAC включенной.

3. Используйте хороший инструмент брандмауэра. В наши дни встроенный брандмауэр в Windows на самом деле достаточно хорош. Вы можете дополнить этот уровень чем-то вроде WinPatrol, что помогает остановить вредоносную деятельность на переднем плане. Windows Defender также работает в этой способности в некоторой степени. Основные плагины блокировки рекламы для браузера также становятся все более полезными на этом уровне как средство безопасности.

4. Установите большинство плагинов браузера (особенно Flash и Java) на “Запрашивать активацию”.

5. Используйте актуальное антивирусное программное обеспечение. Это далеко не на пятом месте среди других вариантов, поскольку традиционные антивирусные программы часто просто не так эффективны в наши дни. Также важно акцентировать внимание на “актуальном”. У вас может быть лучшее антивирусное программное обеспечение в мире, но если оно не актуально, вы можете просто удалить его.

   По этой причине я в настоящее время рекомендую Microsoft Defender. Возможно, есть гораздо лучшие движки сканирования, но Microsoft Defender встроен в Windows и будет поддерживать свою актуальность через обычный механизм обновлений Windows, не рискуя истечением сроков регистрации. AVG и Avast также работают хорошо таким образом. Я просто не могу рекомендовать какое-либо антивирусное программное обеспечение, за которое нужно действительно платить, потому что слишком часто происходит истечение оплаченной подписки, и вы остаетесь без актуальных определений.

   Также стоит отметить здесь, что пользователи Mac теперь также должны использовать антивирусное программное обеспечение. Времена, когда они могли обойтись без этого, давно прошли. В дополнение к этому, мне кажется очень забавным, что теперь я должен рекомендовать пользователям Mac купить антивирусное программное обеспечение, но советовать пользователям Windows отказаться от этого.

6. Избегайте торрент-сайтов, warez, пиратского программного обеспечения и пиратских фильмов/видео. Это вещи часто внедряются вредоносным ПО от того, кто взломал или разместил их — не всегда, но достаточно часто, чтобы избежать всего этого беспорядка. Это часть того, почему хакеры делают это: часто они получают часть прибыли.

7. Используйте свою голову при серфинге в интернете. Вы самое слабое звено в цепочке безопасности. Если что-то звучит слишком хорошо, чтобы быть правдой, скорее всего, так оно и есть. Самая очевидная кнопка загрузки редко бывает той, которую вы хотите использовать при загрузке нового программного обеспечения, поэтому убедитесь, что вы читаете и понимаете все на веб-странице, прежде чем нажать эту ссылку. Если вы видите всплывающее сообщение или слышите звуковое сообщение, предлагающее вам позвонить в Microsoft или установить какой-то инструмент безопасности, это обман.
   Также предпочтительно загружать программное обеспечение и обновления/обновления напрямую от продавца или разработчика, а не с веб-сайтов третьих сторон.

_{¹ Microsoft теперь публикует установочные носители Windows 10, так что вы можете легально скачать и записать на флешку объемом 8 ГБ или больше бесплатно. У вас все равно должна быть действительная лицензия, но вам больше не нужна отдельная резервная диск для базовой операционной системы.}

_{² Это хорошее время, чтобы отметить, что я немного смягчил свой подход. Сегодня большинство “инфекций” попадают в категорию PUP (Потенциально нежелательные программы) и расширений браузера, включенных в другие загрузки. Часто эти PUP/расширения могут быть безопасно удалены традиционными средствами, и теперь это достаточно большая доля вредоносного ПО, что я могу остановиться на этом этапе и просто попробовать функцию Добавить/Удалить программы или обычную опцию браузера для удаления расширения. Однако, при первых признаках чего-то более серьезного — любой намек на то, что программа не будет просто нормально удаляться — и я снова возвращаюсь к переустановке машины.}

Как узнать, заражен ли мой ПК?

Общие симптомы вредоносного ПО могут быть любыми. Обычные следующие:

• Машина работает медленнее обычного.
• Случайные сбои и неожиданное поведение (например, некоторые новые вирусы накладывают ограничения групповых политик на вашем компьютере, чтобы предотвратить запуск диспетчера задач или других диагностических программ).
• Диспетчер задач показывает высокую загрузку CPU, когда вы думаете, что ваш компьютер должен быть бездействующим (например, <5%).
• Реклама возникает случайным образом.
• Появляются предупреждения вируса от антивируса, который вы не помните, что устанавливали (это фальшивый антивирус, который пытается утверждать, что у вас есть страшные вирусы с названиями вроде ‘bankpasswordstealer.vir’. Вам предлагают заплатить за эту программу, чтобы очистить это).
• Всплывающие окна / поддельный синий экран смерти (BSOD), предлагающие вам позвонить по номеру, чтобы устранить инфекцию.
• Интернет-страницы перенаправляются или блокируются, например, домашние страницы продуктов AV или сайты поддержки (www.symantec.com, www.avg.com, www.microsoft.com) перенаправляются на сайты, заполненные рекламой, или фальшивые сайты, пропагандирующие поддельные антивирусы / “полезные” инструменты удаления, или вообще блокируются.
• Увеличение времени загрузки, когда вы не устанавливали никаких приложений (или патчей)… Это довольно неудобно.
• Ваши личные файлы зашифрованы, и вы видите сообщение о требовании выкупа.
• Что-то не так, если вы “знаете” свою систему, вы обычно знаете, когда что-то очень не так.

Как избавиться от этого?

С помощью Live CD

Поскольку вирусный сканер зараженного ПК может быть скомпрометирован, вероятно, безопаснее просканировать диск из Live CD. CD загрузит специализированную операционную систему на вашем компьютере, которая затем просканирует жесткий диск.

Существуют, например, Avira Antivir Rescue System или ubcd4win. Больше предложений можно найти на СПИСОК БЕСПЛАТНЫХ ЗАГРУЗОЧНЫХ ANTIВИРУСНЫХ СПАСАТЕЛЬНЫХ CD, таких как:

• Kaspersky Rescue CD
• BitDefender Rescue CD
• F-Secure Rescue CD
• Avira Antivir Rescue Disk
• Trinity Rescue Kit CD
• AVG Rescue CD

Подключение жесткого диска к другому ПК

Если вы подключаете пораженный жесткий диск к чистой системе для его сканирования, обязательно обновите определения вирусов для всех продуктов, которые вы будете использовать для сканирования зараженного диска. Ожидание недели, чтобы позволить поставщикам антивирусов выпустить новые определения вирусов, может увеличить ваши шансы на обнаружение всех вирусов.

Убедитесь, что ваша зараженная система осталась отключенной от интернета, как только вы заметите, что она заражена. Это предотвратит ее возможность загрузки новых редакций вирусов (среди прочего).

Начните с хорошего инструмента, такого как Spybot Search and Destroy или Malwarebytes’ Anti-Malware и выполните полное сканирование. Также попробуйте ComboFix и SuperAntiSpyware. Ни один антивирусный продукт не сможет охватить все вирусные определения. Использование нескольких продуктов имеет ключевое значение (не для защиты в реальном времени). Если хотя бы один вирус останется в системе, он может скачать и установить все последние версии новых вирусов, и все затраченные усилия окажутся напрасными.

Удалите подозрительные программы из автозагрузки

1. Запустите в безопасном режиме.
2. Используйте msconfig, чтобы определить, какие программы и службы запускаются при загрузке (или автозагрузка в диспетчере задач в Windows 8).
3. Если есть подозрительные программы/сервисы, удалите их из автозагрузки. В противном случае переходите к использованию live CD.
4. Перезагрузите.
5. Если симптомы не исчезают и/или программа заменяет себя при загрузке, попробуйте использовать программу под названием Autoruns, чтобы найти программу и удалить ее оттуда. Если ваш компьютер не может загрузиться, Autoruns имеет функцию, которая может быть запущена с другого ПК с названием “Анализ оффлайн ПК”. Обратите особое внимание на вкладки Logon и Запланированные задания.
6. Если попытка удалить программу не увенчалась успехом, и вы уверены, что это причина ваших проблем, загрузитесь в обычном режиме и установите инструмент под названием Unlocker
7. Перейдите к местоположению файла, который является вирусом, и попробуйте использовать Unlocker, чтобы уничтожить его. Может произойти несколько вещей:
   1. Файл удален и не возвращается после перезагрузки. Это лучший случай.
   2. Файл удален, но сразу же возникает снова. В этом случае используйте программу под названием Process Monitor, чтобы определить, какая программа создала файл. Вам нужно будет удалить и эту программу.
   3. Файл не может быть удален, Unlocker предложит вам удалить его при перезагрузке. Сделайте это и посмотрите, появляется ли он снова. Если да, вероятно, у вас есть программа в автозагрузке, которая это вызывает, и вам следует еще раз просмотреть список программ в автозагрузке.

Что делать после восстановления

Теперь, должно быть, безопасно (надеюсь) загрузиться в вашу (ранее) зараженную систему. Тем не менее, продолжайте присматриваться к признакам инфекции. Вирус может оставить изменения на компьютере, которые облегчат повторное заражение даже после удаления вируса.

Например, если вирус изменил настройки DNS или прокси, ваш компьютер мог бы перенаправлять вас на поддельные версии легитимных веб-сайтов, так что загрузка того, что кажется известной и надежной программой, фактически может стать загрузкой вируса.

Они также могут получить ваши пароли, перенаправив вас на поддельные сайты банковских счетов или поддельные сайты электронной почты. Обязательно проверьте настройки DNS и прокси. В большинстве случаев ваш DNS должен предоставляться вашим интернет-провайдером или автоматически получаться через DHCP. Ваши настройки прокси должны быть отключены.

Проверьте свой файл hosts (\%systemroot%\system32\drivers\etc\hosts) на предмет подозрительных записей и немедленно удалите их. Также убедитесь, что ваш брандмауэр включен и что у вас есть все последние обновления Windows.

Затем, защитите свою систему с помощью хорошего антивируса и дополните его продуктом против вредоносного ПО. Microsoft Security Essentials часто рекомендован вместе с другими продуктами.

Что делать, если все не удалось

Следует отметить, что некоторые вредоносные программы очень хорошо избегают сканеров. Возможно, что после заражения они могут установить рутките или аналогичное, чтобы оставаться невидимыми. Если дела действительно плохи, единственным вариантом будет стереть диск и переустановить операционную систему с нуля. Иногда сканирование с использованием GMER или Kaspersky TDSS Killer может показать, есть ли у вас руткит.

Вам может потребоваться провести несколько запусков Spybot Search and Destroy. Если после трех запусков он не может удалить инфекцию (и вы не смогли сделать это вручную), подумайте о переустановке.

Другой совет: Combofix – это очень мощный инструмент удаления, когда руткиты препятствуют запуску или установке других инструментов.

Использование нескольких механизмов сканирования, безусловно, может помочь найти наиболее хорошо скрытое вредоносное ПО, но это утомительная задача, и хорошая стратегия резервного копирования/восстановления будет более эффективной и безопасной.

Бонус: Есть интересная серия видео, начинающаяся с “Понимание и борьба с вредоносным ПО: вирусы, шпионские программы” с Марком Руссиновичем, создателем Sysinternals ProcessExplorer и Autoruns, о чистке вредоносного ПО.

Существует множество отличных советов по борьбе с вредоносным ПО в блоге Джеффа Этвуда “Как очистить заражение шпионским ПО в Windows”. Вот основной процесс (обязательно прочтите пост в блоге для получения скриншотов и других деталей, которые этот краткий обзор игнорирует):

1. Остановите любое работающие шпионские программы. Встроенный диспетчер задач Windows не справится с этим; используйте Sysinternals Process Explorer.
   1. Запустите Process Explorer.
   2. Отсортируйте список процессов по названию компании.
   3. Убейте любые процессы, которые не имеют названия компании (исключая DPC, прерывания, систему и бездействующий процесс системы) или у которых есть названия компаний, которые вы не знаете.
2. Помешайте шпионскому ПО перезапуститься в следующий раз при загрузке системы. Снова, встроенный инструмент Windows, MSconfig, является частичным решением, но Sysinternals AutoRuns – это инструмент, который следует использовать.
   1. Запустите AutoRuns.
   2. Проверьте весь список. Уберите отметки с подозрительных записей — тех, у кого пустая компания или любого знакомого вам названия компании.
3. Теперь перезагрузите.
4. После перезагрузки снова проверьте с помощью Process Explorer и AutoRuns. Если что-то “возвращается”, вам придется копнуть глубже.
   • В примере Джеффа что-то, что вернулось, было подозрительной записью драйвера в AutoRuns. Он рассказывает, как отслеживать процесс, который его загрузил в Process Explorer, закрыть дескриптор и физически удалить злонамеренный драйвер.
   • Он также нашел странно названный DLL файл, который встраивался в процесс Winlogon, и показывает, как найти и убить потоки процесса, загружающие этот DLL, чтобы AutoRuns наконец смог удалить записи.

Мой способ удаления вредоносного ПО эффективен, и я никогда не видел, чтобы он не срабатывал:

1. Скачайте Autoruns, а если вы все еще используете 32 бита, скачайте руткит-сканер.
2. Загрузитесь в безопасном режиме и запустите Autoruns, если сможете, затем переходите к шагу 5.
3. Если вы не можете загрузиться в безопасном режиме, подключите диск к другому компьютеру.
4. Запустите Autoruns на этом компьютере, перейдите в Файл -> Анализ оффлайн системы и заполните ее.
5. Подождите, пока сканирование не завершится.
6. В меню “Параметры” выберите все.
7. Позвольте ему снова просканировать, нажав F5. Это пройдет быстро, так как вещи кэшируются.
8. Просмотрите список и уберите отметки с любого, что подозрительно или не имеет проверенной компании.
9. Дополнительно: Запустите руткит-сканер.
10. Позвольте лучшему вирусному сканеру удалить любые оставшиеся файлы.
11. Дополнительно: Запустите антивредоносные и антишпионские сканеры, чтобы избавиться от мусора.
12. Дополнительно: Запустите такие инструменты, как HijackThis/OTL/ComboFix, чтобы избавиться от мусора.
13. Перезагрузите и наслаждайтесь вашей чистой системой.
14. Дополнительно: Снова запустите руткит-сканер.
15. Убедитесь, что ваш компьютер достаточно защищен!

Некоторые замечания:

• Autoruns написан Microsoft и, таким образом, показывает любые местоположения вещей, которые автоматически запускаются…
• Как только программное обеспечение снято с отметки в Autoruns, оно не запустится и не сможет помешать вам удалить его…
• Не существует руткитов для 64-битных операционных систем, потому что они должны быть подписаны…

Это эффективно, потому что это отключает вредоносное ПО/шпионские программы/вирусы от запуска,
вы можете свободно запускать дополнительные инструменты для очистки остаточного мусора на вашей системе.

Следуйте порядку действий, приведенному ниже, чтобы дезинфицировать свой ПК.

1. На компьютере, который не заражен, создайте загрузочный антивирусный диск, затем загрузитесь с диска на зараженном ПК и просканируйте жесткий диск, удалив любые обнаруженные инфекции. Я предпочитаю Windows Defender Offline загрузочный CD/USB, потому что он может удалить вирусы загрузочного сектора, смотрите “Примечание” ниже.

   Или вы можете попробовать некоторые другие загрузочные антивирусные диски.

2. После того как вы просканировали и удалили вредоносное ПО с помощью загрузочного диска, установите бесплатное MBAM, запустите программу и перейдите на вкладку “Обновления” и обновите ее, затем перейдите на вкладку “Сканер” и выполните быстрое сканирование, выберите и удалите все, что она найдет.

3. Когда MBAM завершится, установите бесплатную версию SAS, выполните быстрое сканирование, удалите то, что она автоматически выберет.

4. Если системные файлы Windows были заражены вам может потребоваться запустить SFC, чтобы заменить файлы, могут потребоваться оффлайновые операции, если он не загрузится из-за удаления зараженных системных файлов. Я рекомендую запускать SFC после удаления любой инфекции.

5. В некоторых случаях вам может потребоваться выполнить восстановление при запуске (только Windows Vista и Windows 7), чтобы снова загрузиться правильно. В крайних случаях может потребоваться 3 восстановления при запуске подряд.

MBAM и SAS не являются антивирусными программами вроде Norton, это сканеры по запросу, которые сканируют на наличие зараз на момент запуска программы и не вмешиваются в ваше установленное антивирусное программное обеспечение, их можно запускать раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждой ежедневной или недельной проверкой.

Примечание: что продукт Windows Defender Offline очень хорош в удалении постоянных инфекций MBR, которые сегодня распространены.

.

Для продвинутых пользователей:

Если у вас есть одна инфекция, которая представляет себя как программное обеспечение, например, “System Fix” “AV Security 2012” и т.д., см. эту страницу для конкретных руководств по удалению.

.

Если вы заметили какие-либо из симптомов, то один из пунктов, который следует проверить, это настройки DNS на вашем сетевом соединении.

Если они были изменены с “Получить адрес DNS-сервера автоматически” или на другой сервер, отличающийся от необходимого, то это хороший признак того, что у вас есть инфекция. Это будет причиной перенаправления от сайтов противодействия вредоносному ПО или полной неудачи дойти до сайта.

Наверное, стоит записать настройки DNS прежде, чем произойдет заражение, чтобы знать, какие они должны быть. Также детали будут доступны на страницах помощи вашего интернет-провайдера.

Если у вас нет записей о DNS-серверах и вы не можете найти информацию на сайте вашего интернет-провайдера, то использование DNS-серверов Google является хорошей альтернативой. Они находятся по адресам 8.8.8.8 и 8.8.4.4 для первичного и вторичного серверов соответственно.

Хотя сброс DNS не устранит проблему, это позволит вам a) добраться до сайтов противодействия вредоносному ПО, чтобы получить программное обеспечение, необходимое для очистки ПК, и b) заметить, если инфекция повториться, так как настройки DNS снова изменятся.

Вредоносные программы-вымогатели

Новейшая, особенно ужасная форма вредоносного ПО – это вредоносные программы-вымогатели. Эта программа, обычно доставляемая с трояном (например, вложение в электронное письмо) или с помощью уязвимости браузера, проходит через файлы вашего компьютера, шифрует их (делая их полностью неразличимыми и непригодными для использования) и требует выкуп, чтобы вернуть их в пригодное состояние.

Вредоносные программы-вымогатели обычно используют ассиметричное шифрование, которое предполагает два ключа: публичный ключ и приватный ключ. Когда вас заражает вредоносная программа-вымогатель, вредоносное ПО на вашем компьютере подключается к серверу плохих парней (командный и управляющий C&C), который генерирует оба ключа. Он отправляет только публичный ключ вредоносному ПО на вашем компьютере, так как это все, что ему нужно для шифрования файлов. К сожалению, файлы могут быть расшифрованы только с помощью приватного ключа, который никогда не попадает в память вашего компьютера, если вредоносные программы-вымогатели написаны хорошо. Плохие парни обычно утверждают, что они дадут вам приватный ключ (разрешая вам расшифровать ваши файлы), если вы заплатите, но, конечно, вы должны доверять им, что они это сделают.

Что вы можете сделать

Лучший вариант – переустановить ОС (чтобы удалить все следы вредоносного ПО) и восстановить ваши личные файлы из резервных копий, которые вы сделали ранее. Если у вас сейчас нет резервных копий, это будет сложнее. Привычка делать резервные копии важных файлов.

Заплатить может и позволит вам восстановить ваши файлы, но пожалуйста, не делайте этого. Это поддерживает их бизнес-модель. Также я говорю “возможно, позволит вам восстановить”, потому что мне известны как минимум две стримы, которые написаны настолько плохо, что они безвозвратно повреждают ваши файлы; даже соответствующая программа расшифровки на самом деле не работает.

Альтернативы

К счастью, есть третий вариант. Многие разработчики программ-вымогателей сделали ошибки, которые позволили хорошим специалистам по безопасности разработать процессы, которые восстанавливают повреждение. Процесс для этого зависит совершенно от варианта вредоносного ПО, и этот список постоянно меняется. Некоторые замечательные люди составили большой список вариаций программ-вымогателей, включая расширения, применяемые к заблокированным файлам, и название сообщения о выкупе, что может помочь вам определить, какая версия у вас есть. Для довольно многих стримов, этот список также имеет ссылку на бесплатный декодер! Следуйте соответствующим инструкциям (ссылки находятся в колонке Декодера), чтобы восстановить ваши файлы. Перед тем как начать, используйте другие ответы на этот вопрос, чтобы убедиться, что программа-вымогатель удалена с вашего компьютера.

Если вы не можете определить, чем вас заразили, исходя только из расширений и названий сообщений о выкупе, попробуйте поискать в интернете несколько отличительных фраз из сообщения о выкупе. Ошибки в написании или грамматике обычно достаточно уникальны, и вы, вероятно, наткнетесь на тему форума, которая идентифицирует вредоносное ПО.

Если ваша версия еще не известна или не имеет бесплатного способа расшифровать файлы, не теряйте надежды! Исследователи безопасности работают над отменой вредоносных программ, а правоохранительные органы преследуют разработчиков. Возможно, в конечном итоге появится декодер. Если выкуп имеет строгие временные рамки, можно предположить, что ваши файлы все еще будут восстанавливаемыми, когда исправление будет разработано. Даже если нет, пожалуйста, не платите, если это не абсолютно необходимо. Пока ждете, убедитесь, что ваш компьютер свободен от вредоносного ПО, снова используя другие ответы на этот вопрос. Подумайте о том, чтобы сделать резервную копию зашифрованных версий ваших файлов, чтобы сохранить их в безопасности, пока исправление не выйдет.

Как только вы восстановите все, что возможно (и сделаете резервные копии на внешний носитель!), серьезно подумайте о том, чтобы переустановить ОС с нуля. Снова, это сотрет любое вредоносное ПО, что ошибочно осело глубоко в системе.

Дополнительные советы для конкретных вариантов

Некоторые советы, специфичные для варианта программ-вымогателей, которые еще не включены в большой таблице:

• Если инструмент расшифровки для LeChiffre не работает, вы можете восстановить все, кроме первых и последних 8 КБ данных каждого файла с помощью шестнадцатеричного редактора. Перейдите по адресу 0x2000 и скопируйте все, кроме последних 0x2000 байт. Малые файлы будут полностью уничтожены, но с некоторой правкой вы можете получить что-то полезное из более крупных.
• Если вы были поражены WannaCrypt и вы работаете на Windows XP, не перезагрузили с момента заражения и вам повезло, возможно, вы сможете извлечь приватный ключ с помощью Wannakey.
• Bitdefender имеет множество бесплатных инструментов, которые помогут определить вариант и расшифровать некоторые конкретные варианты.
• (другие будут добавлены по мере их обнаружения)

Заключение

Вредоносные программы-вымогатели злы, и печальная реальность заключается в том, что не всегда возможно восстановиться. Чтобы сохранить себя в безопасности в будущем:

• Держите вашу операционную систему, веб-браузер и антивирус обновленными
• Не открывайте вложения в электронных письмах, которых вы не ожидали, особенно если вы не знаете отправителя
• Избегайте подозрительных веб-сайтов (т.е. тех, которые содержат незаконный или этически сомнительный контент)
• Убедитесь, что ваш аккаунт имеет доступ только к документам, с которыми вам нужно работать
• Всегда имейте рабочие резервные копии на внешних носителях (не подключенных к вашему компьютеру)!

Существует широкий спектр вредоносных программ. Некоторые из них тривиально найти и удалить. Некоторые из них сложнее. Некоторые из них действительно трудно обнаружить и очень сложно удалить.

Но даже если у вас есть легкое вредоносное ПО, вы должны серьезно подумать о том, чтобы отформатировать и переустановить ОС. Это связано с тем, что ваша безопасность уже под угрозой, и если она провалилась при простом вредоносном ПО, возможно, вы уже заразились злобным вредоносным ПО.

Люди, работающие с чувствительными данными или в сетях, где хранятся чувствительные данные, должны в значительной степени рассмотреть возможность очистки и переустановки. Люди, чье время ценно, также должны всерьез рассмотреть вариант очистки и переустановки (это наиболее быстрый, легкий и надежный метод). Люди, которые не уверены в сложных инструментах, также должны всерьез рассмотреть чистку и переустановку.

Но люди, у которых есть время и кто наслаждается изучением, могут попробовать методы, указанные в других сообщениях.

Возможные решения для инфекции вирусом идут в следующем порядке: (1) антивирусные сканирования, (2) восстановление системы, (3) полная переустановка.

Сначала убедитесь, что все ваши данные сохранены.

Загрузите и установите несколько антивирусов, убедитесь, что они актуальны, и глубоко просканируйте свой жесткий диск. Я рекомендую использовать хотя бы Malwarebytes’ Anti-Malware. Мне также нравится Avast.

Если это не сработает по какой-либо причине, вы можете использовать аварийный загрузочный CD с вирусом: мне больше всего нравится Avira AntiVir Rescue System, потому что он обновляется несколько раз в день, и загрузочный CD всегда актуален. Как загрузочный диск, он автономен и не работает с вашей системой Windows.

Если ни один вирус не найден, используйте “sfc /scannow” для восстановления важных файлов Windows.
Смотрите эту статью.

Если это также не сработает, вам следует выполнить восстановление установки.

Если ничего не сработает, вам следует отформатировать жесткий диск и переустановить Windows.

Еще один инструмент, который я хочу добавить к обсуждению, это Microsoft Safety Scanner. Он был выпущен всего несколько месяцев назад. Это немного похоже на Инструмент удаления вредоносного ПО, но предназначен для оффлайн-использования. У него будут последние определения на момент его загрузки, и он будет доступен для использования только в течение 10 дней, так как будет считать свой файл определений “слишком старым для использования”. Скачайте его с другого компьютера и запустите в безопасном режиме. Это работает довольно хорошо.

Сначала немного теории: пожалуйста, поймите, что нет ничего лучше понимания.

Идеальный антивирус — это понимание того, что вы делаете и вообще о том, что происходит с вашей системой, собственным умом и в так называемой реальности.

Никакое количество программного и аппаратного обеспечения не сможет полностью защитить вас от ваших собственных действий, которые в большинстве случаев и приводят к проникновению вредоносного ПО в систему.

Большинство современных “продуктовых” вредоносных программ, адваре и шпионских программ опираются на различные трюки “социальной инженерии”, чтобы обмануть вас и заставить установить “полезные” приложения, дополнения, панели инструментов браузера, “вирусные сканеры” или нажать большие зеленые Кнопки загрузить, что приведет к установке вредоносного ПО на ваш компьютер.

Даже установка якобы надежного приложения, такого как, скажем, uTorrent, по умолчанию установит адваре и, возможно, шпионские программы, если вы просто кликнете на кнопку Далее и не уделите время чтению того, что означают все эти флажки.

Лучший способ бороться с уловками социальной инженерии, которые используют хакеры — это обратная социальная инженерия — если вы овладеете этой техникой, вы сможете избежать большинства типов угроз и сохранить вашу систему чистой и здоровой даже без антивируса или брандмауэра.

Если вы заметили признаки существования вредоносных/нежелательных форм жизни в вашей системе, единственным чистым решением будет полностью отформатировать и переустановить систему. Сделайте резервную копию, как описано в других ответах здесь, быстро отформатируйте диски и переустановите систему, или еще лучше, переместите полезные данные на внешнее хранилище и восстановите раздел системы из изображения чистого дампа, который вы сделали ранее.

Некоторые компьютеры имеют опцию BIOS для возврата системы к заводским настройкам. Хотя это может показаться немного чрезмерным, это никогда не повредит и, что более важно, решит все остальные возможные проблемы — осознаете вы их или нет, — без необходимости справляться с каждой проблемой по отдельности.

Лучший способ “исправить” скомпрометированную систему — не исправлять ее вовсе, а вместо этого вернуть к известной “хорошей” копии с использованием какого-то программного обеспечения для создания образов разделов, например, Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager или, например, dd, если вы сделали резервное копирование из Linux.

Ссылаясь на Уильяма Хилсума “Как избавиться от этого: Использование Live CD” выше:

Вирус не сможет запуститься в среде live CD, поэтому вы можете временно использовать ваш компьютер без страха дальнейшего заражения. Лучше всего, что вы сможете получить доступ ко всем файлам. 20 июня 2011 года Джастин Пот написал брошюру под названием “50 классных приложений для Live CD”. В начале брошюры объясняется, как загрузиться с CD, Flash Drive или SD Card, а страницы 19-20 объясняют, как сканировать с различными “антивредоносными” инструментами, некоторые из которых уже упоминались. Данные рекомендации очень полезны в этом сценарии и объясняются на понятном английском. Конечно, остальная часть брошюры чрезвычайно полезна для ваших других вычислительных нужд. (ссылка на загрузку (в формате PDF) предоставлена из приведенной ниже ссылки. Всегда помните, что необходимо быть разумным, используя интернет, не поддавайтесь искушению обращаться к “местам”, где вредоносное ПО очень вероятно, и вы будете в порядке. Любой антивирус, комплект интернет-безопасности и т.д., который вы, возможно, используете, должен быть последним обновлен.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

Как только вы нажмете на или скопируете и вставите приведенную выше ссылку, пожалуйста, затем нажмите на

СКАЧАТЬ 50 классных приложений для Live CD (написано синим цветом)

Пожалуйста, обратите внимание Я пытался написать это в разделе комментариев, но не смог это уместить. Поэтому я привел это в официальном ответе, так как это чрезвычайно полезно.

Два важных момента:

1. Не заражайтесь в первую очередь. Используйте хороший брандмауэр и антивирус, и практикуйте “безопасные вычисления” – держитесь подальше от подозрительных сайтов и избегайте скачивания вещей, когда вы не знаете, откуда они.\
2. Будьте внимательны, что многие сайты в интернете сообщат вам, что вы “заражены”, когда это не так – они хотят обмануть вас, чтобы вы купили их бракованное противошпионское ПО или, что еще хуже, хотят, чтобы вы скачали вещи, которые являются, на самом деле, шпионскими программами, замаскированными под “бесплатное противошпионское приложение”. Так же будьте внимательны, что многие на этом сайте, в основном из глупости, будут диагностировать любую “странную” ошибку, особенно своего рода повреждения реестра, за которые Windows славится, как признаки вредоносного ПО.

Как уже предлагалось ранее в этой теме, если вы УВЕРЕНЫ, что вы заражены, используйте загрузочный Linux live CD, чтобы загрузить ваш компьютер и немедленно сделать резервную копию всех ваших чувствительных данных.

Также будет полезно хранить ваши чувствительные файлы на жестком диске, отличном от вашего загрузочного диска ОС. Таким образом, вы можете безопасно отформатировать зараженную систему и выполнить полное сканирование ваших чувствительных данных для подстраховки.

На самом деле, нет лучшего решения, чем отформатировать системный раздел, чтобы убедиться, что вы работаете в окружении без вирусов и вредоносного ПО. Даже если вы используете хороший инструмент (и без сомнения, таких много), всегда остаются остатки, и ваша система может показаться чистой в данный момент, но она, безусловно, станет временем-сиреной, готовой взорваться позже.

8 декабря 2012 года Remove-Malware выпустил видеоруководство под названием “Удаление вредоносного ПО Бесплатное издание 2013”, вместе с дополнительным руководством, описывающим, как избавиться от вредоносного ПО на вашем зараженном ПК бесплатно.

В нем описаны:

• Резервное копирование – как создавать резервные копии ваших важных персональных документов, на случай, если ваш ПК станет недоступным.
• Сбор необходимого программного обеспечения для этого руководства.
• Загрузочный антивирус – почему загрузочный антивирус является лучшим способом удаления вредоносного ПО.
• Загрузочный антивирусный диск – как создать загрузочный антивирусный диск.
• Загрузочный антивирусный диск – как сканировать ваш ПК с помощью загрузочного антивирусного диска.
• Очистка – собирайте остатки и удаляйте их.
• Предотвращение того, чтобы это произошло снова.

Видеоурок длится больше 1 часа и вместе с письменным руководством является отличным ресурсом.

Видеоурок: ссылка

Письменное руководство: ссылка

Обновление:

Очень информативная статья, написанная сегодня 1 февраля 2013 года Дж. Бродкином под названием “Вирусы, трояны и черви, ох, как основа вредоносного ПО. Мобильное вредоносное ПО может быть модным, но вредоносное ПО на ПК все еще большая проблема.” с arstechnica.com подчеркивает постоянную проблему вредоносного ПО и различные его типы с объяснениями каждого, выделяя:

• Задние двери
• Троянцы удаленного доступа
• Похитители информации
• Вредоносные программы-вымогатели

Статья также подчеркивает распространение вредоносного ПО, работу ботнетов и атаки на бизнес.

КРАТКИЙ ОТВЕТ:

1. Создайте резервную копию всех ваших файлов.
2. Отформатируйте свой системный раздел.
3. Переустановите Windows.
4. Установите антивирус.
5. Обновите ваши Windows.
6. Просканируйте ваш резервный носитель с помощью антивируса перед тем, как начать его использование.

Сегодня вы никогда не можете быть уверены, что вы полностью избавились от инфекции, если только не очистите свой диск и не начнете заново.

Я не думаю, что такие антивирусные программы, как MSE, McAfee, Norton, Kaspersky и т. д. могут защитить вас на 100%, потому что их файлы определений всегда приходят запоздало – после того, как вредоносное ПО уже появилось в сети и могло нанести много ущерба. И многие из них не защищают вас от PUP и адваре.

Я также не думаю, что сканеры, такие как Malwarebytes, Superantispyware, сканер Bitdefender и другие, могут сильно помочь, когда вредоносное ПО уже повредило вашу систему. Если у вас есть достаточно сканеров, вы сможете удалить вредоносное ПО, но вы не сможете восстановить ущерб, который это вредоносное ПО нанесло.

Я поэтому разработал стратегию из двух уровней:

1. Я делаю еженедельные образы (использую бесплатный Macrium) моего системного раздела и моего раздела данных на два внешних диска, которые подключены только во время создания образа. Таким образом, ни одно вредоносное ПО не может добраться до них. Если что-то не так в моей системе, я всегда могу восстановить последний образ. Обычно я храню полдюжины полных образов на случай, если мне придется вернуться дальше, чем на прошлой неделе. Кроме того, я включил восстановление системы в своей ОС, чтобы быстро вернуть систему в случае неудачного обновления. Но системные образы (тени) не очень надежны, потому что они могут исчезнуть по различным причинам. Полагаться лишь на системные образы недостаточно.

2. Большую часть своего интернет-работы я выполняю из виртуального Linux-раздела. Linux сам по себе не является целью для вредоносного ПО, и вредоносные программы на Windows не могут повлиять на Linux. С этой системой я делаю

все свои загрузки и проверяю их с помощью Virus Total, прежде чем перенести их на систему Windows. Virus Total обрабатывает файл через 60 известных антивирусных программ, и если он проходит чисто, шансы очень высоки, что он чистый.

весь доступ к интернет-сайтам, относительно которых я не на 100% уверен, что они чистые — например, такие, как этот сайт.

всю мою почту. Это преимущество Gmail и AOL. Я могу проверять свою почту через браузер. Здесь я могу открывать любое письмо, не опасаясь заразиться вирусом. И вложения я проверяю через Virus Total.

все свои онлайн-банковские операции. Linux обеспечивает мне дополнительный уровень безопасности.

С этим подходом я не встречал вредоносных программ уже много лет. Если вам интересно попробовать виртуальный Linux-раздел, вот как.

Проблема сканирования вредоносных программ извне или с помощью live CD заключается в том, что многие из этих злобных программ вмешиваются в процессы памяти, драйверы и многое другое. Если операционная система ПК не загружена, они тоже не загружаются, что делает процесс удаления затруднительным. ВСЕГДА сканируйте на наличие вредоносного ПО, пока зараженная ОС загружена.

Сказав это, загрузите Windows с копией RKILL на USB-накопителе. Запуск этой утилиты убивает любые процессы вредоносного ПО, которые работают в фоновом режиме, что позволяет вам продолжать удаление. Это ОЧЕНЬ эффективно. Я еще не встречал ситуации, когда программа не справлялась с работой, и удивляюсь, сколько техников никогда о ней не слышали.

Затем я выбираю сканирование с помощью либо Malware bytes, либо ComboFix. Преимущество этих сканеров состоит в том, что они вместо использования вирусных определений безжалостно находят вредоносное ПО на основе поведения – очень эффективная техника. Однако небольшое предупреждение: они также более опасны и могут СТРАШНО разрушить вашу ОС. Убедитесь, что у вас есть резервная копия.

90% времени описанный выше процесс сработал для меня, и я ежедневно удаляю множество подобного. Если вы очень осторожны, запуск сканирования с помощью чего-то вроде AVG, SuperAntiSpyware или Microsoft Security Essentials не будет плохой идеей. Хотя я не видел, чтобы эти программы обнаруживали гораздо больше, чем безобидные куки для отслеживания, некоторые люди клянутся ими. Дайте себе спокойствие и сделайте это, если считаете необходимым.