Инфекция вредоносного ПО может проявлять множество симптомов - или вообще ничего. Действительно, самые коварные угрозы (похитители паролей и трояны кражи данных) редко показывают какие-либо контрольные признаки заражения. В других случаях, таких как scareware, может наблюдаться замедление работы системы или невозможность доступа к некоторым утилит, таким как диспетчер задач.
В зависимости от вашего уровня опыта есть различные варианты, которые вы можете попробовать. Ниже приведен список этих вариантов, начиная с самого легкого и переходящего в более продвинутый.
Сначала попробуйте свое антивирусное программное обеспечение
Если ваш компьютер Windows заражен вирусом, первым шагом должно быть обновление антивирусного программного обеспечения и полное сканирование системы. Перед запуском сканирования обязательно закройте все программы. Это сканирование может занять несколько часов, поэтому выполните эту задачу, если вам не нужно некоторое время использовать компьютер. (Если ваш компьютер уже заражен, вы все равно не должны его использовать).
Если обнаружено вредоносное ПО, антивирусный сканер обычно выполняет одно из трех действий: очистить, карантин или удалить. Если после запуска сканирования вредоносная программа удаляется, но вы получаете системные ошибки или синий экран смерти, вам может потребоваться восстановить отсутствующие системные файлы.
Загрузка в безопасный режим
Безопасный режим предотвращает загрузку приложений и позволяет взаимодействовать с операционной системой в более контролируемой среде. Хотя не все антивирусное программное обеспечение будет поддерживать его, попробуйте загрузить в безопасный режим и запустить антивирусное сканирование оттуда. Если безопасный режим не загрузится или ваш антивирус не будет запущен в безопасном режиме, попробуйте выполнить загрузку в обычном режиме, но нажмите и удерживайте клавишу shift, когда Windows начнет загружаться. Это должно помешать загрузке любых приложений (включая некоторые вредоносные программы) при запуске Windows.
Если приложения (или вредоносное ПО) все еще загружаются, параметр ShiftOveride может быть изменен вредоносным ПО. Чтобы обойти это, см. Раздел Как отключить ShiftOveride.
Попытка вручную найти и удалить вредоносное ПО
Большая часть сегодняшнего вредоносного ПО может отключить антивирусное программное обеспечение и, таким образом, предотвратить его удаление. В этом случае вы можете попытаться вручную удалить вирус из своей системы. Однако попытка вручную удалить вирус требует определенного уровня мастерства и подкованных Windows. Как минимум, вам нужно знать, как:
- Использовать системный реестр
- Навигация с использованием переменных среды
- Просмотр папок и поиск файлов
- Найдите точки входа AutoStart
- Получить хэш (MD5 / SHA1 / CRC) файла
- Доступ к диспетчеру задач Windows
- Загрузка в безопасный режим
Вам также необходимо убедиться, что просмотр расширения файлов включен (по умолчанию это не так, поэтому это очень важный шаг). Вам также необходимо убедиться, что автозапуск отключен.
Вы также можете попытаться закрыть вредоносные процессы, используя диспетчер задач. Просто щелкните правой кнопкой мыши процесс, который вы хотите остановить, и выберите «конечный процесс». Если вы не можете найти запущенные процессы через Диспетчер задач, вы можете проверить общие точки входа AutoStart, чтобы найти местоположение, из которого загружается вредоносное ПО. Обратите внимание, что большая часть современных вредоносных программ может быть включена в руткит и, следовательно, будет скрыта от просмотра.
Если вы не можете найти выполняемые процессы с помощью диспетчера задач или путем проверки точек входа AutoStart, запустите сканирование руткитов, чтобы попытаться определить файлы / процессы. Вредоносные программы также могут препятствовать доступу к папкам, поэтому вы не можете изменить эти параметры для просмотра скрытых файлов или расширений файлов. В этом случае вам также потребуется снова включить просмотр опций папки.
Если вы можете успешно найти подозрительный файл (ы), получите хеш MD5 или SHA1 для файла (ов) и используйте поисковую систему для поиска подробностей об этом с помощью хэша. Это особенно полезно при определении того, действительно ли подозрительный файл является злонамеренным или законным. Вы также можете отправить файл в онлайн-сканер для диагностики.
После того как вы определили вредоносные файлы, следующим шагом будет их удаление. Это может быть сложно, поскольку вредоносное ПО обычно использует несколько файлов, которые контролируют и предотвращают удаление вредоносных файлов. Если вы не можете удалить вредоносный файл, попробуйте отменить регистрацию DLL, связанную с файлом, или остановить процесс winlogon и попробуйте снова удалить файл (ы).
Создание загрузочного диска для спасения
Если ни один из вышеперечисленных шагов не работает, вам может потребоваться создать аварийный компакт-диск, который обеспечивает доступ к зараженному диску бездействия. Параметры включают BartPE (Windows XP), VistaPE (Windows Vista) и WindowsPE (Windows 7).
После загрузки на аварийный компакт-диск снова проверьте общие точки входа AutoStart, чтобы найти местоположение, из которого загружается вредоносное ПО. Перейдите к местоположению, указанному в этих точках входа AutoStart, и удалите вредоносные файлы. (Если вы не уверены, получите хэш MD5 или SHA1 и используйте свою любимую поисковую систему, чтобы исследовать файлы, используя этот хеш.
Последний курорт: переформатировать и переустановить
Последний, но часто лучший вариант - переформатировать жесткий диск зараженного компьютера и переустановить операционную систему и все программы. Хотя это утомительно, этот метод обеспечивает максимально возможное восстановление после заражения. После завершения восстановления вашей системы обязательно измените пароли входа для компьютера и любых чувствительных онлайн-сайтов (включая банковские, социальные сети, электронную почту и т. Д.).
Имейте в виду, что, хотя в целом безопасно восстанавливать файлы данных (т. Е. Файлы, которые вы создали сами), вам сначала необходимо убедиться, что они также не содержат инфекцию.Если ваши файлы резервных копий хранятся на USB-накопителе, не подключайте их обратно к вновь восстановленному компьютеру до тех пор, пока вы не отключите автозапуск. В противном случае вероятность повторного заражения с помощью автозапуска червя чрезвычайно высока.
После отключения автозапуска подключите резервный диск и сканируйте его с помощью нескольких различных онлайн-сканеров. Если вы получаете чистый счет за счет двух или более онлайн-сканеров, вы можете спокойно восстановить эти файлы на восстановленном ПК.
