Как выявить заражение и восстановить компьютеры, зараженные вредоносными или вирусными программами
Summary: В данной статье представлен процесс выявления и устранения заражений вирусами и вредоносным ПО на вашем компьютере. Dell настоятельно рекомендует вместо этого восстанавливать на компьютере образ системы. ...
Instructions
Содержание
- Какой уровень поддержки возможен для защиты от вредоносных программ или заражений вирусами?
- В чем разница между вредоносной программой и вирусом?
- Каковы наиболее распространенные признаки заражения вредоносной программой или вирусом?
- Этапы обнаружения вредоносных программ и использования системы
- Антивирусный сканер
- Общее руководство по удалению
- Устранение заражения
- Другие варианты удаления
- Предотвращение повторного заражения
Какой уровень поддержки возможен для защиты от вредоносных программ или заражений вирусами?
Dell рекомендует чистую установку операционной системы после обнаружения вредоносного ПО или вирусов. Это решает проблему заражения во всех случаях.
В соответствии с условиями гарантии ProSupport наша служба технической поддержки должна всегда изучать и определять имеющееся заражение. Они должны попытаться привести компьютер в состояние, пригодное для использования. Таким образом, они смогут выполнить антивирусные проверки или определить необходимость чистой повторной установки в зависимости от уровня заражения компьютера.
В чем разница между вредоносной программой и вирусом?
Вредоносные программы или вредоносные программные средства стали собирательным термином для нескольких разных типов заражений. Некоторые устанавливаются сами и создают имитацию заражения вирусом, повреждения данных или отказа оборудования, заставляя пользователя таким образом приобрести их продукт для устранения этой неполадки. Этот тип известен как программа-заложник, программа-вымогатель или фиктивный антивирус. Существует вредоносное ПО, которое перенаправляет ваш браузер на сайты, выбранные создателем. В качестве альтернативы они перенаправляют на веб-сайт, за который они получают компенсацию в зависимости от количества посещений сайта. Иногда эти заражения могут скрыть весь корневой диск и все подкаталоги. Иногда они захватывают ваши персональные данные и передают их создателю заражения.
Вирус, ставший разновидностью вредоносного ПО, представляет собой программу, которая реплицируется и прикрепляется к службам или конкретным приложениям. Многие атакующие коды вредоносных программ содержат вирусный файл, например троян или червь, для помощи в направлении заражения. Вирусы ранее были отдельным типом заражения, но сейчас они объединяются в пакеты вредоносных программ для заражения. Многие пакеты вредоносного ПО содержат руткиты для встраивания на уровне ядра операционной системы, что делает их незаметными и затрудняет их удаление.
Многие элементы часто ошибочно принимают за компьютерную инфекцию. Они могут включать в себя cookie-файлы для отслеживания, перехватчики поиска или объекты-помощники для браузера (BHO). Хотя их наличие может указывать на инфекцию, необходимо сопровождать заряжающего (.exe) файл или драйвер режима ядра для подтверждения заражения.
Каковы наиболее распространенные признаки заражения вредоносной программой или вирусом?
Хотя современные вредоносные программы могут содержать несколько атакующих кодов, вот некоторые распространенные признаки заражения:
- Экранные предупреждения о заражении компьютера из источника, отличного от антивирусного программного обеспечения
- Он перенаправляет браузер или полностью захватывает его
- Невозможно открыть файлы exe или установщика Microsoft (MSI)
- Невозможность смены обоев или настроек рабочего стола
- Все записи в разделе «Пуск>программ » пусты и/или «C:» Накопитель пуст
- Антивирусная программа не запускается или ее значок исчезает с панели задач.
- Случайные всплывающие окна на экране в браузере или за его пределами.
- Отображение необычных значков, ложных меню «Пуск» или записей диспетчера устройств
Этапы обнаружения вредоносных программ и использования системы
Далее приведены некоторые шаги для подтверждения заражения.
-
Задайте вопрос: Есть ли на рабочем столе или на панели задач всплывающие окна, перенаправления или сообщения?
-
Выполнялось ли недавно сканирование на наличие вредоносных программ или вирусов? Если антивирус или средства удаления вредоносных программ не запускаются, то это положительный признак того, что компьютер может быть заражен.
-
Если Интернет или компьютер не работает из-за заражения, загрузите компьютер в безопасном режиме с загрузкой сетевых драйверов. (Используется только локальная сеть.) Для проверки можно использовать обозреватель процессов или программы автозапуска. Большинство вредоносного ПО легко выявляется с помощью этих инструментов, если они запущены от имени администратора в ОС Windows. (ОС Windows XP всегда находится в режиме ядра в профиле администратора.)
Пример Process Explorer:
Рис. 1. Process Explorer
Программа автозапуска Пример заражения вредоносным ПО
Рис. 2. Автозапуск
-
Эти программы или любые другие средства удаления вредоносных программ не открываются, если расширение оболочки для .exe заблокировано в реестре. Нажмите правой кнопкой мыши файл .exe и переименуйте расширение в .com. Попробуйте запустить инструмент. Если он по-прежнему не открывается, загрузите его в безопасном режиме и повторите попытку запуска инструмента.
-
Если у вас есть активная подписка на антивирусную программу, можно попытаться снять блокировку с антивирусной программы. Удаление всех вредоносных записей в автозапуске и перезагрузка могут позволить повторному запуску .exe файлов и вы сможете обновлять и сканировать с помощью антивирусной программы. Иногда драйвер режима ядра устанавливается в Диспетчере устройств для блокировки антивирусной программы. Обычно он представлен в разделе «Устройства Plug and Play», и нужно установить в Диспетчере устройств параметр Показать скрытые устройства.
После выявления вредоносного ПО можно использовать один из следующих вариантов действий. Следует помнить, что если это не поможет, необходимо будет выполнить чистую переустановку ОС для устранения проблемы.
Антивирусный сканер
Иногда выполнения проверки достаточно для удаления большинства вредоносных программ. Скорее всего, на компьютере включена антивирусная программа, для этой проверки необходимо использовать другое средство сканирования.
Если текущая версия антивирусной программы не смогла устранить заражение, то ей это не удастся и сейчас. Рекомендуется попробовать новую программу.
Существует два основных типа антивирусных программ.
- Антивирусные программы, работающие в режиме реального времени
-
Они постоянно следят за появлением вредоносных программ.
- Сканеры с запуском по требованию
-
Они выполняют поиск заражений от вредоносного ПО при открытии программы вручную и запускают сканирование.
Лучше всего сначала запустить сканер по требованию и затем выполнить полное сканирование с помощью активной антивирусной программы. Доступно несколько бесплатных и эффективных сканеров по требованию. Список наиболее распространенных можно найти в последнем разделе данной статьи.
Общее руководство по удалению
Отключите компьютер от Интернета и не используйте его, пока не будете готовы удалить вредоносное ПО.
Это аналогично приостановке всех связей или переведению пациента в состояние ожидания.
Загрузите компьютер в безопасном режиме. При данном варианте требуется загрузка только минимального количества программ и служб. Если для какого-либо вредоносного ПО установлен автозапуск при загрузке Windows, загрузка в безопасном режиме должна блокировать его.
Чтобы выполнить загрузку в безопасном режиме Windows, следуйте приведенным ниже инструкциям, подходящим для вашей операционной системы. Это должно привести к отображению меню дополнительных вариантов загрузки. Выберите Безопасный режим с загрузкой сетевых драйверов и нажмите клавишу Enter.
В безопасном режиме компьютер может работать быстрее. Если это так, это может быть признаком того, что ваш компьютер заражен вредоносным ПО. Кроме того, это может означать, что у вас есть множество легальных программ, которые обычно запускаются при включении Windows.
Удалите временные файлы перед началом выполнения любых других действий. Это может ускорить антивирусное сканирование, но очистит скачанные файлы вирусов и уменьшит количество для проверки во время сканирования. Это можно сделать посредством утилиты Disk Cleanup или с помощью меню свойств браузера.
Приведенная ниже ссылка перенаправляет на статью с общими действиями по удалению наиболее часто встречаемых типов вредоносных программ.
Устранение заражения
В данном руководстве используется Malwarebytes. Я использую эту программу, поскольку для меня она более привычна и доступна бесплатно. Другую программу для выполнения этих же действий можно найти в разделе 9 ниже. Если вы следуете этому руководству, перейдите на их сайт
Запустите программу установки и следуйте инструкциям мастера InstallShield на экране. Malwarebytes проверяет наличие обновлений, а затем запускает пользовательский интерфейс (UI).
Оставьте выбранным параметр сканирования по умолчанию «Выполнять быстрое сканирование» и нажмите кнопку Сканировать.
Рис. 3. Сканирование Malwarebytes
Эта программа предлагает вариант полного сканирования, однако рекомендуется сначала выполнить быстрое сканирование. В зависимости от технических характеристик компьютера быстрое сканирование может занять от 5 до 20 минут. Однако полное сканирование занимает не менее 60 минут. Можно посмотреть, сколько файлов или объектов уже было отсканировано программой. Здесь показано, сколько файлов было помечено как вредоносные или зараженные вредоносным ПО.
Если Malwarebytes исчезает после начала сканирования и не открывается снова, возможно, заражение было более серьезным и препятствовало запуску сканера. Существует несколько способов обойти эту проблему, если вы знаете тип заражения. Тем не менее, лучше переустановить Windows после резервного копирования файлов. Это может быть быстрее, проще и гарантированно поможет устранить инфекцию.
Если быстрое сканирование Malwarebytes ничего не находит, отобразится текстовый файл с результатами сканирования. Если вы по-прежнему считаете, что на вашем компьютере может быть обнаружено вредоносное ПО, попробуйте выполнить полное сканирование с помощью Malwarebytes. Вы можете использовать другие сканеры, например, один из приведенных выше. Если Malwarebytes находит заражение, отобразится окно с предупреждением. Чтобы просмотреть подозрительные файлы, нажмите кнопку Результаты сканирования . Она должна автоматически выбрать для удаления те, которые являются наиболее опасными. Если необходимо удалить другие обнаруженные элементы, также выберите их. Нажмите кнопку Remove Selected для удаления выбранных файлов.
Рис. 4. Удаление в Malwarebytes
После удаления заражения программа Malwarebytes откроет файл журнала с указанием результатов сканирования и удаления. Убедитесь, что антивирусная программа успешно удалила каждый элемент. Malwarebytes также может предложить вам перезагрузить компьютер, чтобы завершить процесс удаления, что вы и должны сделать.
Проблемы сохраняются даже после запуска быстрой проверки, а также при обнаружении и удалении ненужных файлов? Следуйте приведенным выше советам и запустите полное сканирование с помощью Malwarebytes или других сканеров, упомянутых ранее. Если вредоносная программа исчезла, для подтверждения этого результата запустите полное сканирование с помощью активной антивирусной программы.
Если у вас не получилось удалить вредоносное ПО или Windows не работает должным образом, возможно, вам придется переустановить Windows. Перейдите по соответствующей ссылке ниже, чтобы найти руководство, подходящее для вашей ситуации.
Другие варианты удаления
После выявления заражения нужно решить, что делать дальше.
Существует несколько вариантов решения.
-
Мы можем предложить Dell Solution Station, чтобы технический специалист выполнил работу за вас, но это услуга с оплатой по факту необходимости .
-
Мы всегда также можем переустановить ОС.
-
Если инфекция очевидна и может быть быстро обнаружена, вы можете попытаться удалить ее.
Если вы можете подключиться к Интернету или использовать другой компьютер с Интернетом, ознакомьтесь со следующей статьей и инструментами для получения дополнительной информации:
Ссылки на статьи базы знаний Dell
Ссылка на онлайн-инструмент Microsoft
Ссылки на инструменты удаления программ безопасности различных издателей от производителя.
Список издателей сканеров, очистителей и прочих утилит безопасности
| Утилита | Ссылка |
|---|---|
| VT Hash Check | .молния |
| Утилита | Ссылка |
|---|---|
| Бесплатный выпуск | Ссылка |
| Утилита | Ссылка |
|---|---|
| Defogger | Ссылка |
| Утилита | Ссылка |
|---|---|
| Бесплатные инструменты удаления | Ссылка |
| Утилита | Ссылка |
|---|---|
| Malware Cleaner | Ссылка |
| Утилита | Ссылка |
|---|---|
| OTL | Ссылка |
| Утилита | Ссылка |
|---|---|
| Junkware Removal Tool | Ссылка |
| Утилита | Ссылка |
|---|---|
| Anti-Threat Toolkit (/W32) | Ссылка |
| Anti-Threat Toolkit (/W64) | Ссылка |
| Поддельный интерфейс утилиты удаления антивирусов (/W32) | Ссылка |
| Поддельный пользовательский интерфейс AV-Removal Taken (/W64) | Ссылка |
| Интерфейс командной строки средства удаления Fake AV (/W32) | Ссылка |
| Интерфейс командной строки средства удаления Fake AV (/W64) | Ссылка |
| HijackThis | Ссылка |
| Rootkit Buster (/W32) | .exe |
| Rootkit Buster (/W64) | .exe |
Предотвращение повторного заражения
Чтобы свести риск повторного заражения к минимуму, обратите внимание на следующие шаги.
-
Поддерживайте актуальность версии ОС и приложений с помощью последних обновлений безопасности. В Центре обновления Windows это будут обновления, помеченные как важные и для обеспечения безопасности.
-
При чтении электронной почты не открывайте сообщения или вложения от неизвестных отправителей. Если вы не уверены, лучше удалить их, чем подвергнуть компьютер повторному заражению.
-
Убедитесь, что на компьютере запущена антивирусная программа реального времени и она постоянно обновляется. Если вы не хотите тратить деньги на платную программу, можете установить одну из бесплатных программ.
-
Сканируйте все съемные носители перед использованием. (Это относится к дискетам, компакт-дискам, DVD-дискам, флэш-накопителям USB и внешним жестким дискам.)
-
Не загружайте из Интернета неизвестные программы. Слишком высока вероятность заражения из неизвестного источника.
-
Сканируйте все входящие вложения электронной почты или любые другие файлы, которые можно скачать, прежде чем использовать их.
-
Не открывайте файлы, полученные по электронной почте или в чате со следующими расширениями. .exe, .pif, .com и .src.
-
Дополнительные сведения об установке традиционного антивирусного программного обеспечения см. на странице поддержки Безопасность и антивирусное ПО .
Всегда дважды проверяйте любые учетные онлайн-записи, например интернет-банкинг, веб-почту, сообщения эл. почты и сайты социальных сетей. Обратите внимание на подозрительные действия и смените пароли; невозможно определить, какую информацию передало вредоносное ПО.
Если у вас настроено автоматическое резервное копирование файлов, запустите антивирусную проверку этих резервных копий. Убедитесь, что в резервную копию не попали зараженные файлы. Если антивирусное сканирование, например, онлайн-резервное копирование, невозможно, большинство людей решают удалить свои старые резервные копии и сохранить новые версии.
Своевременно обновляйте программное обеспечение. Регулярно выполняйте обновления. Если вы получили какие-либо сообщения об этом и не уверены в их действительности, всегда обращайтесь в службу поддержки указанной компании для разъяснения.
Additional Information
Получите общую информацию и рекомендации по защите системы и данных на странице Безопасность и антивирус.