如何识别和修复被恶意软件或病毒感染的计算机

目录：

1. 可为恶意软件和病毒感染问题提供什么级别的支持？
2. 恶意软件和病毒之间的区别是什么？
3. 恶意软件或病毒感染的最常见症状是什么？
4. 恶意软件检测/系统可用性步骤
5. 扫描软件
6. 一般拆卸指南
7. 删除感染
8. 其它删除选项
9. 防止再次感染

可为恶意软件和病毒感染问题提供什么级别的支持？

戴尔的标准做法是在检测到恶意软件或病毒后，建议全新安装操作系统。这完全解决感染问题。

根据 ProSupport 保修，我们的技术支持应始终调查并识别发生的感染。他们应尝试使计算机进入可用状态。以便他们可以运行防病毒扫描或根据计算机的感染级别确定是否应进行彻底重装。

返回页首

恶意软件和病毒之间的区别是什么？

恶意软件已经成为多种不同类型感染的笼统术语。有些会自动安装，并创建模拟感染、损坏或硬件故障，骗您购买他们的产品来解决问题。这种类型称为人质软件、勒索软件或恫吓软件。有些恶意软件感染会将浏览器重定向到恶意软件创建者选择的站点，或者，他们重定向到一个网站，根据网站收到的点击次数，他们得到补偿。有时，这些感染会隐藏您的整个根驱动器和所有子目录。有时，它们会捕获您的个人信息并传送给感染的创建者。

病毒已成为恶意软件的一个子集，它是一种复制自身并将其附加到服务或特定应用程序的程序。许多恶意软件有效载荷包含一个病毒文件，如特洛伊木马病毒或蠕虫以帮助固定感染。病毒一度是专有感染类型，但现在已并入恶意软件的感染包。许多恶意软件包融入 rootkit，以将其自身嵌入操作系统的内核级别，使其隐秘且更难以删除。

许多项目经常被误认为是计算机感染。其中包括跟踪cookie，搜索hook，或浏览辅助对象(BHO)。尽管这些的存在可能表明感染，但必须有一个随附的加载器（.EXE） 文件或内核模式驱动程序以确认感染。

返回页首

恶意软件或病毒感染的最常见症状是什么？

尽管如今的恶意软件可能包含多个有效载荷，但下面是一些最常见的感染迹象：

• 有关来自防病毒软件之外来源的计算机感染的屏幕警告
• 它会重定向浏览器或完全劫持浏览器
• 您无法打开任何 exe 或 Microsoft 安装程序 （MSI） 文件
• 无法更改墙纸或任何桌面设置
• “启动>程序”下的所有条目均为空和/或 C：驱动器 为空
• 防病毒软件图标从系统托盘中消失或无法启动
• 浏览器中或浏览器外随机弹出窗口显示在屏幕上
• 出现异常图标、错误的开始菜单或设备管理器条目

返回页首

恶意软件检测/系统可用性步骤

执行以下步骤以确认感染：

1. 提出问题：在桌面上或系统托盘中是否遇到过任何弹出窗口、重定向或消息？

2. 最近是否运行过病毒或恶意软件扫描？如果防病毒或恶意软件删除工具无法运行，则这是计算机可能受到感染的积极迹象。

3. 如果互联网或计算机因感染而无法正常工作，请启动至 带网络连接的安全模式。（仅限使用LAN。）您可以使用Process Explorer和Autoruns程序进行测试。只要在 Windows 中以管理员身份运行，大多数恶意软件感染就很容易显示在这些工具中。（Windows XP 在管理员配置文件中始终处于内核模式。）

Process Explorer 示例：

图 1：Process Explorer

Autoruns恶意软件感染示例

图 2：Autoruns

4. 如果注册表中阻止了 .exe 的 shell 扩展，则这些程序或任何其他恶意软件删除工具不会打开。右键单击 .exe文件 并将扩展名重命名为 .com。尝试运行该工具。如果仍未打开，请引导至 安全模式 ，然后尝试再次运行该工具。

5. 如果您有有效的防病毒订阅，则可尝试在防病毒软件上删除阻止。清除自动运行中的任何恶意条目并重新启动可能会 使.exe 文件再次运行，您可以使用防病毒软件进行更新和扫描。有时在设备管理器中安装内核模式驱动程序以阻止防病毒软件。它通常显示在“即插即用设备”下方，您必须将设备管理器设置为显示隐藏的设备。

如果积极识别恶意软件，您可以使用下面的任一选项。请记住如果这不起作用，我们将指导您进行全新操作系统重新安装以解决此问题。

返回页首

扫描软件

有时运行扫描仪就足以删除大部分恶意软件感染。您的计算机上很可能已经有处于活动状态的防病毒程序，您应使用其它扫描程序进行检查。

如果您当前的防病毒软件未停止感染，则无法立即找到问题。我们建议尝试新程序。

防病毒有两种主要类型：

实时防病毒程序

它们持续监测恶意软件。

按需扫描仪

它们在您手动打开程序并运行扫描时搜索恶意软件感染。

最佳行动方案是先使用按需扫描仪，然后通过实时防病毒程序进行完全扫描。有多种免费且有效的按需扫描程序可用。可在本文的最后一节中找到最常用按需扫描程序列表。

返回页首

一般拆卸指南

断开计算机与互联网的连接，在准备好删除恶意软件之前不要使用它。

将其想像为切断所有通信或将患者置入暂停状态。

将您的计算机启动至安全模式。在此选项中仅加载所需的最少程序和服务。如果任何恶意软件被设置为在Windows启动时启动，则在安全模式下引导应阻止它。

要启动至 Windows 安全模式，请按照以下与您的操作系统匹配的指南进行操作。此时应显示Advanced Boot Options（高级启动选项）菜单。选择Safe Mode With Networking（网络安全模式），然后按Enter键。

• 如何启动进入 Windows 11 或 Windows 10 的安全模式

在安全模式下，您的计算机可能会运行得更快。如果是，则可能表明您的计算机感染了恶意软件。它也可能意味着您有许多通常从 Windows 启动的合法程序。

先删除您的临时文件，再开始执行任何其它步骤。这样做可加快病毒扫描，但会清除下载的病毒文件并减少扫描仪必须检查的数量。可通过磁盘清理实用程序或 Internet 选项菜单执行此操作。

以下链接将您转至一篇文章，其中包含指导您删除最常见恶意软件类型的一般步骤。

• 删除戴尔个人计算机上的恶意感染的一般指南

返回页首

删除感染

本指南使用 Malwarebytes。我使用这个软件的原因是我用它用得最多，且可免费使用。如果您愿意，也可在下面的第9部分中找到另一个程序来完成此工作。如果您遵循本指南，请访问他们的支持站点并安装 Malwarebytes 程序。为此，您必须重新连接到互联网。但是，下载完成后，再次断开 Internet。如果您无法访问互联网，或者无法在计算机上下载 Malwarebytes？您可以将其下载到另一台计算机上，并将其保存到 USB 闪存驱动器或 CD/DVD 中，然后将其传输到受感染的计算机。

运行安装程序并按照屏幕上的 InstallShield 向导操作。Malwarebytes 会检查更新，然后启动用户界面 (UI)。

保留默认扫描选项Perform quick scan（执行快速扫描）并单击Scan（扫描）按钮。

图 3：Malwarebytes 扫描

此程序提供完全扫描选项，但建议您先执行快速扫描。根据计算机规格，快速扫描可能需要 5 到 20 分钟。但是，完整扫描最多需要 60 分钟或更长时间。您可以查看软件已扫描的文件或对象数量。它显示其识别为恶意软件或受恶意软件感染的文件的数量。

如果 Malwarebytes 在开始扫描后消失并且没有重新打开，则感染可能会更严重，并阻止扫描程序运行。如果您知道感染类型，则有办法解决此问题。但是，在备份文件后，建议您重新安装 Windows。这是更快、更简单的方法，并且可以保证解决感染问题。

如果 Malwarebytes 的快速扫描打开是空的，将显示包含扫描结果的文本文件。如果您仍然认为您的计算机可能已获得某些恶意软件，请考虑使用 Malwarebytes 运行完全扫描。您可以使用其他扫描仪 - 例如上面的其他扫描仪之一。如果 Malwarebytes 发现感染，将显示一个警告框。要查看可疑文件，请单击 “扫描结果 ”按钮。它应该会自动选择危险而需要删除的文件。如果您想删除其它检测到的项目，可同时选中它们。单击删除所选按钮以清除选定的文件。

图 4：Malwarebytes 删除

删除感染后，Malwarebytes将打开列出扫描和删除结果的日志文件。检查以确认防病毒程序已成功删除各项。Malwarebytes 还可能提示您重新启动计算机以完成删除过程，您应该这样做。

即使您运行快速扫描并且其发现并删除了不需要的文件后，问题是否仍然存在？按照上述建议操作，并使用 Malwarebytes 或前面提到的其他扫描程序运行完全扫描。如果恶意软件看似消失，则使用实时防病毒程序运行完整扫描以确认该结果。

如果您无法删除恶意软件，或者 Windows 无法正常工作，则可能必须重新安装 Windows。请参阅下面的相应链接，获取适合您特定情况的指南。

• 如何识别和诊断戴尔笔记本电脑上的潜在操作系统重新安装和驱动程序问题

返回页首

其它删除选项

确定感染后，即可决定下一步。

有多个解决办法可选：

1. 我们可以提供戴尔解决方案站，让技术人员为您完成工作，但这是一项“按需付费” 服务。

2. 我们也可以始终重新安装操作系统。

3. 如果感染很明显，并且可以快速定位，那么您可以尝试去除。

如果您可以联网或使用另一台具有互联网的计算机，则查看以下文章和工具以了解更多信息：

戴尔知识库文章的链接

• 戴尔安全门户

Microsoft联机工具的链接

• Microsofts免费安全扫描程序

来自一个制造商的各个发布者安全软件卸载工具的链接。

• 用于完全删除防病毒软件的实用程序

扫描仪、清理程序和其他安全实用程序的发布者列表

Andrew Lambert

实用程序	链接
VT Hash Check	.zip

BitDefender

实用程序	链接
免费版	链接

BleepingComputer

实用程序	链接
Hosts-Perm.bat	链接
FixExec (/W32)	链接
FixExec (/W64)	链接
RKill	链接
RKill（下载重命名为iExplore.exe）	链接
Shortcut Cleaner	链接
取消隐藏	链接

Ems.isoft软件

实用程序	链接
Anti-Malware	.exe
Emergency Kit	.exe

Farbar

实用程序	链接
GrantPerms (/W32)	链接
GrantPerms (/W64)	链接
ListParts (/W32)	链接
ListParts (/W64)	链接
MiniToolBox	链接
恢复扫描工具(/W32)	链接
恢复扫描工具(/W64)	链接
Service Scanner	链接

jpshortstuff

实用程序	链接
Defogger	链接

Kaspersky

实用程序	链接
免费拆卸工具	链接

Microsoft

实用程序	链接
Microsoft Defender	链接
恶意软件删除工具	链接
FakeRean修复工具(/W32)	链接
Rootkit Revealer (Sysinternals)	链接

Norman

实用程序	链接
Malware Cleaner	链接

OldTimer

实用程序	链接
OTL	链接

 

SurfRight

实用程序	链接
Hitman Pro 3.7 (/32)	.exe
Hitman Pro 3.7 (/64)	.exe

thisisu

实用程序	链接
Junkware Removal Tool	链接

Trend Micro

实用程序	链接
Anti-Threat Toolkit (/W32)	链接
Anti-Threat Toolkit (/W64)	链接
假 AV 删除工具用户界面 （/W32）	链接
假 AV 删除采取的用户界面 （/W64）	链接
Fake AV-Removal Tool CLI (/W32)	链接
Fake AV-Removal Took CLI (/W64)	链接
HijackThis	链接
Rootkit Buster (/W32)	.exe
Rootkit Buster (/W64)	.exe

返回页首

防止再次感染

要最小化重复感染的风险，请注意下面的步骤：

1. 使用最新安全补丁程序保持更新您的操作系统和应用程序。在 Windows 更新中，这些更新将标记为关键和安全。

2. 当您阅读电子邮件时，不要打开来自未知发件人的邮件或附件。如果您不确定，最好删除它，不要让您的计算机面临再次感染的风险。

3. 确保您的计算机上正在运行实时防病毒程序，并查看它保持更新状态。如果您不想在付费服务上花费钱财，则可以安装其中一个可用的免费程序。

4. 扫描任何可移动介质，然后再使用它们。（这包括软盘、CD、DVD、USB 闪存盘和外部驱动器。）

5. 不要从Web下载未知软件。来自未知来源的感染机会太高。

6. 在使用之前，扫描所有传入的电子邮件附件或任何其他决定下载的文件。

7. 请勿打开通过电子邮件或聊天收到的文件，并使用以下扩展名。.Exe、.pif、.com 和 .src。

8. 除了安装传统的防病毒软件外，请参阅我们的 安全和防病毒支持 页面了解更多信息。

请始终仔细检查任何联网帐户，如网上银行、网页邮件、电子邮件和社交网络站点。寻找可疑活动并更改您的密码，您无法辨别恶意软件可能传递了哪些信息。

如果您的文件有自动备份，请对这些备份运行病毒扫描。确认它也没有备份感染。如果无法进行病毒扫描（例如在线备份），大多数人决定删除旧备份并保存新版本。

保持您的软件最新。确保您经常更新它们。如果您收到任何与此相关的消息，且不确定这些消息是否有效，请务必联系相关公司以澄清。

返回页首