Вот в чем дело: вредоносные программы в последние годы стали как sneakier и nastier:

Sneakier , не только потому, что это лучше прятаться с руткитами или EEPROM взлома, но и потому, что он путешествует в пакете. Тонкие вредоносные программы могут прятаться за более очевидными инфекциями. Здесь есть много хороших инструментов, перечисленных в ответах, которые могут найти 99% вредоносных программ, но всегда есть 1%, который они пока не могут найти. В основном, этот 1% - вещь, которая new: вредоносные инструменты не могут найти его, потому что он только что вышел и использует какой-то новый эксплойт или метод, чтобы скрыть себя, о котором инструменты еще не знают.

Вредоносные программы также имеют короткий срок годности. Если вы заражены, что-то из этого нового 1% очень вероятно будет одной частью вашей инфекции. Это не будет которая инфекция: только часть. Инструменты безопасности помогут вам найти и удалить более очевидные и известные вредоносные программы, и, скорее всего, удалят все видимые симптомы (потому что вы можете продолжать копать, пока не зайдёте так далеко), но они могут оставить маленькие кусочки, например, кейлоггер или руткит, прячущиеся за каким-нибудь новым эксплойтом, который инструмент безопасности пока не знает, как проверить. Антивирусные инструменты все еще имеют свое место, но я займусь этим позже.

Nastier , в том, что он не будет просто показывать рекламу, установить панель инструментов, или использовать компьютер в качестве зомби больше. Современные вредоносные программы, скорее всего, пойдут прямо на информацию о банковских или кредитных картах. Люди, строящие эту штуку больше не просто детский сценарий ищет славу, они теперь организованы профессионалы мотивированы profit, и если они не могут украсть у вас напрямую, они будут искать something они могут развернуться и продать. Это может быть обработка или сетевые ресурсы на вашем компьютере, но это может быть и ваш номер социального страхования или шифрования файлов и хранения их для выкупа.

Положите эти два фактора вместе, и ** это больше не стоит даже пытаться удалить вредоносное программное обеспечение из установленной операционной системы** _. Раньше я был очень хорош в удалении этих вещей, до такой степени, что я сделал значительную часть своей жизни таким образом, и я больше не делаю даже попытки. Я не говорю, что это невозможно сделать, но я говорю, что результаты анализа затрат/выгод и рисков изменились: это уже не стоит того. Слишком многое поставлено на карту, и слишком легко получить результаты, которые только _seem могут быть эффективными.

Многие люди не согласятся со мной в этом вопросе, но я оспариваю, что они не взвесили последствия неудачи достаточно сильно. Вы готовы поспорить, что ваши сбережения, ваш хороший кредит, даже ваша личность, что вы лучше в этом, чем мошенники, которые зарабатывают миллионы, делая это каждый день?Если вы пытаетесь удалить вредоносные программы, а затем продолжать работать со старой системой, это точно то, что вы делаете.

Я знаю, что есть люди, читающие это думая: “Эй, я удалил несколько инфекций с различных машин, и ничего плохого никогда не происходило”. Я тоже, друг. Я тоже. В последние дни я очищал свою долю зараженных систем. Тем не менее, я предлагаю добавить “пока” в конец этого утверждения. Ты можешь быть эффективен на 99%, но ты должен ошибаться только один раз, и последствия неудачи намного выше, чем они были когда-то; цена только одной неудачи может легко перевесить все остальные успехи. Возможно, у вас даже уже есть машина, внутри которой все еще находится бомба замедленного действия, которая просто ждет, чтобы ее активировали, или чтобы собрать нужную информацию, прежде чем сообщать о ней. Даже если у вас сейчас 100% эффективный процесс, эта штука постоянно меняется. Помните: вы должны быть совершенны каждый раз; плохие парни должны получить удачу только один раз.

В общем, это печально, но _если у вас есть подтвержденное заражение вредоносным ПО, полное перекрытие компьютера должно быть первое место, которое вы поворачиваете, а не последнее.

• *

Вот как это сделать:

Прежде чем вы заражены, убедитесь, что у вас есть способ переустановить любое приобретенное программное обеспечение, в том числе операционной системы, которая не зависит от ничего, хранящихся на внутреннем жестком диске. Обычно это означает, что нужно просто повесить cd/dvds или ключи продукта, но операционная система может потребовать, чтобы вы создали восстановительные диски самостоятельно.1 Не полагайтесь в этом случае на раздел восстановления. Если вы подождете, пока не заразитесь, чтобы убедиться, что у вас есть то, что нужно переустановить, возможно, вы опять заплатите за то же самое программное обеспечение. С появлением выкупа также чрезвычайно важно регулярно выполнять резервное копирование данных (плюс, знаете, обычные не вредоносные вещи, такие как отказ жесткого диска).

Когда вы подозреваете, что у вас есть вредоносное программное обеспечение, посмотрите другие ответы здесь. Предложено много хороших инструментов. Моя единственная проблема - это лучший способ их использования: Я полагаюсь только на них при обнаружении. Установите и запустите инструмент, но как только он обнаружит признаки реального заражения (больше, чем просто “отслеживание cookies”), просто остановите сканирование: инструмент выполнил свою работу и подтвердил вашу Инфекция.2

Время подтвержденной инфекции, сделайте следующие шаги:

1. Проверьте свои кредитные и банковские счета. К тому времени, как вы узнаете о заражении, возможно, уже был нанесен реальный ущерб. Примите все необходимые меры, чтобы обезопасить свои карты, банковский счет и удостоверение личности.
2. Измените пароли на любом веб-сайте, к которому вы получили доступ со взломанного компьютера. Не используйте скомпрометированный компьютер для этого._
3. Возьмите резервную копию своих данных (еще лучше, если она у вас уже есть).
4. Переустановите операционную систему, используя оригинальные носители, полученные непосредственно от издателя ОС. Убедитесь, что переустановка включает в себя полный переформат вашего диска; восстановления системы или операции по восстановлению системы недостаточно.
5. Переустановите ваши приложения.
6. Убедитесь, что операционная система и программное обеспечение полностью исправлены и обновлены.
7. Запустите полную антивирусную проверку, чтобы очистить резервную копию с третьего шага.
8. Восстановление резервной копии.

Если все сделано правильно, это, скорее всего, займет от двух до шести реальных часов вашего времени, распределенных в течение двух-трех дней (или даже дольше), пока вы ждете вещи, такие как приложения, чтобы установить, обновления Windows, чтобы загрузить, или большие файлы резервной копии для передачи … но это лучше, чем узнать позже, что мошенники осушили ваш банковский счет. К сожалению, это то, что вы должны сделать сами, или за вас должен прийти технический специалист. При типичной консалтинговой ставке около 100 долларов в час, купить новую машину может быть дешевле, чем заплатить за это в магазине. Если у вас есть друг, сделайте что-нибудь приятное, чтобы показать свою признательность. Даже ботаники, которые любят помогать вам устанавливать новые вещи или исправлять сломанную аппаратуру часто hate утомительная работа по уборке. Также будет лучше, если вы возьмете свою резервную копию… ваши друзья не будут знать, куда вы положили какие файлы, или какие из них действительно важны для вас. Вы в лучшем положении, чтобы взять хорошую резервную копию, чем они.

Скоро даже этого может быть недостаточно, так как теперь есть вредоносные программы, способные заразить прошивку. Даже замена жесткого диска может не устранить заражение, и покупка нового компьютера будет единственным вариантом. К счастью, в то время, когда я пишу это, мы еще не достигли этого момента, но это определенно на горизонте и приближается очень быстро.

• *

Если вы абсолютно настаиваете, помимо всего прочего, на том, что вы действительно хотите очистить вашу существующую установку, а не начинать все сначала, то, ради Бога, убедитесь, что любой метод, который вы используете, включает одну из следующих двух процедур:

• Снимите жесткий диск и подключите его как гостевой диск на другом (чистом!) компьютере, чтобы запустить сканирование.

OR

• Загрузитесь с CD/USB ключа со своим собственным набором инструментов, работающим под собственным ядром. Убедитесь, что образ для этого получен и записан на чистом компьютере. Если необходимо, попросите друга сделать диск для вас.

Не при каких обстоятельствах вы не должны пытаться очистить зараженную операционную систему с помощью программного обеспечения, запущенного в качестве гостевого процесса скомпрометированной операционной системы. Это просто глупо.

• *

Конечно, лучший способ исправить инфекцию, это избежать ее в первую очередь, и есть некоторые вещи, которые вы можете сделать, чтобы помочь с этим:

1. Держите вашу систему в исправном состоянии. Убедитесь, что вы promptly установили обновления Windows, Adobe обновления, Java обновления, обновления Apple и т.д.. Это гораздо важнее даже чем антивирусное программное обеспечение, и по большей части это не так сложно, пока вы держите в актуальном состоянии. Большинство из этих компаний неофициально договорились обо всех выпусках новых патчей в один и тот же день каждый месяц, так что если вы будете держать в курсе событий, то это не будет прерывать вас так часто. Обновления Windows Update обычно прерываются только в том случае, если вы игнорируете их слишком долго. Если это случается с вами часто, это на you, чтобы изменить ваше поведение. Это важно, и не нормально постоянно выбирать опцию “установить позже”, даже если в данный момент это проще.
2. По умолчанию не запускать от имени администратора. В последних версиях Windows это так же просто, как оставить функцию UAC включенной.
3. Используйте хороший брандмауэр. В наши дни брандмауэр по умолчанию в Windows на самом деле достаточно хорош. Возможно, вы захотите дополнить этот уровень чем-то вроде WinPatrol, что поможет остановить вредоносную деятельность на переднем плане. Windows Defender в некоторой степени работает и в этом качестве. Базовые плагины браузера Ad-Blocker также становятся все более полезными на этом уровне в качестве инструмента безопасности.
4. Установите большинство плагинов браузера (особенно Flash и Java) на “Ask to Activate”.

5. Запустите current антивирусное программное обеспечение. Это далекая пятая по сравнению с другими вариантами, так как традиционное A/V программное обеспечение часто просто не так эффективно. Также важно подчеркнуть “текущий”. Вы можете иметь лучшее антивирусное программное обеспечение в мире, но если оно не обновляется, вы можете просто удалить его.

6. Избегайте торрент-сайтов, варез, пиратских программ и пиратских фильмов/видео. Эти вещи часто Вводимая вредоносная программа человеком, который ее взломал или разместил - не всегда, но достаточно часто, чтобы избежать полного бардака. Это часть того, зачем взломщику это делать: часто он получит сокращение любой прибыли.

7. Используйте свою голову при просмотре веб-страниц. Вы - самое слабое звено в цепи безопасности. Если что-то звучит слишком хорошо, чтобы быть правдой, то, скорее всего, так и есть. Самая очевидная кнопка скачивания редко является той, которую вы хотите использовать при скачивании нового программного обеспечения, поэтому перед тем, как нажать на эту ссылку, обязательно прочитайте и поймите все, что находится на веб-странице. Если вы видите всплывающее окно или слышите звуковое сообщение с просьбой позвонить в Microsoft или установить какой-нибудь инструмент безопасности, это подделка. Кроме того, предпочитают загружать программное обеспечение и обновления/обновления непосредственно с сайта продавца или разработчика, а не с сайта стороннего файлового хостинга.

• *

1 Microsoft теперь публикует Windows 10 установочный носитель , так что вы можете легально скачать и записать на 8 Гб или больше флэш-накопитель бесплатно. Вам все еще нужна действительная лицензия, но вам больше не нужен отдельный диск для восстановления базовой операционной системы.

2 Сейчас самое время отметить, что я несколько смягчил свой подход. Сегодня большинство “инфекций” попадают в категорию PUP (Potentially Unwanted Programs) и расширений браузера, входящих в состав других загружаемых программ. Часто эти PUPs/расширения можно безопасно удалять традиционными способами, и сейчас они представляют собой достаточно большой процент вредоносного ПО, поэтому я могу остановиться на этом и просто попробовать функцию Add/Remove Programs (Добавить/Удалить программы) или обычную опцию браузера, чтобы удалить расширение. Однако, при первом признаке чего-то более глубокого - любой намек на то, что программа не просто удалится нормально - она вернется к перекрашиванию машины.

Как определить, заражен ли мой ПК?

Общими симптомами вредоносного ПО может быть все, что угодно. Обычно это:

• машина работает медленнее, чем обычно.
• Случайные сбои и вещи, которые происходят, когда они не должны происходить (например, некоторые новые вирусы накладывают ограничения на групповую политику на вашу машину, чтобы предотвратить запуск диспетчера задач или других диагностических программ).
• Task manager показывает высокий процессор, когда Вы думаете, что Ваша машина должна простаивать (например, <5%).
• Рекламные сообщения всплывают случайно.
• Вирусные предупреждения всплывают от антивируса, который Вы не помните, как его устанавливали (антивирусная программа является подделкой и пытается утверждать, что у Вас есть страшно звучащие вирусы с такими названиями, как ‘bankpasswordstealer.vir’. Вам предлагается заплатить за эту программу, чтобы очистить их).
• всплывающие окна/поддельный синий экран смерти (BSOD) с просьбой позвонить по номеру, чтобы исправить инфекцию.
• интернет-страницы, перенаправленные или заблокированные, например, домашние страницы AV-продуктов или сайты поддержки (www.symantec. com, www.avg.com, www.microsoft.com) перенаправляются на сайты, заполненные рекламой, или на поддельные сайты, пропагандирующие фальшивые антивирусные / “полезные” инструменты удаления, или блокируются вообще.
• Увеличенное время запуска, когда вы не устанавливаете никаких приложений (или патчей)… Это неудобно.
• Ваши личные файлы зашифрованы, и вы видите записку о выкупе.

• Что угодно, если вы “знаете” вашу систему, вы обычно знаете, когда что-то очень не так.

Как избавиться от этого?

Используя Live CD

Поскольку вирусный сканер зараженного ПК может быть взломан, вероятно, безопаснее сканировать диск с Live CD. CD загрузит на ваш компьютер специализированную операционную систему, которая затем просканирует жесткий диск.

Есть, например, Avira Antivir Rescue System или ubcd4win . Дополнительные предложения можно найти на FREE Bootable AntiVirus Rescue CDs Download List , например:

• Kaspersky Rescue CD
• BitDefender Rescue CD
• F-Secure Rescue CD
• Avira Antivir Rescue Disk
• Trinity Rescue Kit CD
• AVG Rescue CD

Подключение жесткого диска к другому ПК

Если вы подключаете зараженный жесткий диск к чистой системе для его сканирования, Убедитесь, что вы обновили определения вирусов для всех продуктов, которые будете использовать для сканирования зараженного диска. Ожидание в течение недели, чтобы позволить антивирусным провайдерам выпустить новые определения вирусов, может улучшить ваши шансы обнаружить все вирусы.

Убедитесь, что зараженная система остается отключенной от Интернета, как только вы обнаружите, что она заражена. Это не позволит ей загружать новые версии вирусов (среди прочего).

Начните с хорошего инструмента, такого как Spybot Search and Destroy или Malwarebytes’ Anti-Malware и выполните полное сканирование. Также попробуйте ComboFix и SuperAntiSpyware . Ни один антивирусный продукт не будет иметь определений вирусов. Использование нескольких продуктов является ключевым ( не для защиты в реальном времени). Если даже один вирус остается в системе, он может быть в состоянии загрузить и установить все последние версии новых вирусов, и все усилия до сих пор были бы напрасны.

Удалить подозрительные программы из загрузки

1. Запуск в безопасном режиме.

2. Используйте msconfig, чтобы определить, какие программы и службы запускаются при загрузке (или при запуске с помощью диспетчера задач в Windows 8).

3. Если есть подозрительные программы/службы, удалите их из загрузки. В противном случае переходите к использованию живого CD.

4. Перезагрузитесь.

5. Если симптомы не проходят и/или программа заменяет себя при загрузке, попробуйте использовать программу под названием Autoruns , чтобы найти программу и удалить ее оттуда. Если ваш компьютер не может быть запущен, в программе автозапуска есть функция, позволяющая запустить ее со второго ПК под названием “Analyse offline PC” (Анализ автономного ПК). Обратите особое внимание на вкладки Logon и Scheduled tasks.

6. Если все еще не удается удалить программу, и вы уверены, что это причина ваших проблем, загрузитесь в обычный режим и установите утилиту под названием Unlocker

7. Перейдите к местоположению файла, который является этим вирусом, и попытайтесь использовать разблокировщик, чтобы убить его. Может случиться несколько вещей:

8. Файл удаляется и не появляется при перезагрузке. Это лучший вариант.

9. Файл удаляется, но сразу же вновь появляется. В этом случае используйте программу под названием Process Monitor для поиска программы, которая воссоздала файл. Вам также необходимо удалить эту программу.

10. 1. Файл не может быть удален, программа разблокировки предложит Вам удалить его при перезагрузке. Сделайте это и посмотрите, не появится ли он снова. Если он появится, вы должны иметь в загрузочном устройстве программу, которая вызывает это, и повторно просмотреть список программ, которые запускаются в загрузочном устройстве.

Что делать после восстановления

Теперь должно быть безопасно (будем надеяться) загрузиться в вашу (ранее) зараженную систему. Тем не менее, держите глаза открытыми для признаков заражения. Вирус может оставить изменения на компьютере, которые облегчат повторное заражение даже после того, как вирус будет удален.

Например, если вирус изменит параметры DNS или прокси, ваш компьютер перенаправит вас на поддельные версии законных веб-сайтов, так что загрузка того, что кажется известной и надежной программой может на самом деле быть загрузкой вируса.

Они также могут получить ваши пароли, перенаправляя вас на поддельные сайты банковских счетов или поддельных электронных почтовых сайтов. Обязательно проверьте настройки DNS и прокси-сервера. В большинстве случаев, ваш DNS должен быть предоставлен провайдером или автоматически получен DHCP. Ваши настройки прокси должны быть отключены.

Проверьте ваш hosts файл (\%systemroot%\system32\drivers\etc\hosts) на наличие подозрительных записей и немедленно удалите их. Также убедитесь, что ваш брандмауэр включен и что у вас есть все последние обновления Windows.

Далее, защитите вашу систему с помощью хорошего антивируса и дополните ее антивирусным продуктом. Microsoft Security Essentials часто рекомендуется наряду с другими продуктами .

Что делать, если все не удается

Следует отметить, что некоторые вредоносные программы очень хорошо избегают сканеров. Возможно, что после заражения, он может установить руткиты или подобное, чтобы остаться незамеченным. Если все действительно плохо, единственный вариант - это вытереть диск и переустановить операционную систему с нуля. Иногда проверка с помощью GMER или TDSS Killer Касперского может показать, есть ли у вас руткит.

Возможно, вам понадобится выполнить несколько запусков Spybot Search and Destroy. Если после трех запусков не удается удалить заражение (а вы не можете сделать это вручную), подумайте о переустановке.

Другое предложение: Combofix - очень мощный инструмент удаления, когда руткиты мешают другим вещам работать или устанавливать.

Использование нескольких механизмов сканирования, безусловно, может помочь найти вредоносные программы, которые лучше всего скрыты, но это быстрая задача, и хорошая стратегия резервного копирования/восстановления будет более эффективной и безопасной.

• *

Бонус: Есть интересный видеоролик, начинающийся с Понимание и борьба с вредоносными программами: вирусы, шпионские программы с Марка Руссиновича, создателя Sysinternals ProcessExplorer & Autoruns, о чистке от вредоносных программ.

Есть несколько замечательных советов по борьбе с вредоносным ПО в книге Джеффа Атвуда “Как очистить Windows от заражения шпионским ПО” . Вот основной процесс (не забудьте прочитать в посте блога скриншоты и другие подробности, о которых рассказывается в этой статье):

1. Остановите любое шпионское ПО, запущенное в данный момент. Встроенный диспетчер задач Windows’ не обрежет его; получите Проводник Sysinternals Process Explorer .
2. Запустите Проводник процессов.
3. Сортировать список процессов по имени компании.
4. Убейте все процессы, у которых нет имени компании (за исключением ЦОД, прерываний, системных и системных простоев), или у которых есть имена компаний, которые вы не узнаете.
5. Остановить перезапуск шпионского ПО при следующей загрузке системы. Опять же, инструмент для сборки Windows, MSconfig, является частичным решением, но Sysinternals AutoRuns - это инструмент для использования.
6. Запустить автозапуск.
7. Просмотрите весь список. Снимите флажки с подозрительных записей - с пустыми именами издателей или любыми именами издателей, которые вы не узнаете.
8. Теперь перезагрузитесь.
9. После перезагрузки перепроверьте с помощью Проводника процессов и Автозапуска. Если что-то “возвращается”, придется копать глубже.
10. В примере Джеффа, одним из возвращений была подозрительная запись драйвера в AutoRuns. Он говорит через отслеживание процесса, который загрузил его в Process Explorer, закрытие ручки и физическое удаление неавторизованного драйвера.
11. Он также нашел странно названный DLL файл, подключенный к процессу Winlogon, и демонстрирует поиск и убийство загрузки потоков процесса, что DLL, так что AutoRuns может, наконец, удалить записи.

Мой способ удаления вредоносного ПО эффективен, и я никогда не видел его неудачным:

1. Скачайте Автозапуск и если вы все еще запускаете 32-битный сканер руткитов.

2. Загрузитесь в безопасный режим и запустите Автозапуск, если это возможно, перейдите к шагу 5.

3. Если вы не можете войти в безопасный режим, подключите диск к другому компьютеру.

4. Запустите Автозапуск на этом компьютере, перейдите в Файл -> Анализировать автономную систему и заполните его.

5. Ждать завершения сканирования.

6. В меню Параметры выберите все.

7. Пусть он сканирует снова, нажав F5. Это пройдет быстро, так как вещи кэшируются.

8. Пройдите по списку и снимите флажок со всего, что является сговорчивым или не имеет проверенной компании.

9. Опционально: Запустите руткит-сканер.

10. Пусть верхний вирусный сканер удалит все оставшиеся файлы.

11. Опционально: Запустите антивирусные и антишпионские сканеры, чтобы избавиться от мусора.

12. Опционально: Запустите такие инструменты, как HijackThis/OTL/ComboFix, чтобы избавиться от мусора.

13. Перезагрузитесь и наслаждайтесь своей чистой системой.

14. Опционально: Снова запустите руткит-сканер

15. Убедитесь, что ваш компьютер достаточно защищен!

Некоторые примечания:

• Автозапуск написан Microsoft и таким образом показывает все места, где происходит автоматический запуск…
• После того, как программа снята с автозапуска, она не запустится и не сможет помешать вам удалить ее. …

• Для 64-битных операционных систем не существует руткитов, так как они должны быть подписаны…

• Это эффективно, так как отключает запуск вредоносных/шпионских/вирусных программ, Вы можете запускать дополнительные утилиты для очистки от любого барахла, который остался в вашей системе.

Следуйте указанному ниже порядку для дезинфекции вашего ПК

1. На незараженном ПК сделайте загрузочный AV-диск, затем загрузитесь с диска на зараженном ПК и просканируйте жесткий диск, удалите все найденные инфекции. Я предпочитаю Windows Defender Offline загрузочный CD/USB, потому что он может удалить вирусы загрузочного сектора, см. “Примечание” ниже.

2. После сканирования и удаления вредоносных программ с помощью загрузочного диска, установите бесплатную MBAM , запустите программу, перейдите на вкладку Обновить и обновите ее, затем перейдите на вкладку Сканер и выполните быстрое сканирование, выберите и удалите все, что найдете.

3. Когда MBAM закончит установку бесплатной версии SAS , запустите быстрое сканирование, удалите то, что он автоматически выбирает.

4. Если системные файлы windows были заражены вам может понадобиться запустить SFC для замены файлов, вам может понадобиться сделать это в автономном режиме , если он не будет загружаться из-за удаления зараженных системных файлов. Я рекомендую запускать SFC после удаления любой инфекции.

5. В некоторых случаях, возможно, придется запустить загрузочное восстановление (только для Windows Vista и Windows7), чтобы заставить его загрузиться должным образом снова. В крайних случаях может понадобиться 3 процедуры запуска подряд.

MBAM и SAS не являются антивирусным программным обеспечением, как Norton, они являются сканерами по требованию, которые сканируют только на наличие неприятностей при запуске программы и не будут мешать установленному AV, они могут запускаться один раз в день или неделю, чтобы убедиться, что вы не заражены. Убедитесь, что вы обновляете их перед каждым ежедневным еженедельным сканированием.

Примечание: продукт Windows Defender Offline очень хорошо справляется с удалением стойких заражений MBR , которые являются распространенными в наши дни.

.

Для опытных пользователей:

Если у вас есть одно заражение, которое представляет собой программное обеспечение, т.е. “System Fix” “AV Security 2012” и т.д., смотрите эту страницу для конкретных руководств по удалению

.

Если вы заметили какие-либо из симптомов, то нужно проверить только настройки DNS в вашем сетевом подключении.

Если они были изменены либо на “Получить адрес DNS сервера автоматически”, либо на другой сервер, отличный от того, которым он должен быть, то это хороший признак того, что у вас заражение. Это будет причиной перенаправления с антивирусных сайтов, или полного отсутствия доступа к сайту вообще.

Наверное, неплохо было бы записать настройки DNS перед тем, как произойдет заражение, чтобы вы знали, какими они должны быть. Подробности также будут доступны на справочных страницах сайта вашего провайдера.

Если у вас нет записей о DNS-серверах и вы не можете найти информацию на сайте вашего провайдера, то использование Google DNS-серверов является хорошей альтернативой. Их можно найти по адресу 8.8.8.8 и 8.8.4.4 для первичного и вторичного серверов соответственно.

Сброс DNS не решит проблему, но позволит вам a) добраться до антивирусных сайтов, чтобы получить программное обеспечение, необходимое для очистки ПК, и b) обнаружить, если инфекция повторится, так как настройки DNS снова изменятся.

Ransomware

Новейшая, особенно ужасная форма вредоносного ПО - ransomware. Такие программы, обычно поставляемые с троянцем (например, с вложением в электронную почту) или эксплойтом браузера, просматривают файлы вашего компьютера, шифруют их (что делает их совершенно неузнаваемыми и непригодными для использования) и требуют выкупа, чтобы вернуть их в пригодное для использования состояние.

Ransomware обычно использует asymmetric-key cryptography , которая включает в себя два ключа: public key и private key. Когда вы попадаете под действие выкупа, вредоносная программа, запущенная на вашем компьютере, соединяется с сервером “плохих парней” (команда и управление, или C&C), который генерирует оба ключа. Она посылает только открытый ключ к вредоносной программе на вашем компьютере, так как это все, что нужно для шифрования файлов. К сожалению, файлы можно расшифровать только с помощью закрытого ключа, который даже не попадает в память компьютера, если вымогательная программа хорошо записана. Плохие парни обычно заявляют, что дадут вам закрытый ключ (тем самым позволяя расшифровать ваши файлы), если вы заплатите, но, конечно, вы должны доверять им.

Что вы можете сделать

Лучший вариант - переустановить операционную систему (удалить все следы вредоносного ПО) и восстановить ваши личные файлы из резервных копий, сделанных вами ранее. Если у вас нет резервных копий сейчас, это будет сложнее. Сделайте привычку делать резервные копии важных файлов.

Оплата, вероятно, позволит вам восстановить ваши файлы, но просто не. Это поддерживает их бизнес-модель. Кроме того, я говорю “вероятно, позволю вам восстановить”, потому что знаю, по крайней мере, о двух настолько плохо написанных штаммах, что они непоправимо искажают ваши файлы; даже соответствующая программа расшифровки на самом деле не работает.

Альтернативы

К счастью, есть и третий вариант. Многие разработчики программ-вымогателей допускают ошибки, которые позволяют хорошим специалистам по безопасности разрабатывать процессы, устраняющие ущерб. Процесс для этого полностью зависит от натяжения выкупа, и этот список постоянно меняется. Некоторые замечательные люди собрали вместе большой список вариантов выкупа , включая расширения, применяемые к заблокированным файлам, и имя примечания о выкупе, которое может помочь вам определить, какая версия у вас есть. Для довольно большого количества штаммов, в этом списке также есть ссылка на бесплатный дешифровщик! Следуйте соответствующим инструкциям (ссылки находятся в колонке Decryptor), чтобы восстановить ваши файлы. *Перед началом**, используйте другие ответы на этот вопрос, чтобы убедиться, что программа выкупа удалена с вашего компьютера.

Если вы не можете определить, что вы получили удар только с расширениями и имя выкупа записку, попробуйте поискать в Интернете для нескольких отличительных фраз из выкупа записку. Орфографические или грамматические ошибки, как правило, довольно уникальны, и, скорее всего, вы попадёте в ветку форума, которая идентифицирует выкуп.

Если ваша версия ещё не известна, или у вас нет бесплатного способа расшифровать файлы, не теряйте надежду! Исследователи в области безопасности работают над тем, чтобы отменить выкуп, а правоохранительные органы преследуют разработчиков. Возможно, что в конце концов появится дешифровщик. Если выкуп ограничен по времени, можно предположить, что ваши файлы все равно будут восстановлены после разработки исправления. Даже если нет, пожалуйста, не платите, если только вам это абсолютно необходимо. Пока вы ждете, убедитесь, что ваш компьютер свободен от вредоносного ПО, опять же используя другие ответы на этот вопрос. Рассмотрите возможность создания резервных копий зашифрованных версий файлов, чтобы сохранить их в безопасности, пока не выйдет исправления.

После того, как вы восстановите как можно больше (и сделаете резервные копии на внешние носители!), настоятельно рекомендуем установить ОС с нуля. Опять же, это уничтожит все вредоносные программы, которые засели глубоко внутри системы.

Дополнительные советы по выбору

Некоторые советы по выбору выкупа, которых еще нет в большой таблице:

• Если утилита расшифровки для LeChiffre не работает, вы можете восстановить все данные, кроме первого и последнего 8 КБ каждого файла с помощью шестнадцатиричного редактора. Перейдите по адресу 0x2000 и скопируйте все данные, кроме последних 0x2000 байт. Маленькие файлы будут полностью разрушены, но с некоторыми возражения вы могли бы получить что-то полезное из больших.
• Если вы были ранены с WannaCrypt и вы работаете под Windows XP, не перезагрузился с момента заражения, и повезло, вы могли бы извлечь частный ключ с помощью Wannakey .
• Bitdefender имеет ряд бесплатных утилит, которые помогут определить вариант и расшифровать некоторые специфические варианты.
• (другие будут добавлены по мере их обнаружения)

Заключение

Ransomware - это отвратительно, и печальная реальность такова, что не всегда можно от него оправиться. Чтобы обезопасить себя в будущем:

• Держите операционную систему, веб-браузер и антивирус в актуальном состоянии
• Не открывайте вложения электронной почты, которых вы не ожидали, особенно если вы не знаете отправителя
• Избегайте сомнительных веб-сайтов (т.е. с незаконным или этически сомнительным контентом)
• Убедитесь, что ваша учетная запись имеет доступ только к документам, с которыми вам лично необходимо работать
• Всегда имеете рабочие резервные копии на внешних носителях (не подключенных к вашему компьютеру)!

Существует широкий спектр вредоносных программ. Некоторые из них тривиально найти и удалить. Некоторые из них обманчивее. Некоторые из них действительно трудно найти и очень трудно удалить.

Но даже если у вас есть легкая вредоносная программа, вы должны сильно подумать о переустановке и переустановке операционной системы. Это связано с тем, что ваша безопасность уже потерпела неудачу, и если она потерпела неудачу для простой вредоносной программы, возможно, вы уже заражены злобной вредоносной программой.

Люди, работающие с конфиденциальными данными или внутри сетей, в которых хранятся конфиденциальные данные, должны сильно подумать о том, чтобы стереть и переустановить их. Людям, чье время является ценным, настоятельно рекомендуется подумать о стирании и переустановке (это самый быстрый, простой и надежный способ). Люди, которым не нравятся продвинутые инструменты, должны обратить особое внимание на стирание и переустановку.

Но люди, у которых есть время, и которым нравится лапша на уши, могут попробовать методы, перечисленные в других сообщениях.

Возможные решения проблемы вирусной инфекции в порядке: (1) антивирусное сканирование, (2) восстановление системы, (3) полная переустановка.

Сначала убедитесь, что все ваши данные записаны в резервную копию.

Загрузите и установите некоторые антивирусы, убедитесь, что они актуальны, и глубоко просканируйте ваш жесткий диск. Я рекомендую использовать, по крайней мере, Malwarebytes’ Anti-Malware . Мне также нравится Avast.

Если это не работает по какой-либо причине, вы можете использовать спасательный сканер вирусов на CD : Мне больше всего нравится Avira AntiVir Rescue System , потому что он обновляется несколько раз в день, и поэтому загрузочный компакт-диск обновляется. В качестве загрузочного CD он автономен и не работает с вашей системой Windows.

Если вирус не найден, используйте “sfc /scannow” для восстановления важных файлов Windows. См. эту статья .

Если это также не работает, вы должны Выполнить восстановление системы .

Если ничего не работает, вы должны отформатировать жесткий диск и переустановить Windows.

Еще одним инструментом, который я хотел бы добавить в обсуждение, является Microsoft Safety Scanner . Он был выпущен всего несколько месяцев назад. Он немного похож на Malicious Software Removal Tool , но предназначен для использования в автономном режиме. На момент загрузки у него будут последние определения, и он будет использоваться только в течение 10 дней, так как он будет считать свой файл определений “слишком старым для использования”. Скачайте его с другого компьютера и запустите его в безопасном режиме. Он работает довольно хорошо.

Немного теории во-первых: пожалуйста, поймите, что это не заменит понимание.

Конечная антивирус является понимать, что вы делаете и вообще, что происходит с вашей системой, с вашим собственным умом и в так называемой реальности.

Никакое количество программного или аппаратного обеспечения не будет полностью защитить вас от себя и от ваших собственных действий, которые в большинстве случаев, как вредоносное программное обеспечение попадает в систему в первую очередь.

Большинство современных “производственных” вредоносных программ, рекламных и шпионских программ полагаются на различные трюки “социальной инженерии”, чтобы обмануть вас в установке “полезных” приложений, дополнений, панелей инструментов браузера, “антивирусных сканеров” или нажатии больших зеленых кнопок Download, которые установят вредоносные программы на вашу машину.

Даже программа установки для предположительно доверенных приложений, таких как uTorrent, установит по умолчанию рекламное и, возможно, шпионское ПО, если вы просто нажмете кнопку Next и не потратите время, чтобы прочитать, что означают все эти флажки.

Лучший способ борьбы с трюками социальной инженерии, которые используют хакеры reverse social engineering - если вы овладеете этой техникой, вам удастся избежать большинства типов угроз и сохранить вашу систему чистой и здоровой даже без антивируса или брандмауэра.

Если вы заметили признаки вредоносных/незапрашиваемых форм жизни, населяющих вашу систему, единственным чистым решением будет полное переформатирование и переустановка вашей системы. Сделайте резервную копию, как описано в других ответах здесь, быстро отформатируйте диски и переустановите систему, или, что еще лучше, переместите полезные данные на какое-нибудь внешнее хранилище, и заново изобразите системный раздел из чистого дампа разделов, который вы сделали ранее.

Некоторые компьютеры имеют опцию BIOS для возврата системы к исходным заводским настройкам. Даже если это может показаться немного чересчур, это никогда не повредит и, что более важно, это решит все остальные возможные проблемы, вне зависимости от того, знаете вы о них или нет, без необходимости обрабатывать каждую проблему по отдельности.

Лучший способ “исправить” скомпрометированную систему - не исправлять ее вообще, а вместо этого вернуться к известному “хорошему” снимку, используя какое-нибудь программное обеспечение для создания образов разделов, например, Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, или, например, dd, если вы делали резервную копию из Linux.

Со ссылкой на Уильяма Хилсума “Как мне от этого избавиться”: Использование живого компакт-диска “ выше:

Вирус не сможет работать в среде живого компакт-диска, поэтому вы можете временно использовать компьютер, не опасаясь дальнейшего заражения. Лучше всего то, что вы можете получить доступ ко всем своим файлам. 20 июня 2011 года Джастин Пот написал буклет "50 Cool Uses for Live CDs”. В начале буклета рассказывается о том, как загрузиться с CD, флэш-диска или SD-карты, а на страницах 19-20 рассказывается о сканировании с различными “противомикробными средствами”, некоторые из которых уже были упомянуты. Приведенные советы бесценны для этого сценария и объясняются на понятном английском языке. Конечно, остальная часть буклета неоценима для других ваших компьютерных потребностей. (Ссылка на скачивание (в формате PDF) приведена по ссылке ниже. Всегда помните о том, чтобы быть осмысленным при использовании Интернета, не поддавайтесь искушению забрести в “места”, где с большой долей вероятности скрываются вредоносные программы, и с вами все должно быть в порядке. Любой антивирус, Internet Security Suites и т.д., который вы, возможно, используете, должен иметь последние обновления, и какая бы операционная система вы ни использовали, она также должна быть обновлена. http://www.makeuseof.com/tag/download-50-cool-live-cds/

После того, как вы щелкнули или скопировали и вставили вышеуказанную ссылку, пожалуйста, щелкните на

DOWNLOAD 50 Cool Uses for Live CDs (написано синим цветом)

Please Note I tried to write this in the comments section, but couldn’t fit in it. Поэтому я дал официальный ответ, так как он бесценен.

Два важных момента:

1. Не заразитесь в первую очередь. Используйте хороший брандмауэр и антивирус, и практикуйте “безопасные вычисления” - держитесь подальше от сомнительных сайтов и избегайте скачивания вещей, когда не знаете, откуда они исходят.

2. Имейте в виду, что многие сайты в сети скажут вам, что вы “заражены”, когда вы не заражены - они хотят обмануть вас, чтобы вы купили их антишпионские программы, или, что еще хуже, они хотят, чтобы вы скачивали вещи, которые на самом деле являются шпионскими программами, замаскированными под “бесплатное антишпионское приложение”. Точно так же знайте, что многие на этом сайте, в основном по глупости, будут диагностировать любые “странные” ошибки, особенно тот вид повреждения реестра, которым славится Windows, в качестве признаков шпионских программ.

Как было предложено ранее в этой теме, если вы заражены, используйте живой компакт-диск linux для загрузки компьютера и немедленно создайте резервную копию всех ваших конфиденциальных данных.

Это также хорошая практика, чтобы ваши конфиденциальные файлы хранились на жестком диске, отличном от загрузочного диска вашей операционной системы. Таким образом, вы можете безопасно форматировать зараженную систему и запустить всеобъемлющее сканирование на ваши конфиденциальные данные только для того, чтобы быть на безопасной стороне.

На самом деле, это не лучшее решение, чем форматирование системного раздела, чтобы убедиться, что вы запускаете вирусов и вредоносных программ, свободной среде. Даже если вы запустили хороший инструмент (а их, несомненно, много), всегда есть остатки, и ваша система может показаться чистой в данный момент, но она, безусловно, становится бомбой замедленного действия, ожидающей взрыва в будущем.

8 декабря 2012 года. Remove-Malware выпустила видео-учебник под названием “Remove Malware Free 2013 Edition ” вместе с дополнительным Руководством, описывающим, как избавиться от вредоносного ПО с зараженного ПК бесплатно.

Они описывают

• Резервное копирование - Как создать резервную копию важных личных документов на случай, если ваш ПК станет недоступен.
• Сбор необходимых программ для этого руководства.
• Загрузочный антивирус - Почему загрузочный антивирус - лучший способ удаления вредоносных программ.
• Загрузочный антивирусный диск - Как создать загрузочный антивирусный диск.
• Загрузочный антивирусный диск - Как сканировать компьютер с загрузочного антивирусного диска.
• Очистка - Соберите остатки и удалите их.
• Предотвратить это снова

Видео-учебник составляет более 1 часа в длительность и вместе с письменным руководством является отличным ресурсом.

Видео-учебник ссылка

Письменное руководство ссылка

Обновление:

Очень информативная статья написанная сегодня 1 февраля 2013 года Дж: Основы вредоносного программного обеспечения Мобильные вредоносные программы могут быть модными, но вредоносное программное обеспечение для ПК все еще является большой проблемой"._ from arstechnica.com освещает постоянную проблему вредоносного программного обеспечения и различных типов вредоносных программ с объяснениями каждого из них, выделяя:

• Бэкдоры
• Трояны удаленного доступа
• Кражи информации
• Вымогательство

Статья также освещает распространение вредоносного программного обеспечения, работу бот-сетей и атакуемых предприятий.

*КОРОТКИЙ ОТВЕТ: *

1. Резервное копирование всех ваших файлов.
2. Отформатируйте системный раздел.

3. Переустановите Windows.

4. Установите антивирус.

5. Обновите окна.

6. Сканируйте резервную копию с помощью антивируса перед началом использования.

Сегодня вы никогда не можете быть уверены в том, что полностью удалили заражение, за исключением случаев, когда вы стираете диск и начинаете все сначала.

Я не думаю, что антивирусные программы, такие как MSE, MCAfee, Norton, Kaspersky и т.д., могут защитить вас на 100%, потому что их файлы определений всегда приходят после того, как факт - после того, как вредоносная программа уже есть в сети и может нанести большой ущерб. И многие из них не защищают вас от PUP и Adware.

Я также не думаю, что сканеры, такие как Malwarbytes, Superantispyware, сканер Bitdefender и другие могут сильно помочь, когда вредоносная программа уже повредила вашу систему. Если у вас достаточно сканеров, вы сможете удалить вредоносное ПО, но не сможете восстановить ущерб, нанесенный этой вредоносной программой.

Поэтому я разработал двухуровневую стратегию:

1. Я делаю еженедельные образы (я использую * free Macrium **) моего системного раздела и раздела с данными на два внешних диска, которые подключаются только во время отображения. Таким образом, никакое вредоносное ПО не может добраться до них. Если что-то не работает в моей системе, я всегда могу восстановить последний образ. Обычно я храню полдюжины полных образов на случай, если мне придется вернуться дальше, чем на прошлой неделе. Кроме того, в моей ОС включена функция восстановления системы, чтобы я мог быстро вернуться в случае ошибочного обновления. Но образы системы (тени) не очень надежны, потому что они могут исчезнуть по разным причинам. Недостаточно полагаться только на образы системы.

2. Большую часть своей работы в интернете я выполняю с виртуального раздела Linux. Linux сам по себе не является мишенью вредоносных программ и вредоносные программы для Windows не могут влиять на Linux. С этой системой я делаю

все свои загрузки и проверяю их с помощью * Virus Total ** перед тем, как переместить их в систему Windows. Вирус Тоталь запускает файл через 60 самых известных AV программ, и если он выйдет чистым, шансы очень высоки.

весь доступ в интернет к сайтам, где я не на 100% уверен, что они чисты - как, например, этот сайт здесь.

вся моя почта. Это преимущество Gmail и AOL. Я могу проверять свою почту с помощью браузера. Здесь я могу открыть любую почту, не боясь получить вирус. И вложения я запускаю через Вирус Всего.

все мои онлайн-банкинг. Linux обеспечивает мне дополнительный уровень безопасности

С таким подходом я не видел вредоносного программного обеспечения в течение многих лет. Если вы хотите попробовать виртуальный раздел Linux, * вот как **.

Каковы симптомы инфекции?

• *

это может быть ничего, что пользователь мог бы понять с точки зрения производительности или любым другим способом, в этих случаях без 100% точности мог видеть что-то в запущенном менеджере задач, и он понятия не имеет, что это такое, или как это пришло туда … но есть случаи, когда компьютеры совершенствуются плохо, программы работают медленнее, или не работает вообще, или что-то в этом роде. … симптомы действительно варьируются, и бывают случаи, когда инфекция может быть очевидной почти без раздумий, бывают случаи, которые трудно понять даже то, что что-то идет не так. все зависит от того, откуда вы заражены (вирус, троян, назовите его так, как хотите), и, в основном, от того, от того, откуда она появилась.

Что мне делать после того, как я заметила инфекцию? Что я могу сделать, чтобы избавиться от нее? 1. Сканируйте компьютер антивирусом. (KAspersky Internet Security, McAfee, Avast и т.д.). Имейте в виду, что даже при использовании ЛУЧШЕГО Антивируса вы можете найти то, от чего заражены, но дезинфекция гарантирована на 100%. 2. храните резервную копию своих файлов (убедитесь, что они тоже не заражены) и убедитесь, что избавились от всех зараженных файлов на вашем компьютере, даже если это означает их удаление. если вы их используете, вы снова заразитесь, так что в любом случае считайте, что они потеряны. Возможно, вы захотите попробовать использовать другую антивирусную программу, и это нормально, но не стоит возлагать больших надежд. 3. лучший/быстрейший/самый эффективный способ избавиться от заражения - это отформатировать диск и произвести чистую установку операционной системы. 4. если вы собираетесь использовать ЛЮБОЕ БЕЗОПАСНОЕ ОБЕСПЕЧЕНИЕ, обязательно пересканируйте его с помощью антивирусной программы перед применением. он тоже может быть заражен до того, как вы поймете, что что-то не так.

как предотвратить заражение вредоносным ПО?

1. Используя антивирус, в настоящее время большинство антивирусных программ являются решением практически для всех типов вредоносных программ/вирусов и т.д. Имейте в виду, что профилактика лучше, чем пытаться решить проблему позже. В большинстве случаев они оказывают большую помощь. Такие приложения, как SpyHunter, байты вредоносного ПО, Spybot и т.д. также отлично подходят для дополнительной защиты. Использование брандмауэра также помогает. Имейте в виду, что даже если ваш компьютер выключен и не имеет подключения к Интернету, все равно необходим антивирус. Причина? вы могли бы использовать CD’s, USB sticks, DVD’s, или другие файлы которые приходят от друзей/клиентов etc которые могут быть заражены. все еще антивирус защиты предлагает даже в этом случае неоценимое
2. Загрузка/установка/Использование программного обеспечения из доверенных источников.
3. Вход на доверенные интернет-сайты.
4. Убедитесь, что Ваша операционная система ВСЕГДА ДОЛЖНА ДАТЬ! Обновления не только для лучшей производительности, но и для безопасности тоже.

Проблема со сканированием вредоносного ПО снаружи или с живого компакт-диска заключается в том, что многие из этих мерзких программ подключаются к процессам памяти, драйверам и многому другому. Если операционная система ПК не загружена, то и они тоже не загружены, что делает процесс удаления неприятным. ВСЕГДА сканируйте систему на наличие вредоносного ПО во время загрузки зараженной ОС.

При этом загружайте Windows с копией RKILL на USB-накопитель. Запуск этой утилиты убивает любой вредоносный процесс, отламывая его в фоновом режиме, что позволяет двигаться дальше в процессе удаления. Это ОЧЕНЬ эффективно. Мне еще предстоит столкнуться с ситуацией, когда программа не справилась со своей задачей, и я удивлен, сколько техников никогда о ней не слышали.

Далее я выбираю сканирование либо с помощью байтов вредоносного ПО, либо с помощью ComboFix. Приятный плюс в том, что эти сканеры не используют дефиниции вирусов, они постоянно находят вредоносное ПО, основываясь на поведении - очень эффективная методика. Однако, предупреждаю - они также гораздо более опасны и могут НЕОБХОДИМО разрушить серьезный магазин на вашей операционной системе. Убедитесь, что у вас есть резервная копия.

90 процентов времени вышеуказанного процесса работает на меня, и я удаляю ТОН из этих вещей ежедневно. Если у вас паранойя, запуск сканирования с помощью чего-то вроде AVG, SuperAntiSpyware или Microsoft Security Essentials может быть неплохой идеей. Хотя я не видел, чтобы эти программы обнаруживали намного больше, чем безобидные куки-трекеры, некоторые люди клянутся ими. Дайте себе спокойствие и сделайте это, если нужно.