恶意软件感染可能会出现一系列症状 - 或根本没有。 事实上,最隐秘的威胁(密码窃取者和数据盗窃木马)很少显示任何感染迹象。 在其他情况下,例如恐慌软件,您可能会遇到系统减速或无法访问某些实用程序(如任务管理器)的情况。
根据您的体验水平,您可以尝试各种选项。 以下是从最简单的工作开始到更高级的选项列表。
首先尝试您的防病毒软件
如果您的Windows计算机感染了病毒,您的第一步应该是更新您的防病毒软件并运行完整的系统扫描。 确保在运行扫描之前关闭所有程序。 此扫描可能需要几个小时,所以当您不需要使用计算机一段时间时执行此任务。 (如果你的电脑已经感染了,你真的不应该使用它。)
如果发现恶意软件,防病毒扫描程序通常会采取以下三种操作之一: 清理,隔离或删除 。 如果在运行扫描后,恶意软件被删除,但您收到系统错误或蓝屏死机,则可能需要恢复丢失的系统文件 。
启动到安全模式
安全模式可防止应用程序加载,并允许您在更受控制的环境中与操作系统进行交互。 虽然并非所有的防病毒软件都支持它,但请尝试启动到安全模式并从此处运行防病毒扫描。 如果安全模式无法启动或您的防病毒程序无法在安全模式下运行,请尝试正常引导,但在Windows开始加载时按住shift键。 这样做可以防止Windows启动时加载任何应用程序(包括某些恶意软件)。
如果应用程序(或恶意软件)仍然加载,则ShiftOveride设置可能已被恶意软件更改。 要解决该问题,请参阅如何禁用ShiftOveride。
尝试手动找到并删除恶意软件
今天的许多恶意软件都可以禁用防病毒软件,从而防止它消除感染。 在这种情况下,您可以尝试手动从系统中删除病毒。 但是,试图手动删除病毒需要一定的技能和Windows知识。 至少,您需要知道如何:
您还需要确保文件扩展名查看已启用 (默认情况下不会,因此这是非常重要的一步)。 您还需要确保自动运行已禁用 。
您还可以尝试使用任务管理器关闭恶意软件进程。 只需右键单击要停止的进程并选择“结束进程”。 如果您无法通过任务管理器查找正在运行的进程,则可以检查常见的AutoStart入口点以查找加载恶意软件的位置。 但是请注意,今天的许多恶意软件可能启用了rootkit ,因此将被隐藏起来。
如果您无法使用任务管理器查找正在运行的进程或通过检查AutoStart入口点,请运行rootkit扫描程序以尝试识别涉及的文件/进程。 恶意软件也可能阻止访问文件夹选项,因此您无法更改这些选项以查看隐藏文件或文件扩展名。 在这种情况下,您还需要重新启用文件夹选项查看。
如果您能够成功找到可疑文件,请获取文件的MD5或SHA1哈希值 ,并使用搜索引擎使用哈希搜索关于它的详细信息。 这在确定嫌疑人文件是否确实是恶意或合法时特别有用。 您也可以将文件提交给在线扫描仪进行诊断。
一旦确定了恶意文件,下一步就是删除它们。 这可能会很棘手,因为恶意软件通常会使用多个文件来监视和防止恶意文件被删除。 如果您无法删除恶意文件,请尝试注销与该文件关联的dll或停止winlogon进程并尝试再次删除文件。
创建一张可启动的救援CD
如果以上步骤均不起作用,则可能需要创建一张可提供对受感染驱动器的休眠访问的应急CD。 选项包括BartPE (Windows XP),VistaPE(Windows Vista)和WindowsPE(Windows 7)。
启动救援CD后,再次检查常见的AutoStart入口点以查找加载恶意软件的位置。 浏览到这些AutoStart入口点中提供的位置并删除恶意文件。 (如果不确定,请获取MD5或SHA1哈希值并使用您最喜欢的搜索引擎来调查使用该哈希值的文件。
最后手段:重新格式化并重新安装
最后但通常是最好的选择是重新格式化受感染的计算机的硬盘驱动器并重新安装操作系统和所有程序。 虽然乏味,但这种方法确保从感染最安全的恢复。 完成恢复系统后,请务必更改计算机和任何敏感在线网站(包括银行,社交网络,电子邮件等)的登录密码。
请记住,尽管恢复数据文件通常是安全的(即您自己创建的文件),但您首先需要确保它们不会感染病毒。 如果您的备份文件存储在USB驱动器上,请在禁用自动运行之前将其重新插入新还原的计算机。 否则,通过自动运行蠕虫再次感染的机会非常高。
禁用自动运行后,插入您的备份驱动器,并使用几个不同的在线扫描仪进行扫描 。 如果您从两台或更多在线扫描仪获得干净的健康证书,那么您可以安心地将这些文件恢复到恢复的PC上。