Заражение вредоносным ПО вызывает ряд симптомов или не вызывает их вовсе. Наиболее серьезные угрозы (например, кража паролей и трояны для кражи данных) редко приводят к признакам заражения. При использовании других типов вредоносных программ, таких как scareware, ваша система может замедлиться или вы не сможете получить доступ к определенным утилитам, таким как Диспетчер задач.
Когда ваш компьютер заражен, попробуйте несколько самостоятельных решений. Мы разработали список ваших вариантов, начиная с самых простых и заканчивая более продвинутыми.
Некоторые из более сложных методов могут потребовать помощи друга-профессионала или технически подкованного друга. Кроме того, нет единого пошагового процесса исправления вирусов. Из многих тысяч вариантов в дикой природе каждый требует определенной процедуры разрешения.
Запустите антивирусное программное обеспечение
Если ваш компьютер с Windows заражен вирусом, ваш первый шаг — обновить антивирусное программное обеспечение и запустить полное сканирование системы.
Перед сканированием закройте все программы.
Этот процесс может занять несколько часов, поэтому выполняйте эту задачу, если вам не нужно какое-то время использовать компьютер (если ваш компьютер заражен, вам не следует его использовать).
Если антивирусное ПО обнаружит вредоносное ПО, оно выполнит одно из трех действий: очистить, поместить в карантин или удалить. Если после запуска сканирования вредоносная программа была удалена, но вы получаете системные ошибки или синий экран смерти, вам может потребоваться восстановить отсутствующие системные файлы.
Загрузка в безопасный режим
Безопасный режим предотвращает загрузку приложений, поэтому вы можете взаимодействовать с операционной системой в контролируемой среде. Не все антивирусные программы поддерживают его, но попробуйте загрузиться в безопасном режиме и запустить антивирусное сканирование оттуда.
Если безопасный режим не загружается или ваше антивирусное программное обеспечение не работает в безопасном режиме, загрузите компьютер в обычном режиме, затем нажмите и удерживайте кнопку сдвиг ключ, когда Windows начинает загружаться. Это нажатие клавиши предотвращает загрузку любых приложений (включая некоторые вредоносные программы) при запуске Windows.
Если приложения (или вредоносное ПО) все еще загружаются, возможно, вредоносное ПО изменило параметр переопределения Shift. Чтобы обойти это, отключите переопределение клавиши Shift.
:max_bytes(150000):strip_icc()/SystemEditor-5c8fcfc7c9e77c0001eb1c77.jpg)
Попытка вручную найти и удалить вредоносное ПО
Вредоносное ПО может отключить антивирусное программное обеспечение, не давая ему удалить инфекцию. В этом случае удалите вирус из вашей системы вручную.
Попытка удалить вирус вручную требует определенного уровня навыков и знаний Windows.
Как минимум, вам необходимо знать, как:
- Используйте системный реестр
- Перемещение с использованием переменных среды
- Просматривайте папки и находите файлы
- Найдите точки входа в AutoStart
- Получить хэш (MD5 / SHA1 / CRC) файла
- Доступ к диспетчеру задач Windows
- Загрузка в безопасный режим
Также убедитесь, что просмотр расширений файлов включен (по умолчанию это не так, поэтому это чрезвычайно важный шаг) и что автозапуск отключен.
Вы также можете попытаться закрыть вредоносные процессы с помощью диспетчера задач. Для этого щелкните правой кнопкой мыши процесс, который хотите остановить, и выберите Завершить задачу.
:max_bytes(150000):strip_icc()/TaskManager-5c8fd006c9e77c0001a926e0.jpg)
Если вы не можете найти запущенные процессы с помощью диспетчера задач, проверьте общие точки входа автозапуска, чтобы определить, откуда загружается вредоносная программа. Обратите внимание, однако, что вредоносное ПО может быть скрыто от просмотра с помощью руткитов.
Если вы не можете найти запущенные процессы с помощью диспетчера задач или путем проверки точек входа автозапуска, запустите сканер руткитов, чтобы определить задействованные файлы или процессы. Вредоносное ПО также может препятствовать доступу к параметрам папки, делая невозможным изменение параметров для просмотра скрытых файлов или расширений файлов. В этом случае повторно включите просмотр параметров папки.
Если вы обнаружите подозрительные файлы, получите хэш MD5 или SHA1 для файлов и выполните поиск сведений о них с помощью хеша. Этот метод используется для определения того, являются ли подозрительные файлы вредоносными. Вы также можете отправить файлы в онлайн-сканер для диагностики.
После того, как вы определили вредоносные файлы, следующим шагом будет их удаление. Это действие может быть непростым, поскольку вредоносное ПО обычно использует несколько файлов, которые отслеживают и предотвращают удаление вредоносных файлов. Если вы не можете удалить вредоносный файл, отмените регистрацию связанной с ним dll или остановите процесс winlogon и удалите его снова.
Создайте загрузочный аварийный компакт-диск
Если вам не удалось выполнить описанные выше шаги, создайте аварийный компакт-диск, который обеспечивает неактивный доступ к зараженному диску. Варианты включают BartPE (Windows XP), VistaPE (Windows Vista) и WindowsPE (Windows 7).
В Windows 10 или Windows 8 / 8.1 используйте инструмент восстановления системы вместо аварийного компакт-диска.
После загрузки с аварийного компакт-диска проверьте общие точки входа AutoStart, чтобы найти место, откуда загружается вредоносная программа. Найдите места, указанные в этих точках входа AutoStart, и удалите вредоносные файлы. (Если вы не уверены, получите хэш MD5 или SHA1 и выполните поиск в Интернете, чтобы исследовать файлы, используя этот хеш.)
В крайнем случае переформатируйте и переустановите
Последний, но зачастую лучший вариант — переформатировать жесткий диск зараженного компьютера и переустановить операционную систему и все программы. Этот метод обеспечивает максимально безопасное излечение от инфекции.
Измените пароли для входа на компьютер и любые конфиденциальные интернет-сайты (включая банкинг, социальные сети и электронную почту) после завершения восстановления системы.
Хотя, как правило, восстановление файлов данных, то есть созданных вами файлов, безопасно, сначала убедитесь, что они не заражены. Если файлы резервных копий хранятся на USB-накопителе, не подключайте его обратно к недавно восстановленному компьютеру, пока не отключите автозапуск. Если вы это сделаете, высока вероятность повторного заражения через червя автозапуска.
После отключения автозапуска подключите резервный диск и отсканируйте его с помощью пары различных онлайн-сканеров. Если вы получите отчет о состоянии здоровья от двух или более онлайн-сканеров, вы можете чувствовать себя в безопасности, перемещая эти файлы обратно на восстановленный компьютер.