惡意軟件感染可能會出現一系列症狀 - 或根本沒有。 事實上,最隱秘的威脅(密碼竊取者和數據盜竊木馬)很少顯示任何感染跡象。 在其他情況下,例如恐慌軟件,您可能會遇到系統減速或無法訪問某些實用程序(如任務管理器)的情況。
根據您的體驗水平,您可以嘗試各種選項。 以下是從最簡單的工作開始到更高級的選項列表。
首先嘗試您的防病毒軟件
如果您的Windows計算機感染了病毒,您的第一步應該是更新您的防病毒軟件並運行完整的系統掃描。 確保在運行掃描之前關閉所有程序。 此掃描可能需要幾個小時,所以當您不需要使用計算機一段時間時執行此任務。 (如果你的電腦已經感染了,你真的不應該使用它。)
如果發現惡意軟件,防病毒掃描程序通常會採取以下三種操作之一: 清理,隔離或刪除 。 如果在運行掃描後,惡意軟件被刪除,但您收到系統錯誤或藍屏死機,則可能需要恢復丟失的系統文件 。
啟動到安全模式
安全模式可防止應用程序加載,並允許您在更受控制的環境中與操作系統進行交互。 雖然並非所有的防病毒軟件都支持它,但請嘗試啟動到安全模式並從此處運行防病毒掃描。 如果安全模式無法啟動或您的防病毒程序無法在安全模式下運行,請嘗試正常引導,但在Windows開始加載時按住shift鍵。 這樣做可以防止Windows啟動時加載任何應用程序(包括某些惡意軟件)。
如果應用程序(或惡意軟件)仍然加載,則ShiftOveride設置可能已被惡意軟件更改。 要解決該問題,請參閱如何禁用ShiftOveride。
嘗試手動找到並刪除惡意軟件
今天的許多惡意軟件都可以禁用防病毒軟件,從而防止它消除感染。 在這種情況下,您可以嘗試手動從系統中刪除病毒。 但是,試圖手動刪除病毒需要一定的技能和Windows知識。 至少,您需要知道如何:
您還需要確保文件擴展名查看已啟用 (默認情況下不會,因此這是非常重要的一步)。 您還需要確保自動運行已禁用 。
您還可以嘗試使用任務管理器關閉惡意軟件進程。 只需右鍵單擊要停止的進程並選擇“結束進程”。 如果您無法通過任務管理器查找正在運行的進程,則可以檢查常見的AutoStart入口點以查找加載惡意軟件的位置。 但是請注意,今天的許多惡意軟件可能啟用了rootkit ,因此將被隱藏起來。
如果您無法使用任務管理器查找正在運行的進程或通過檢查AutoStart入口點,請運行rootkit掃描程序以嘗試識別涉及的文件/進程。 惡意軟件也可能阻止訪問文件夾選項,因此您無法更改這些選項以查看隱藏文件或文件擴展名。 在這種情況下,您還需要重新啟用文件夾選項查看。
如果您能夠成功找到可疑文件,請獲取文件的MD5或SHA1哈希值 ,並使用搜索引擎使用哈希搜索關於它的詳細信息。 這在確定嫌疑人文件是否確實是惡意或合法時特別有用。 您也可以將文件提交給在線掃描儀進行診斷。
一旦確定了惡意文件,下一步就是刪除它們。 這可能會很棘手,因為惡意軟件通常會使用多個文件來監視和防止惡意文件被刪除。 如果您無法刪除惡意文件,請嘗試註銷與該文件關聯的dll或停止winlogon進程並嘗試再次刪除文件。
創建一張可啟動的救援CD
如果以上步驟均不起作用,則可能需要創建一張可提供對受感染驅動器的休眠訪問的應急CD。 選項包括BartPE (Windows XP),VistaPE(Windows Vista)和WindowsPE(Windows 7)。
啟動救援CD後,再次檢查常見的AutoStart入口點以查找加載惡意軟件的位置。 瀏覽到這些AutoStart入口點中提供的位置並刪除惡意文件。 (如果不確定,請獲取MD5或SHA1哈希值並使用您最喜歡的搜索引擎來調查使用該哈希值的文件。
最後手段:重新格式化並重新安裝
最後但通常是最好的選擇是重新格式化受感染的計算機的硬盤驅動器並重新安裝操作系統和所有程序。 雖然乏味,但這種方法確保從感染中最安全地恢復。 完成恢復系統後,請務必更改計算機和任何敏感在線網站(包括銀行,社交網絡,電子郵件等)的登錄密碼。
請記住,儘管恢復數據文件通常是安全的(即您自己創建的文件),但您首先需要確保它們不會感染病毒。 如果您的備份文件存儲在USB驅動器上,請在禁用自動運行之前將其重新插入新還原的計算機。 否則,通過自動運行蠕蟲再次感染的機會非常高。
禁用自動運行後,插入您的備份驅動器,並使用幾個不同的在線掃描儀進行掃描 。 如果您從兩台或更多在線掃描儀獲得乾淨的健康證書,那麼您可以安心地將這些文件恢復到恢復的PC上。