Questão Como posso remover spyware, malware, adware, vírus, trojans ou rootkits mal-intencionados do meu PC?


O que devo fazer se meu computador com Windows parecer estar infectado por um vírus ou malware?

  • Quais são os sintomas de uma infecção?
  • O que devo fazer depois de perceber uma infecção?
  • O que posso fazer para me livrar disso?
  • como evitar infecções por malware?

Esta questão surge com frequência e as soluções sugeridas são geralmente as mesmas. Este wiki da comunidade é uma tentativa de servir como a resposta mais abrangente e definitiva possível.

Sinta-se à vontade para adicionar suas contribuições por meio de edições.


431


origem


Uma coisa que definitivamente NÃO é fazer é instalar qualquer uma das ferramentas "anti-malware" para as quais você é solicitado quando chegar a uma página da Web que diz "Seu computador está infectado por um vírus!" Estes são quase certamente malware. Você deve usar apenas ferramentas que são bem avaliadas - (presumivelmente) aquelas nomeadas abaixo ou em outro site confiável. - Daniel R Hicks
@Gnoupi Este artigo talvez seja de interesse maketecheasier.com/… - Simon
Para qualquer um que acabe de chegar a esta questão querendo a versão dr ... Uma vez infectado, não tem jeito (bem ... de jeito nenhum que não envolva você já ser engenheiro de computação, e investir alguns anos de sua vida para realizar uma autópsia digital na máquina) para se livrar / ter certeza de que você se livrou de uma infecção. O malware pode se esconder em seus arquivos, seus programas aplicativos, seus sistemas operacionais, firmware ... É por isso que você nunca deve confiar em um computador que teve uma infecção. Os fornecedores de antivírus tentarão convencê-lo de que seu produto é a solução que corrigirá seu sistema. Eles mentem. - Parthian Shot
@ DanielRHicks na verdade, em alguns casos eles levam a um produto AV legítimo. A última vez que vi isso no android com o seu chato "builtin suporte de anúncios" (as barras de anúncios que aparecem na parte inferior do aplicativo e páginas da web). Por exemplo, eu apenas toquei em "remover vírus!" anúncio e eu cheguei na Google Play Store no 360 Security - Antivirus Boost página de aplicativos. - David Balažic
Quando consideramos a capacidade de posse dos Rootkits Virtuais e dos Rootkits de Firmware, podemos dizer: Você é desossado. Esses dois tipos de Rootkit são salvos em áreas do seu computador que você não pode limpar. Se você quiser se livrar deles, você precisa comprar um novo computador. Os Rootkits de Firmware são raros e os Rootkits Virtuais ainda não existem, mas ainda assim: A existência destes dois Rootkits provam que não existe uma solução 100% funcional que mantenha os seus computadores livres de malware por toda a eternidade e além. Como alemão, eu o conspiraria para um "Eierlegende Wollmilchsau" - BlueWizard


Respostas:


Aqui está a coisa: Malware nos últimos anos tornou-se tanto sneakier e mais desagradável:

Sneakierporque viaja em pacotes. O malware sutil pode se esconder atrás de infecções mais óbvias. Há muitas boas ferramentas listadas nas respostas que podem encontrar 99% dos malwares, mas sempre há 1% que eles ainda não encontraram. Principalmente, esse 1% é material que é Novo: as ferramentas de malware não podem encontrá-lo porque ele acabou de sair e está usando alguma nova técnica ou exploit para se esconder que as ferramentas ainda não conhecem.

O malware também tem uma vida útil curta. Se você está infectado, algo do novo 1% é muito provável que seja uma parte da sua infecção. Não será o todo infecção: apenas uma parte dela. As ferramentas de segurança ajudarão você a encontrar e remover os malwares mais óbvios e conhecidos e provavelmente removerão todos os sintomas (porque você pode continuar cavando até chegar tão longe), mas eles podem deixar pequenos pedaços para trás, como um keylogger ou rootkit escondido atrás de algum novo exploit que a ferramenta de segurança ainda não sabe como checar. As ferramentas anti-malware ainda têm o seu lugar, mas vou chegar a isso mais tarde.

Nastier, na medida em que não vai mostrar apenas anúncios, instalar uma barra de ferramentas, ou usar seu computador como um zumbi mais. Malwares modernos provavelmente dão certo para as informações bancárias ou de cartão de crédito. As pessoas que constroem essas coisas não são mais apenas crianças de script procurando por fama; eles agora são profissionais organizados motivados por lucro, e se eles não podem roubar você diretamente, eles vão procurar alguma coisa eles podem se virar e vender. Isso pode ser processamento ou recursos de rede em seu computador, mas também pode ser o seu número de segurança social ou criptografar seus arquivos e armazená-los para resgate.

Coloque esses dois fatores juntos e não vale mais a pena tentar remover malware de um sistema operacional instalado. Eu costumava ser muito bom em remover essas coisas, a ponto de fazer uma parte significativa da minha vida desse jeito, e eu não faço mais a tentativa. Não estou dizendo que não pode ser feito, mas estou dizendo que os resultados de custo / benefício e análise de risco mudaram: simplesmente não vale mais a pena. Há muito em jogo, e é muito fácil obter resultados que só parece para ser efetivo.

Muitas pessoas vão discordar de mim sobre isso, mas eu desafio que eles não estão pesando as conseqüências do fracasso com força suficiente. Você está disposto a apostar suas economias de vida, seu bom crédito, até mesmo sua identidade, que você é melhor nisso do que bandidos que fazem milhões fazendo isso todos os dias?  Se você tentar remover malware e continuar executando o sistema antigo, exatamente o que você está fazendo.

Eu sei que há pessoas lá fora, lendo este pensamento: "Ei, eu removi várias infecções de várias máquinas e nada de ruim aconteceu." Eu tambem amiga. Eu também. Nos últimos dias, limpei minha parcela de sistemas infectados. No entanto, sugiro que agora precisamos adicionar "yet" ao final dessa declaração. Você pode ser 99% eficaz, mas você só tem que estar errado uma vez, e as consequências do fracasso são muito maiores do que eram antes; o custo de apenas uma falha pode facilmente superar todos os outros sucessos. Você pode até ter uma máquina lá fora que ainda tem uma bomba-relógio dentro, apenas esperando para ser ativada ou para coletar as informações corretas antes de reportá-las de volta. Mesmo se você tiver um processo 100% eficaz agora, isso muda o tempo todo. Lembre-se: você tem que ser perfeito a cada vez; os bandidos só tem que ter sorte uma vez.

Em resumo, é lamentável, mas E se você tem uma infecção por malware confirmada, uma re-lavagem completa do computador deve ser a primeiro lugar você vira em vez do último.


Veja como realizar isso:

Antes de você estar infectado, certifique-se de ter uma maneira de reinstalar qualquer software comprado, incluindo o sistema operacional, que não dependa de nada armazenado em seu disco rígido interno. Para isso, normalmente significa apenas pendurar em cd / dvds ou chaves de produto, mas o sistema operacional pode exigir que você crie discos de recuperação por conta própria. Não confie em uma partição de recuperação para isso. Se você esperar até depois de uma infecção para garantir que tenha o que precisa para reinstalar, poderá se ver pagando novamente pelo mesmo software. Com a ascensão do ransomware, também é extremamente importante fazer backups regulares de seus dados (além de coisas regulares não maliciosas, como falhas no disco rígido).

Quando você suspeitar que tem malware, olhe para outras respostas aqui. Existem muitas boas ferramentas sugeridas. Meu único problema é a melhor maneira de usá-los: eu só confio neles para a detecção. Instale e execute a ferramenta, mas, assim que encontrar evidências de uma infecção real (mais do que apenas "cookies de rastreamento"), pare a verificação: a ferramenta fez seu trabalho e confirmou sua infecção.1

No momento de uma infecção confirmada, Siga os seguintes passos:

  1. Verifique seu crédito e contas bancárias. No momento em que você descobrir sobre a infecção, o dano real já pode ter sido feito. Tome todas as medidas necessárias para proteger seus cartões, conta bancária e identidade. Altere as senhas em qualquer site acessado no computador comprometido. Não use o computador comprometido para fazer nada disso. 
  2. Faça um backup dos seus dados (melhor ainda se você já tiver um).
  3. Reinstale o sistema operacional usando os discos enviados com o computador, adquiridos separadamente, ou o disco de recuperação que você deve ter criado quando o computador era novo. Certifique-se de que a reinstalação inclua uma reformatação completa do seu disco; uma restauração do sistema ou operação de recuperação do sistema não é suficiente.
  4. Reinstale seus aplicativos.
  5. Certifique-se de que o sistema operacional e o software estejam totalmente atualizados e atualizados.
  6. Execute uma verificação antivírus completa para limpar o backup da etapa dois.
  7. Restaure o backup.

Se feito corretamente, é provável que leve entre duas e seis horas reais do seu tempo, espalhadas por dois ou três dias (ou até mais) enquanto você espera por coisas como aplicativos para instalar, atualizações do windows para download ou grandes arquivos de backup. para transferir ... mas é melhor do que descobrir mais tarde que os bandidos drenaram sua conta bancária. Infelizmente, isso é algo que você deve fazer sozinho ou fazer um amigo techy fazer por você. Em uma taxa típica de consultoria de cerca de US $ 100 / h, pode ser mais barato comprar uma nova máquina do que pagar uma loja para fazer isso. Se você tem um amigo para fazer isso, faça algo de bom para mostrar sua apreciação. Mesmo geeks que adoram ajudar você a configurar coisas novas ou consertar hardware quebrado com frequência ódio o tédio do trabalho de limpeza. Também é melhor se você fizer o seu próprio backup ... seus amigos não vão saber onde você coloca quais arquivos, ou quais são realmente importantes para você. Você está em uma posição melhor para ter um bom backup do que eles são.

Em breve, nem tudo isso pode ser suficiente, já que agora existe um malware capaz de infectar o firmware. Mesmo a substituição do disco rígido pode não remover a infecção, e a compra de um novo computador será a única opção. Felizmente, na época em que estou escrevendo isso, ainda não chegamos a esse ponto, mas está definitivamente no horizonte e se aproximando rapidamente.


Se você absolutamente insiste, além de qualquer razão, que você realmente quer limpar sua instalação existente ao invés de começar de novo, então pelo amor de Deus, certifique-se de que qualquer método que você use envolve um dos dois procedimentos a seguir:

  • Remova o disco rígido e conecte-o como um disco convidado em um computador diferente (limpo!) Para executar a verificação.

OU

  • Inicialize a partir de um CD / USB key com seu próprio conjunto de ferramentas executando seu próprio kernel. Certifique-se de que a imagem para isso seja obtida e gravada em um computador limpo. Se necessário, peça a um amigo que faça o disco para você.

Sob nenhuma circunstância você deve tentar limpar um sistema operacional infectado usando o software executado como um processo convidado do sistema operacional comprometido. Isso é simplesmente idiota.


Naturalmente, a melhor maneira de corrigir uma infecção é evitá-la em primeiro lugar, e há algumas coisas que você pode fazer para ajudar com isso:

  1. Mantenha seu sistema corrigido. Assegure-se de que você prontamente Instale Atualizações do Windows, Atualizações da Adobe, Atualizações do Java, Atualizações da Apple, etc. Isso é muito mais importante até mesmo do que o software antivírus e, na maior parte, não é tão difícil, contanto que você se mantenha atualizado. A maioria dessas empresas informalmente resolveu lançar todos os novos patches no mesmo dia de cada mês, portanto, se você se mantiver atualizado, isso não o interromperá com tanta frequência. As interrupções do Windows Update normalmente só acontecem quando você as ignora por muito tempo. Se isso acontecer com você muitas vezes, é você para mudar seu comportamento. Esses são importante.
  2. Não execute como administrador por padrão. Nas versões recentes do Windows, isso é tão simples quanto deixar o recurso do UAC ativado.
  3. Use uma boa ferramenta de firewall. Atualmente, o firewall padrão no Windows é realmente bom o suficiente. Você pode querer complementar essa camada com algo como WinPatrol, que ajuda a interromper atividades maliciosas no front end. O Windows Defender também funciona nessa capacidade até certo ponto. Os plug-ins básicos do navegador Ad-Blocker também estão se tornando cada vez mais úteis nesse nível como uma ferramenta de segurança.
  4. Configure a maioria dos plug-ins de navegador (especialmente Flash e Java) para "Ask to Activate".
  5. Corre atual software antivírus. Este é um quinto distante das outras opções, já que o software tradicional de A / V geralmente não é mais tão eficaz. Também é importante enfatizar a "atual". Você pode ter o melhor software antivírus do mundo, mas se não estiver atualizado, você pode desinstalá-lo.

    Por esse motivo, atualmente recomendo o Microsoft Security Essentials. (Desde o Windows 8, o Microsoft Security Essentials faz parte do Windows Defender.) Existem provavelmente mecanismos de verificação muito melhores, mas o Security Essentials manter-se-á atualizado, sem nunca arriscar um registro expirado. O AVG e o Avast também funcionam bem dessa maneira. Eu não posso recomendar nenhum software antivírus que você realmente precise pagar, porque é muito comum que uma assinatura paga decaia e você acabe com definições desatualizadas.

    Também é importante notar que os usuários de Mac agora também precisam executar um software antivírus. Os dias em que eles poderiam fugir sem isso já se foram. Como um aparte, eu acho que é Hilário Agora devo recomendar que os usuários de Mac comprem software antivírus, mas aconselham os usuários do Windows contra ele.

  6. Evite sites de torrent, warez, software pirateado e filmes / vídeos pirateados. Este material é frequentemente injetado com malware pela pessoa que o decifrou ou postou - nem sempre, mas com freqüência suficiente para evitar toda a confusão. É parte da razão pela qual um cracker faria isso: muitas vezes eles receberão uma parte de seus lucros.
  7. Use sua cabeça ao navegar na web. Você é o elo mais fraco da cadeia de segurança. Se algo parece bom demais para ser verdade, provavelmente é. O botão de download mais óbvio raramente é aquele que você deseja usar mais quando faz o download de um novo software, portanto, leia e entenda tudo na página antes de clicar nesse link. Além disso, prefira baixar o software e atualizações / upgrades diretamente do fornecedor ou desenvolvedor em vez de sites de hospedagem de arquivos de terceiros.

1 Este é um bom momento para apontar que suavizei minha abordagem um pouco no último ano. Hoje, a maioria das "infecções" se enquadra na categoria de PUPs (Programas Potencialmente Indesejados) e extensões de navegador incluídas em outros downloads. Geralmente esses PUPs / extensões podem ser removidos com segurança através de meios tradicionais. Agora, esses são um percentual grande o suficiente de malwares que eu posso parar neste ponto e simplesmente tente o recurso Adicionar / Remover Programas ou o navegador normal para remover uma extensão. No entanto, ao primeiro sinal de algo mais profundo - qualquer indício de que o software não irá apenas desinstalar normalmente - e está de volta a repavimentar a máquina.


257



Este parece ser o mais sábio, hoje em dia, de fato. Gostaria de acrescentar que há outro motivo para alguns malwares serem sorrateiros: eles permanecerão inativos e usarão seu computador para outras atividades. Pode ser proxy, armazenar coisas mais ou menos ilegais ou fazer parte de um ataque DDOS. - Gnoupi
@ConradFrix É muito cedo para dizer ... Eu ainda não precisava fazer isso em um PC com Windows 8 ... mas sou pessimista porque não resulta em reformatar a unidade. O Windows 8 inclui várias melhorias de segurança, incluindo a execução de software antivírus a partir do tempo 0 como parte do sistema operacional, de forma que espero nunca precisar fazer isso para o Windows 8. - Joel Coehoorn
@DanielRHicks leu a frase completa. São de duas a seis horas do seu tempo, espalhadas por um dia ou três, em que você é eficiente em chutar alguma coisa e checar mais tarde. Se você é baby-sitting tudo, então sim: vai demorar um pouco. - Joel Coehoorn
@JoelCoehoorn É só eu, ou malware tão avançado também infectaria firmware em todos os tipos de componentes tornando inútil qualquer esforço de remoção? - Enis P. Aginić
Lembre-se de que, se você fizer um backup APÓS descobrir a infecção, é altamente provável que o próprio backup esteja infectado. Por favor, escaneie o backup antes de tentar uma restauração. - Tejas Kale


Como posso saber se meu PC está infectado?

Sintomas gerais de malware podem ser qualquer coisa. Os usuais são:

  • A máquina está mais lenta que o normal.
  • Falhas aleatórias e coisas que acontecem quando não deveriam (por exemplo, alguns novos vírus colocam restrições de política de grupo em sua máquina para impedir que o gerenciador de tarefas ou outros programas de diagnóstico sejam executados).
  • O gerenciador de tarefas mostra uma alta CPU quando você acredita que sua máquina deve estar inativa (por exemplo, <5%).
  • Anúncios aparecendo aleatoriamente.
  • Avisos de vírus surgindo de um antivírus que você não se lembra de ter instalado (o programa antivírus é falso e tenta dizer que você tem um vírus assustador com nomes como 'bankpasswordstealer.vir'). Você é incentivado a pagar por esse programa para limpá-los. ).
  • Popups / falsa tela azul da morte (BSOD) pedindo para você ligar para um número para corrigir a infecção.
  • Páginas da Internet redirecionadas ou bloqueadas, por exemplo, páginas iniciais de produtos AV ou sites de suporte (www.symantec.com, www.avg.com, www.microsoft.com) são redirecionadas para sites repletos de anúncios ou sites falsos que promovem falsas vírus / "útil" ferramentas de remoção, ou são bloqueados completamente.
  • Maior tempo de inicialização, quando você não instalou nenhum aplicativo (ou patches) ... Este é um pouco complicado.
  • Seus arquivos pessoais são criptografados e você vê uma nota de resgate.
  • Qualquer coisa fora do azul, se você "conhece" o seu sistema, você normalmente sabe quando algo está muito errado.

Como me livrar disso?

Usando um CD ao vivo

Como o scanner de vírus do PC infectado pode estar comprometido, é provavelmente mais seguro verificar a unidade a partir de um Live CD. O CD inicializará um sistema operacional especializado no seu computador, que então fará a varredura do disco rígido.

Existem, por exemplo, Avira Antivir Rescue System ou ubcd4win. Mais sugestões podem ser encontradas em Lista de Download de CDs de Resgate Bootable AntiVirus GRATUITOS tal como:

  • CD de Recuperação Kaspersky
  • CD de Recuperação BitDefender
  • CD de resgate F-Secure
  • Avira Antivir Rescue Disk
  • CD do kit de resgate Trinity
  • CD de recuperação do AVG

Conectando o disco rígido a outro PC

Se você estiver conectando o disco rígido infectado a um sistema limpo para verificá-lo, atualize as definições de vírus para todos os produtos que você usará para verificar a unidade infectada. Esperar uma semana para permitir que os fornecedores de antivírus liberem novas definições de vírus pode melhorar suas chances de detectar todos os vírus.

Certifique-se de que seu sistema infectado permaneça desconectado da Internet assim que você perceber que está infectado. Isso impedirá que ele possa baixar novas edições de vírus (entre outras coisas).

Comece com uma boa ferramenta, como Spybot Search and Destroy ou Malwarebytes Anti-Malware e execute uma varredura completa. Tente também ComboFixe SuperAntiSpyware. Nenhum produto antivírus único terá todas as definições de vírus. Usar vários produtos é fundamental (não para proteção em tempo real). Se apenas um único vírus permanecer no sistema, ele poderá baixar e instalar todas as edições mais recentes de novos vírus e todo o esforço até agora teria sido em vão.

Remover programas suspeitos da inicialização

  1. Inicie no modo de segurança.
  2. Usar msconfig para determinar quais programas e serviços iniciam na inicialização (ou na inicialização sob o gerenciador de tarefas no Windows 8).
  3. Se houver programas / serviços suspeitos, remova-os da inicialização. Ou então, pule para usar um CD ao vivo.
  4. Reiniciar.
  5. Se os sintomas não desaparecerem e / ou o programa se substituir na inicialização, tente usar um programa chamado Autoruns para encontrar o programa e removê-lo de lá. Se o seu computador não puder ser iniciado, o Autoruns terá um recurso no qual ele poderá ser executado a partir de um segundo computador chamado "Analisar o PC off-line". Preste muita atenção ao Logon e Scheduled tasks guias.
  6. Se ainda não houver sucesso na remoção do programa, e tiver certeza de que ele é a causa de seus problemas, inicialize no modo normal e instale uma ferramenta chamada destravador
  7. Navegue até o local do arquivo que é esse vírus e tente usar o unlocker para eliminá-lo. Algumas coisas podem acontecer:
    1. O arquivo é excluído e não reaparece na reinicialização. Este é o melhor caso.
    2. O arquivo é excluído, mas reaparece imediatamente. Neste caso, use um programa chamado Monitor de processo para descobrir o programa que recriou o arquivo. Você precisará excluir esse programa também.
    3. O arquivo não pode ser excluído, o desbloqueador solicitará que você o exclua na reinicialização. Faça isso e veja se reaparece. Em caso afirmativo, você deve ter um programa na inicialização que faz com que isso aconteça e reexaminar a lista de programas executados na inicialização.

O que fazer depois de restaurar

Agora, deve ser seguro (esperançosamente) inicializar em seu sistema (anteriormente) infectado. Ainda assim, mantenha os olhos abertos para sinais de infecção. Um vírus pode deixar alterações em um computador que tornariam mais fácil a re-infecção, mesmo após o vírus ter sido removido.

Por exemplo, se um vírus alterasse as configurações de DNS ou de proxy, seu computador o redirecionaria para versões falsas de sites legítimos, de modo que baixar o que parece ser um programa conhecido e confiável poderia estar realmente baixando um vírus.

Eles também podem obter suas senhas redirecionando você para sites de contas bancárias falsas ou sites de e-mail falsos. Certifique-se de verificar suas configurações de DNS e proxy. Na maioria dos casos, o seu DNS deve ser fornecido pelo seu ISP ou adquirido automaticamente pelo DHCP. Suas configurações de proxy devem ser desativadas.

Verifique seu hosts Arquivo (\%systemroot%\system32\drivers\etc\hosts) para quaisquer entradas suspeitas e remova-as imediatamente. Além disso, verifique se o firewall está ativado e se você tem todas as atualizações mais recentes do Windows.

Em seguida, proteja seu sistema com um bom antivírus e o complemente com um produto Anti Malware. Microsoft Security Essentials é frequentemente recomendado junto com outros produtos.

O que fazer se tudo falhar

Deve-se notar que alguns malwares são muito bons em evitar scanners. É possível que, uma vez infectado, ele possa instalar rootkits ou similar para ficar invisível. Se as coisas estiverem ruins, a única opção é limpar o disco e reinstalar o sistema operacional a partir do zero. Às vezes, uma varredura usando GMER ou Kaspersky Assassino TDSS pode mostrar se você tem um rootkit.

Você pode querer fazer algumas execuções do Spybot Search and Destroy. Se após três execuções não for possível remover uma infestação (e você não conseguir fazê-lo manualmente) considere uma reinstalação.

Outra sugestão: Combofix é uma ferramenta de remoção muito poderosa quando os rootkits impedem que outras coisas sejam executadas ou instaladas.

Usar vários mecanismos de verificação pode certamente ajudar a encontrar os malwares mais bem ocultos, mas é uma tarefa difícil e uma boa estratégia de backup / restauração será mais eficiente e segura.


Bônus: Há uma interessante série de vídeos começando com "Entendendo e Combatendo Malware: Vírus, Spyware " com Mark Russinovich, criador do Sysinternals ProcessExplorer & Autoruns, sobre limpeza de malware.


197



Limpando a unidade é muitas vezes a rota mais rápida e segura como está sendo sugerido em todo este site como a "melhor resposta" - Ivo Flipse♦
Pela minha experiência eu não confiaria no spybot como minha primeira escolha. Avira, Kaspersky Virus Removal Tool e AVG são boas opções gratuitas de acordo com o AV-comparative av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/… - fluxtendu
Uma sugestão é que muitos desses programas de malware Faz roubar senhas e dados bancários, por isso não é uma má idéia desconectar-se da Internet quando você suspeitar de uma infecção. É muito provável que seja tarde demais, mas há uma chance de você limitar os vazamentos de dados ou impedir que o malware se atualize até que você tenha sucesso na limpeza. - emgee
@emgee Boa regra prática sobre a exfiltração de dados: em caso de dúvida, puxe-a para fora (o plugue ethernet) - Nate Koppenhaver
Combofix.org não é o local oficial de download do Combofix, e não é autorizado ou recomendado pelo autor do Combofix. O download oficial é Aqui. - Andrew Lambert


Existem algumas ótimas dicas de combate a malware em Jeff Atwood "Como limpar uma infestação de spyware no Windows". Aqui está o processo básico (não deixe de ler a postagem do blog para capturas de tela e outros detalhes que este resumo encobre):

  1. Pare qualquer spyware atualmente em execução. O Gerenciador de Tarefas incorporado do Windows não o cortará; obter Sysinternals Process Explorer.
    1. Execute o Process Explorer.
    2. Classifique a lista de processos por nome da empresa.
    3. Elimine todos os processos que não tenham um Nome da Empresa (excluindo DPCs, Interrupções, Sistema e Processo Inativo do Sistema) ou que tenham Nomes de Empresas que você não reconhece.
  2. Impeça que o spyware reinicie na próxima vez que o sistema for inicializado. Novamente, a ferramenta interna do Windows, MSconfig, é uma solução parcial, mas AutoRuns da Sysinternals é a ferramenta a ser usada.
    1. Execute AutoRuns.
    2. Percorra a lista inteira. Desmarque entradas suspeitas - aquelas com nomes de editor vazios ou qualquer nome de editor que você não reconheça.
  3. Agora reinicie.
  4. Após a reinicialização, verifique novamente com Process Explorer e AutoRuns. Se algo "voltar", você terá que cavar mais fundo.
    • No exemplo de Jeff, uma coisa que voltou foi uma entrada de driver suspeita no AutoRuns. Ele fala através do rastreamento do processo que o carregou no Process Explorer, fechando o identificador e excluindo fisicamente o driver não autorizado.
    • Ele também encontrou um arquivo DLL com um nome estranho se conectando ao processo do Winlogon e demonstra encontrar e eliminar os encadeamentos do processo que carregam essa DLL para que o AutoRuns possa finalmente remover as entradas.

86



Além disso, a Trend Micro HijackThis é um utilitário gratuito que gera um relatório detalhado das configurações de registro e arquivo do seu computador. Vou avisar que isso acha coisas boas e ruins, e não faz distinção, mas o Google é nosso amigo se formos suspeitos. - Umber Ferrule
O link do Sysinternals Process Explorer está inativo. Essas respostas estão em algumas descobertas do Google. Alguém pode atualizar isso com um link atualizado? Eu também estou procurando por isso. - Malavos
Autoruns é fantástico, mas a sugestão de confiar no Publicador pode não ser útil. Essa pergunta stackoverflow mostra como as informações da versão podem ser facilmente modificadas (e, portanto, falsificadas) [stackoverflow.com/questions/284258/…. Eu tentei isso em uma DLL Java e o Autoruns mostrou o editor incorretamente. - AlainD
o seu link autorun systernals está quebrado - Daniel


Minha maneira de remover malware é eficaz e nunca vi isso falhar:

  1. Baixar Autoruns e se você ainda executar o download de 32 bits, um scanner de rootkit.
  2. Inicialize no Modo de segurança e inicie o Autoruns, se conseguir, e vá para a etapa 5.
  3. Se você não conseguir entrar no modo de segurança, conecte o disco a outro computador.
  4. Inicie o Autoruns nesse computador, vá para Arquivo -> Analisar Sistema Offline e preencha-o.
  5. Aguarde a digitalização ser feita.
  6. No menu Opções, selecione tudo.
  7. Deixe-o digitalizar novamente pressionando F5. Isso vai ser rápido como as coisas estão em cache.
  8. Percorra a lista e desmarque qualquer coisa que seja conspiciosa ou que não tenha uma empresa verificada.
  9. Opcional: Execute o scanner de rootkit.
  10. Deixe um scanner de vírus superior remover todos os arquivos restantes.
  11. Opcional: Execute scanners anti-malware e anti-spyware para se livrar do lixo.
  12. Opcional: Execute ferramentas como o HijackThis / OTL / ComboFix para se livrar do lixo.
  13. Reinicie e aproveite seu sistema limpo.
  14. Opcional: Execute o scanner de rootkit novamente.
  15. Verifique se o seu computador está suficientemente protegido!

Algumas observações:

  • Autoruns é escrito pela Microsoft e, portanto, mostra todos os locais de coisas que começam automaticamente ...
  • Depois que o software for desmarcado do Autoruns, ele não será iniciado e não poderá impedi-lo de removê-lo ...
  • Não existem rootkits para sistemas operacionais de 64 bits porque eles precisariam ser assinados ...

É eficaz porque irá impedir que malware / spyware / vírus sejam iniciados,
você está livre para executar ferramentas opcionais para limpar qualquer lixo deixado em seu sistema.


49





Siga a ordem indicada abaixo para desinfetar seu PC

  1. Em um PC que não esteja infectado, faça um disco AV de inicialização e, em seguida, inicialize a partir do disco no PC infectado e examine o disco rígido, remova todas as infecções encontradas. Eu prefiro o Windows Defender Offline inicialize CD / USB porque ele pode remover vírus do setor de inicialização, consulte "Nota" abaixo.

    Ou você pode experimentar alguns outros discos de inicialização AV.

  2. Depois de ter digitalizado e removido o malware usando o disco de inicialização, instale gratuitamente MBAM, execute o programa, acesse a guia Atualizar, atualize-o, vá para a guia Scanner e faça uma verificação rápida, selecione e remova tudo o que encontrar.

  3. Quando o MBAM terminar, instale SAS versão gratuita, executar uma varredura rápida, remova o que ele seleciona automaticamente.

  4. Se os arquivos do sistema do Windows foram infectados você pode precisar executar o SFC para substituir os arquivos, você pode ter que fazer isso offline se não for inicializado devido à remoção dos arquivos do sistema infectados. Eu recomendo que você execute o SFC depois que qualquer remoção de infecção for feita.

  5. Em alguns casos você pode ter que executar um reparo de inicialização (Somente Windows Vista e Windows7) para fazer o boot apropriadamente novamente. Em casos extremos, podem ser necessários 3 reparos de inicialização consecutivos.

O MBAM e o SAS não são softwares AV como o Norton, eles são scanners sob demanda que só rastreiam invasões quando você executa o programa e não interfere com o AV instalado, eles podem ser executados uma vez por dia ou semana para garantir que você não esteja infectado. Certifique-se de atualizá-los antes de cada verificação semanal diária.

Nota: o produto Windows Defender Offline é muito bom para remover infecções persistentes por MBR que são comuns nos dias de hoje.

.

Para usuários avançados:

Se você tem uma única infecção que se representa como software, ou seja, "System Fix" "AV Security 2012" etc, veja esta página para guias de remoção específicos

.


44



Ter um segundo computador dedicado à verificação de vírus é provavelmente a melhor solução, já que você não confia na unidade infectada do seu sistema. No entanto, além de empresas de suporte a computadores, duvido que muitas pessoas tenham essa solução pronta. - Gnoupi
Se nenhum PC dedicado estiver disponível, um procedimento semelhante pode ser executado inicializando o sistema com um CD ao vivo - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
por exemplo: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Apenas como uma nota Varredor de Sistema Independente da Microsoft é apenas o nome antigo do Windows Defender Offline, caso alguém ache isso também. - Scott Chamberlain


Se você perceber algum dos sintomas, uma coisa a verificar é as configurações de DNS na sua conexão de rede.

Se estes foram alterados de "Obter endereço do servidor DNS automaticamente" ou para um servidor diferente daquele que deveria ser, então isso é um bom sinal de que você tem uma infecção. Essa será a causa dos redirecionamentos de sites antimalware ou uma falha completa em acessar o site.

Provavelmente, é uma boa ideia anotar suas configurações de DNS antes que uma infecção ocorra, para que você saiba o que elas devem ser. Além disso, os detalhes estarão disponíveis nas páginas de ajuda do site do seu ISP.

Se você não tiver uma nota dos servidores DNS e não conseguir encontrar as informações no site do seu provedor de serviços de Internet, use os servidores DNS do Google como uma boa alternativa. Eles podem ser encontrados em 8.8.8.8 e 8.8.4.4 para os servidores primário e secundário, respectivamente.

Embora a redefinição do DNS não corrija o problema, ele permitirá a) acessar os sites antimalware para obter o software necessário para limpar o computador e b) identificar se a infecção se repetir, pois as configurações de DNS serão alteradas novamente.


35





As possíveis soluções para uma infecção por vírus estão em ordem: (1) verificações antivírus, (2) reparo do sistema, (3) reinstalação total.

Primeiro, certifique-se de que todos os seus dados estão salvos em backup.

Carregue e instale alguns antivírus, verifique se estão atualizados e verifique profundamente seu disco rígido. Eu recomendo usar pelo menos Malwarebytes Anti-Malware. Eu também gosto do Avast.

Se isso não funcionar por algum motivo, você pode usar um scanner de vírus live-CD de resgate: eu gosto melhor Avira AntiVir Rescue System porque ele é atualizado várias vezes por dia e, portanto, o CD de download está atualizado. Como um CD de inicialização, ele é autônomo e não funciona com o sistema Windows.

Se nenhum vírus for encontrado, use "sfc / scannow" para reparar arquivos importantes do Windows.
Veja isso artigo.

Se isso também não funcionar, você deve Realizar uma instalação de reparo.

Se nada funcionar, você deve formatar o disco rígido e reinstalar o Windows.


31



Quando infectado por um vírus / trojan recente, usei o Knoppix em um dispositivo USB, executei o apt-get wine, instalei o Dr Web Cure-It em minha sessão de vinhos e o executei para limpar minha infecção. Eu tive que fazer isso dessa maneira porque meu laptop não inicializava algumas das outras alternativas de CD ao vivo. - PP.


Existe uma grande variedade de malware. Algumas delas são triviais para encontrar e remover. Algumas delas são mais complicadas. Algumas delas são realmente difíceis de encontrar e muito difíceis de remover.

Mas mesmo que você tenha um malware leve, considere a possibilidade de reformatar e reinstalar o sistema operacional. Isso ocorre porque sua segurança já falhou e, se falhar por um malware simples, talvez você já esteja infectado por um malware maligno.

As pessoas que trabalham com dados confidenciais ou dentro de redes onde os dados confidenciais são mantidos devem considerar a limpeza e a reinstalação. As pessoas cujo tempo é valioso devem considerar a limpeza e a reinstalação (é o método mais rápido e mais fácil e seguro). Pessoas que não se sentem à vontade com ferramentas avançadas devem considerar a limpeza e a reinstalação.

Mas as pessoas que têm tempo e gostam de experimentar, podem experimentar os métodos listados em outros posts.


30



Corrigir. Este material é projetado para ir em torno de segurança e limpeza e uso do sistema operacional mundano. Não participe de uma corrida armamentista. Tolerância zero é a única política. - XTL


Ransomware

Uma forma mais recente e particularmente horrível de malware é ransomware. Esse tipo de programa, geralmente entregue com um Trojan (por exemplo, um anexo de e-mail) ou uma exploração de navegador, passa pelos arquivos do computador, criptografa-os (tornando-os irreconhecíveis e inutilizáveis) e exige um resgate para retorná-los a um dispositivo utilizável. Estado.

Ransomware geralmente usa criptografia de chave assimétrica, que envolve duas chaves: o chave pública e a chave privada. Quando você é atingido por um ransomware, o programa malicioso em execução no seu computador se conecta ao servidor dos bad guys (o comando e controle, ou C & C), que gera as duas chaves. Ele envia apenas a chave pública para o malware no seu computador, já que é tudo o que precisa para criptografar os arquivos. Infelizmente, os arquivos só podem ser descriptografados com a chave privada, que nunca chega à memória do seu computador se o ransomware estiver bem escrito. Os bandidos geralmente afirmam que eles vão te dar a chave privada (permitindo que você descriptografe seus arquivos) se você pagar, mas é claro que você tem que confiar neles para fazer isso.

O que você pode fazer

A melhor opção é reinstalar o sistema operacional (para remover todos os vestígios de malware) e restaurar seus arquivos pessoais dos backups feitos anteriormente. Se você não tiver backups agora, isso será mais desafiador. Crie o hábito de fazer backup de arquivos importantes.

O pagamento provavelmente permitirá que você recupere seus arquivos, mas por favor não. Fazer isso suporta seu modelo de negócios. Além disso, eu digo "provavelmente deixar você se recuperar" porque eu conheço pelo menos duas cepas tão mal escritas que irremediavelmente destroem seus arquivos; até mesmo o programa de descriptografia correspondente não funciona de fato.

Alternativas

Felizmente, há uma terceira opção. Muitos desenvolvedores de ransomware cometeram erros que permitem que os bons profissionais de segurança desenvolvam processos que desfazem os danos. O processo para fazer isso depende inteiramente da pressão do ransomware, e essa lista está mudando constantemente. Algumas pessoas maravilhosas juntaram uma grande lista de variantes de ransomware, incluindo as extensões aplicadas aos arquivos bloqueados e o nome da nota de resgate, que podem ajudá-lo a identificar qual versão você possui. Para algumas variedades, essa lista também tem um link para um decodificador livre! Siga as instruções apropriadas (os links estão na coluna Decryptor) para recuperar seus arquivos. Antes de você começar, use as outras respostas a essa pergunta para garantir que o programa de ransomware seja removido do seu computador.

Se você não consegue identificar o que foi atingido apenas com o nome das extensões e do resgate, tente pesquisar na Internet algumas frases distintas da nota de resgate. Erros de ortografia ou gramática são normalmente únicos, e você provavelmente encontrará um tópico no fórum que identifique o ransomware.

Se a sua versão ainda não é conhecida, ou não tem uma maneira livre de descriptografar os arquivos, não perca a esperança! Pesquisadores de segurança estão trabalhando em desfazer ransomware e a aplicação da lei está perseguindo os desenvolvedores. É possível que um decodificador apareça eventualmente. Se o resgate for limitado por tempo, é possível que seus arquivos ainda sejam recuperáveis ​​quando a correção for desenvolvida. Mesmo se não, por favor, não pague a menos que seja absolutamente necessário. Enquanto espera, verifique se seu computador está livre de malware, novamente usando as outras respostas a essa pergunta. Considere fazer backup das versões criptografadas de seus arquivos para mantê-los seguros até que a correção seja lançada.

Depois de recuperar o máximo possível (e fazer backups dele em mídia externa!), Considere a possibilidade de instalar o sistema operacional do zero. Mais uma vez, isso vai acabar com qualquer malware que se alojou profundamente dentro do sistema.

Dicas adicionais específicas para variantes

Algumas dicas específicas de variantes de ransomware que ainda não estão na planilha grande:

  • E se a ferramenta de descriptografia para LeChiffre não funciona, você pode recuperar todos, mas o primeiro e último 8KB de dados de cada arquivo usando um editor hexadecimal. Pule para o endereço 0x2000 e copie todos, exceto os últimos 0x2000 bytes. Arquivos pequenos serão completamente destruídos, mas com alguns ajustes você pode conseguir algo útil com os maiores.
  • Se você foi atingido WannaCrypt e você está executando o Windows XP, não reinicializou desde a infecção e tem sorte, talvez seja possível extrair a chave privada com Wannakey.
  • (outros serão adicionados conforme forem descobertos)

Conclusão

O ransomware é desagradável e a triste realidade é que nem sempre é possível recuperar-se dele. Para se manter seguro no futuro:

  • Mantenha seu sistema operacional, navegador da web e antivírus atualizados
  • Não abra anexos de e-mail que você não estava esperando, especialmente se você não conhece o remetente
  • Evite sites da Web esboçados (ou seja, aqueles que apresentam conteúdo ilegal ou eticamente duvidoso)
  • Certifique-se de que sua conta tenha acesso somente aos documentos com os quais você precisa trabalhar pessoalmente
  • Sempre tem backups de trabalho em mídia externa (não conectado ao seu computador)!

28



Existem alguns programas disponíveis que supostamente protegem você contra ransomware, por exemplo: winpatrol.com/WinAntiRansom (um programa comercial). Eu nunca usei isso porque não estou mais no Windows, mas o produto WinPatrol da empresa é um que usei por anos e recomendei com frequência. Alguns dos desenvolvedores de antivírus têm ferramentas anti-ransomware disponíveis, às vezes como uma opção de custo mais alto. - fixer1234
Para obter informações específicas sobre como remover o ransomware Petya, veja também esta pergunta e resposta: superuser.com/questions/1063695/… - fixer1234
Eu adicionaria outra coisa à lista de conselhos na conclusão: Evite visitar sites que promovem comportamento ilegal ou amoral, como mídia e pirataria de software; conteúdo que é proibido na maioria das partes do mundo; etc. Esses sites geralmente são contratados menos fornecedores de publicidade de boa reputação, que não fazem nenhum esforço real para filtrar o conteúdo de seus "anúncios", facilitando que os criminosos injetem sua página na Web com conteúdo que forneça malware ou tente explorar seu navegador para obter acesso ao sistema. Às vezes, até mesmo um bom bloqueador de anúncios perderá essas coisas. - allquixotic
@allquicatic Eu adicionei um ponto de bala nessa veia. Deixe-me saber se alguma coisa pode ser expandida. Obrigado! - Ben N


Outra ferramenta que gostaria de acrescentar à discussão é a Verificador de segurança da Microsoft. Foi lançado há alguns meses atrás. É um pouco como o Ferramenta de Remoção de Software Mal-Intencionado, mas projetado para uso off-line. Ele terá as definições mais recentes a partir do momento em que você fizer o download e só será utilizável por 10 dias, pois considerará seu arquivo de definições "muito antigo para ser usado". Faça o download com outro computador e execute-o no modo de segurança. Isso funciona muito bem.


24





Um pouco de teoria primeiro: por favor, perceba que não há substituto para a compreensão.

O final antivírus é para entenda o que você está fazendo e geralmente o que está acontecendo com o seu sistema, com sua própria mente e na chamada realidade.

Nenhuma quantidade de software ou hardware irá protegê-lo completamente de si mesmo e de suas próprias ações, o que, na maioria dos casos, é como o malware entra em um sistema em primeiro lugar.

A maioria dos malwares, adwares e spywares modernos "de nível de produção" contam com vários truques de "engenharia social" para enganar você na instalação de aplicativos "úteis", complementos, barras de ferramentas do navegador, 'verificadores de vírus' ou clicando em grande verde Baixar botões que instalam malware em sua máquina.

Até mesmo um instalador para um aplicativo supostamente confiável, como, por exemplo, uTorrent, instalaria por padrão adware e possivelmente spyware se você simplesmente clicasse no Próximo botão, e não tome o tempo para ler o que significam todas as caixas de seleção.

A melhor maneira de combater os truques de engenharia social que os hackers usam é engenharia social reversa - Se você dominar essa técnica, conseguirá evitar a maioria dos tipos de ameaças e manter seu sistema limpo e saudável, mesmo sem um antivírus ou firewall.

Se você notou sinais de formulários de vida maliciosos / não solicitados em seu sistema, a única solução limpa seria reformatar totalmente e reinstalar o sistema. Faça um backup como descrito em outras respostas aqui, formate rapidamente os discos e reinstale o sistema ou, melhor ainda, mova os dados úteis para algum armazenamento externo e recrie a partição do sistema a partir de um despejo de partição limpo que você fez anteriormente.

Alguns computadores têm uma opção de BIOS para reverter o sistema para as configurações originais de fábrica. Mesmo que isso pareça um pouco exagerado, nunca vai doer e, mais importante, isso resolverá todos os outros problemas eventuais, esteja você ciente deles ou não, sem ter que lidar com cada problema um por um.

A melhor maneira de 'consertar' um sistema comprometido é não corrigi-lo, mas sim reverter para um conhecido 'bom' instantâneo usando algum tipo de software de imagem de partição, como o Paragon Disk Manager, o Paragon HDD Manager, o Acronys Disk Manager, ou eg dd se você fez o backup do Linux.


20