Du har kørt gennem alle de traditionelle trin forsøgte Ad-Aware og Spybot og HijackThis, og du stadig har spyware. Hvad nu? Nå, kan du prøve at følge denne manual fjernelse guide. Det er ikke for sarte sjæle, og det kan faktisk være mindre indsats for at blot at sikkerhedskopiere dine filer, omformatere drevet og geninstallere Windows. Ved hjælp af denne metode, vil du har brug for fuld adgang til en ren computer for at reparere din inficerede computer.
Steps
- 1Sluk den inficerede computer. Åbn sagen og fjerne dens vigtigste harddisk (den ene indeholder det OS-partition).
- 2Hvis du har en usb/ieee1394 eksternt drev kabinet kan du forbinde den inficerede drev til at i stedet for at udfylde de næste to trin.
- 3Sluk den rene computer. Åbn sagen og tilslut den inficerede drev.
- 4Tænd ren computer. Vær helt sikker på, at den starter i det rene OS, ikke fra den inficerede drev! De fleste pc'er har en boot valg menu, som kan tilgås via F11 eller ESC-tasten hurtigt efter strømmen.
- 5Sørg for at du kan se alle filer. Når den rene computers operativsystem er startet, vil du ønsker at rense ud temp filer fra den inficerede drev, for at gøre det lettere at søge. Men først, du ønsker at se alle filer, også skjulte filer og systemfiler. Gå til "Control Panel" -> "Mappeindstillinger" og klik på "Vis" fanen øverst i "Folder Options" vinduet. Du kommer til at ønsker at ændre følgende indstillinger:
- Slå ON: Vis indholdet af systemet mapper
- Slå ON: Vis skjulte filer og mapper
- Sluk: Skjul filtypenavne for kendte filtyper.
- Sluk: Skjul beskyttede operativsystemfiler (anbefales)
- 6Vær opmærksom på drevbogstavet for din inficerede drev. Det er nok kommer til at være E: eller F: afhængig af antallet af harddiske, skillevægge, og CD / DVD-drev, du har i dit rene computer. Lad os antage, at vi har at gøre med F: drev til denne artikel.
- 7Ryd dine midlertidige filmapper. Når dine midlertidige filer mapper er blevet ryddet, er der en masse færre filer at søge igennem. Dette skulle gøre de næste par trin lidt mindre kedelige. Nogle af de følgende steder kan ikke findes, kan nogle være i lidt forskellige steder. Det er vigtigt, at du finder og rydde cachen for alle dine browsere (IE / Netscape / Firefox / Opera), og at du klare det for hver enkelt bruger! Kontroller følgende mapper og slette deres indhold, men ikke de mapper selv.
- F: \ TEMP
- F: \ Windows \ TEMP eller F: \ WINNT \ Temp (Kun NT4 og Windows 2000 brug "WinNT")
- F: \ WINNT \ Profiles \ Brugernavn \ Lokale indstillinger \ Temp
- F: \ WINNT \ Profiles \ brugernavn \ Lokale indstillinger \ Temporary Internet Files
- F: \ WINNT \ Profiles \ Brugernavn \ Lokale indstillinger \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
- F: \ Documents and Settings \ Brugernavn \ Lokale indstillinger \ Temp
- F: \ Documents and Settings \ brugernavn \ Lokale indstillinger \ Temporary Internet Files
- F: \ Documents and Settings \ Brugernavn \ Lokale indstillinger \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
- 8Sørg for at din papirkurven er tømt for alle filer.
- 9Prøv at sikkerhedskopiere den inficerede drev til en mappe på den rene computer, hvis du har plads. Hvis du overhovedet kan sikkerhedskopiere hele drevet, så gør det. Ellers bør du være i stand til at slippe af sted med bare "Documents and Settings" mappe ("Profiler" under NT4), og måske et par af de spil mapper (nogle spil gemme deres gemte spil, kort, high scores, etc i deres program mappe).
- 10Udfør en fuld antivirus og spyware scanninger af din computer. Det vil forhåbentlig finde nogle ting på den inficerede F: drev og fjerne dem.
- Hent og installer både Spybot Search and Destroy og Lavasoft Adaware. Det er vigtigt, at du bruger begge disse hjælpeprogrammer, da de ofte vil finde mere malware sammen.
- Opdater definition filer, når du bliver spurgt.
- Scan din maskine (dette kan tage et stykke tid).
- Fjern eventuelle spyware, der er fundet.
- Sørg for at du har et antivirusprogram installeret og up-to-date. Udfør en fuld scanning, og fjern eventuelle vira, trojanske heste og orme den finder.
- 11Når alle scanninger er færdig, skal du gå til "C: \ Program Files" (på din rene pc'ens drev) og kopiere hele program mapper for Spybot, Ad-Aware, og dit anti-virus til en ny mappe på din inficerede drev, kaldet "F: \ Cleaners". Også kopiere installatører til disse programmer til "F: \ Cleaners" mappe. Du kan få brug dem senere.
- 12Hit windowskey + f for at opdrage den finde filer vinduet. Hvis du ser en dum lille animeret hund, kan du ønsker at slå ham ud, fordi han gør søgning meget mere irriterende. Søgemulighederne du gerne vil bruge til de søgninger, vi vil udføre er "Søg efter alle filer og mapper" med følgende "Avancerede indstillinger" TÆNDT:
- Søgesystem mapper
- Søg i skjulte filer og mapper
- Søg i undermapper
- 13Kig kun i F: \ drev til filnavne matcher "* exe.", Og som er blevet ændret i den forløbne uge. Du skal blot indtaste "* exe.": "Stjerne periode exe" og angive "inden for den sidste uge." Du kan prøve at søge efter "sidste måned" samt, afhængigt af hvor længe du har været smittet.
- Kør søgningen. Lad det køre til afslutning.
- Undersøg de filer, den har fundet. Nogle af dem kan du genkende, især hvis du har for nylig installeret nogle programmer. For eksempel, hvis du for nylig har opgraderet eller installeret Lavasoft Ad-Aware kan du se "F: \ Program Files \ Lavasoft \ Ad-Aware SE Personal \ Ad-Aware.exe" på listen. Ignorer denne type fil. Den slags fil, du leder efter er normalt i F: \ Windows \ system32, mindre end 100KB i størrelse, og har et sjovt navn som "lkaljya.exe"
- Alle filer, du finder bør flyttes ind i en midlertidig mappe, indtil du kan kontrollere, at de er lovlige. For eksempel kan du oprette en mappe "F: \ karantæne" og flytte dem ind i en undermappe "F: \ karantæne \ Windows \ system32" derinde.
- Nogle ondsindede filer er også skjult i F: \ Windows \ system32 \ drivers biblioteket, de vil også have sjove navne som "lkaljya.sys".
- Alle filer, du finder bør flyttes ind i en midlertidig mappe, indtil du kan kontrollere, at de er lovlige. For eksempel kan du oprette en mappe "F: \ karantæne" og flytte dem ind i en undermappe "F: \ karantæne \ Windows \ system32 \ drivers" derinde.
- Hvis du har en on-access anti-virus program, kan det faktisk begynde at klage, at det fandt en trojan andet du vælger den mistænkte fil. Hvis det gør, så skal du ikke gider karantæne det, bare lad antivirus slette den.
- Vær især opmærksom på *. Exe-filer med enten tilfældige eller prætentiøse navne. Prætentiøse navne forsøger at dukke vigtige ved at være meget tæt på de faktiske nyttige programmer. For eksempel er et nyttigt program "svchost.exe", mens en mistænkt program ville være "scvhost.exe"
- En anden god måde at identificere gode produkter fra slemt er ved at højreklikke den eksekverbare og vælge "Egenskaber", så ved at vælge fanen "Version" (hvis der er en). Hvis filen er digitalt signeret af et selskab, vil det have en "Company Name" ejendom på denne fane, såsom "Microsoft Corporation" eller "Apple Computer Inc" eller "Logitech" osv. Disse filer er sikkert godt. Hvis filen ikke er underskrevet, så skal du undersøge sagen nærmere.
- Når du er i tvivl, så gå til Google og skriv det fulde navn på den mistænkte eksekverbare: "scvhost.exe", for eksempel. Undersøg søgeresultaterne. Ofte vil du se links som "scvhost.exe, godt eller skidt?" eller "Hvad denne fil gøre?" og du kan se, om ikke det er en nødvendig fil eller en trojan.
- Vær især opmærksom på alle * exe-filer, du finder i F:. \ Windows \ system32 og (især) overalt i F: \ Documents and Settings. Der burde virkelig ikke være mange / nogen eksekverbare i "Documents and Settings" mappe.
- 14Gentag det forrige trin, men søg efter filnavne matcher mønstret "*. Dll" i stedet.
- 15Gentag det forrige trin, men søg efter filnavne matcher mønstret "*. Sys" i stedet.
- 16Denne sidste trin er temmelig kompliceret, men er normalt succes på at komme af de fleste af de mest genstridige orme og trojanske heste. Vær meget opmærksom og ikke skrue op.
- Gå til Start-> Kør og skriv "regedit" og tryk enter.
- Load "Softwaren" hive fra den inficerede computer og fjerne eventuelle dårlige "run på login" poster.
- Vælg HKEY_LOCAL_MACHINE ved at venstreklikke på den.
- Gå til menuen Filer og vælg "Load Hive".
- Naviger til F: \ Windows \ System32 \ Config og vælg filen med navnet "software".
- Den vil spørge dig om en nøgle navn. Type "INFECTED_SOFTWARE", og tryk enter.
- Klik på plustegnet ud for HKEY_LOCAL_MACHINE at afsløre den nøgle "INFECTED_SOFTWARE".
- Naviger til HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
- Bakke det op! Højreklik på "Kør" og vælg "Eksporter data" og gem filen som "INFECTED_SOFTWARE, RUN.reg" i karantæne mappen. Bemærk, at hvis du har brug for at gendanne denne sikkerhedskopi senere, mens den inficerede computer kører, er du nødt til at åbne reg-filen i en teksteditor, og ændrer lidt på nøglen vej. HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE skulle ændres til HKEY_LOCAL_MACHINE \ SOFTWARE, for eksempel. Hvis du blot ønsker omgående genindføre det reg-filen, mens den kører på den rene computer, behøver du ikke at redigere filen, bare sørg for at hive endnu er indlæst, og dobbeltklik på reg-fil til at genindsætte sine nøgler / værdier i de relevante steder.
- I højre rude skal du se en liste over poster. Nogle af disse kan omfatte Java Update, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, nVidia / ATI drivere, Lyd drivere Tastatur / mus drivers, Antivirus, Firewall software osv. Igen, bruge din sunde fornuft og de metoder, der er beskrevet tidligere, for at differentiere godt fra dårlige. Hvis du finder, at noget er dårligt, tag fat i EXE-fil peget på af nøglen og smide det ind i karantæne mappen og slette nøglen. Du kan altid gendanne det senere vha. registreringsdatabasen backup.
- Udfør de samme trin i "RunOnce" og "RunOnceEx", lige ved siden af "Run"-tasten. De måske eller måske ikke har linjer i dem.
- Når du er færdig, er det vigtigt, at du klikker på "INFECTED_SOFTWARE" og derefter gå til menuen Filer og vælg "Fjern hive".
- Load "default" hive fra den inficerede computer (F: \ Windows \ System32 \ Config \ DEFAULT), og fjern eventuelle dårlige "run på login" poster. Brug de samme trin som i "software". Note: "default" hive måske ikke engang har en "Kør"-tasten. Hvis det er tilfældet, springer den. Vær sikker på at losse "INFECTED_DEFAULT", når du er færdig.
- Load hver brugers hive fra det inficerede drev. Du finder hive på F: \ Documents and Settings \ Brugernavn \ Ntuser.dat - indlæse den som "INFECTED_USERNAME", og derefter gå gennem sine "Run / RunOnce / RunOnceEx" nøgler til imødegåelse poster. Du kender rutinen ved nu, right? Vær sikker på at losse hvert bistade, når du er færdig.
- 17Hvis du bruger en ekstern harddisk kabinet, brug "sikker fjernelse af hardware" for at fjerne den fra din pc, slukke den, og fjern (forhåbentlig ved nu) renset drev. Ellers er du nødt til magten ned din rene pc og fjern renset kørsel fra tilfældet.
- 18Geninstaller den rensede drevet i sin egen sag og strøm på din rengjort PC.
- Hvis din pc er absolut nægter at starte på dette punkt, kan du ikke have andet valg end at tørre drevet rengøre og geninstallere Windows. Sørg for at du har alt bakket op og alle dine geninstallere cd'er og licensnøgler handy, før du gør dette.
- 19Hvis din pc starter op, bør du straks køre anti-spyware-programmer i "rengøringsassistenter" mappe. Hvis der er nogen spyware tilbage på din PC, er det sandsynligvis i en svækket tilstand på dette punkt, og måske bukke under nu. Også køre din aktuelt er installeret anti-virus program, eller prøv at køre dit anti-virus program fra "Cleaners" mappen, det kan eller ikke kan fungere.
- 20Hvis du er sikker på, at du har fjernet alle malware, kan du fortsætte med at bruge dine vinduer installation. Men hvis præstation er uacceptabel, kan du have andet valg end at geninstallere. Nogle malware er så vedholdende, at det er en mindre indsats simpelthen at begynde forfra med en ren tavle.
Tips
- En meget nemmere metode er at starte den inficerede Windows-computer med Linux på en cd eller USB-drev. Derefter køre en Windows Anti-virus program, mens du betjener computeren med et Linux-operativsystem. Mange ældre computere kan nemt køre Linux, som er sikker og kan gøre de fleste opgaver. http://www.ubuntu.com er et populært Linux-systemet.
- Når du får en ny computer sætte det op være dual boot. Det betyder installere to operativsystemer på samme computer. Når Windows bliver inficeret med en virus, kan du vælge at starte computeren med det andet operativsystem og udføre reparationen. Ubuntu er en af de typer af Linux, der gør det let at sætte op. http://www.ubuntu.com
- Windows NT og Windows 2000 bruger en "WINNT" mappe i stedet for en "Windows" mappen.
- Windows 95/98/ME er nok ikke værd at reparere. Bare backup, rense dem ud og geninstallere.
- Må ikke hente software annonceres i skinnende, Blinky bannerreklamer.
- Helt undgå warez, crack og porno websites (medmindre du kører en Unix-baseret operativsystem, såsom Linux eller Solaris) - de er arnesteder for ting at inficere din computer. Hvis du skal bruge Firefox med Adblock og NoScript tændt.
Advarsler
- Du må ikke slette filer, medmindre du er sikker på at de er dårlige. Sæt dem i en særlig karantæne mappe.
- Vær forsigtig, når du klikker på filer. Må ikke dobbelt-klik, behøver du ikke ønsker at inficere dit rene PC! Hvis du har et enkelt klik fil åbning tændt, slukke den!
- Du kan blive inficeret med en MBR rootkit. Disse relativt let at reparere, men din indlæringskurve kan være stejl. MBR rootkits bor i Master Boot Record på din harddisk. De lancere malware selv før Windows starter op. De er meget snigende.
Ting du behøver
- En anden computer. Denne proces vil ikke rigtig arbejde, medmindre du kan dræbe spyware, mens det er inaktivt.