Frage Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?


Was kann ich tun, wenn mein Windows-Computer mit einem Virus oder einer Malware infiziert zu sein scheint?

  • Was sind die Symptome einer Infektion?
  • Was soll ich tun, nachdem ich eine Infektion bemerkt habe?
  • Was kann ich tun, um es los zu werden?
  • Wie kann man sich vor einer Infektion durch Malware schützen?

Diese Frage taucht häufig auf und die vorgeschlagenen Lösungen sind normalerweise gleich. Dieses Community-Wiki ist ein Versuch, als die definitive und umfassendste Antwort zu dienen.

Fühlen Sie sich frei, Ihre Beiträge über Änderungen hinzuzufügen.


431
2017-11-30 15:16


Ursprung


Eine Sache, die Sie auf keinen Fall tun sollten, ist die Installation von Anti-Malware-Tools, zu denen Sie aufgefordert werden, wenn Sie auf eine Webseite gelangen, auf der steht: "Ihr Computer ist von einem Virus infiziert!" Diese sind höchstwahrscheinlich Malware selbst. Sie dürfen nur Tools verwenden, die gut geprüft sind - (vermutlich) die unten genannten oder auf einer anderen vertrauenswürdigen Site. - Daniel R Hicks
@Gnoupi Dieser Artikel interessiert sich vielleicht maketecheasier.com/... - Simon
Für alle, die nur zu dieser Frage kommen und die tl; dr-Version haben wollen ... Einmal infiziert, gibt es keinen Weg (naja ... auf keinen Fall bringt es dich nicht, bereits Computeringenieur zu sein und investierst ein paar Jahre deines Lebens zur Durchführung einer digitalen Autopsie auf der Maschine) loswerden / sicher sein, dass Sie eine Infektion losgeworden sind. Malware kann sich in Ihren Dateien, Ihren Anwendungsprogrammen, Ihren Betriebssystemen und Ihrer Firmware verstecken ... Deshalb sollten Sie niemals einem Computer vertrauen, der sich infiziert hat. AV-Anbieter werden versuchen, Sie davon zu überzeugen, dass ihr Produkt die Wunderwaffe ist, die Ihr System repariert. Sie lügen. - Parthian Shot
@DanielRHicks tatsächlich führen sie in einigen Fällen zu einem legalen AV-Produkt. Das letzte Mal habe ich das auf Android mit seiner lästigen "Built-in-Ad-Support-Funktion" (die Anzeigenleisten, die unten auf der App und auf Webseiten erscheinen) gesehen. Zum Beispiel habe ich einfach einen "Virus entfernen" angetippt! Anzeige und ich landete im Google Play Store auf der 360 Sicherheit - Antivirus-Boost apps Seite. - David Balažic
Wenn wir über die Möglichkeiten von Virtual Rootkits und Firmware Rootkits nachdenken, können wir ziemlich viel sagen: Sie sind entbeint. Diese beiden Arten von Rootkits werden in Bereichen Ihres Computers gespeichert, die Sie nicht bereinigen können. Wenn Sie sie loswerden wollen, müssen Sie einen neuen Computer kaufen. Firmware-Rootkits sind selten und virtuelle Rootkits existieren noch nicht, aber immer noch: Die Existenz dieser beiden Rootkits beweist, dass es keine 100% funktionsfähige One-Fit-All-Lösung gibt, die Ihre Schädlings-Malware für die Ewigkeit und darüber hinaus freihält. Als Deutscher würde ich es einer "Eierlegenden Wollmilchsau" anvertrauen - BlueWizard


Antworten:


Hier ist die Sache: Malware in den letzten Jahren ist beides geworden hinterhältiger und fieser:

Sneakierweil es in Rudeln reist. Subtile Malware kann sich hinter offensichtlicheren Infektionen verstecken. Es gibt viele gute Tools in den Antworten, die 99% der Malware finden, aber es gibt immer 1%, die sie noch nicht finden können. Meistens ist das 1% Zeug, das ist Neu: Die Malware-Tools können es nicht finden, weil es gerade herauskam und einen neuen Exploit oder eine Technik benutzt, um sich zu verstecken, von denen die Werkzeuge noch nichts wissen.

Malware hat auch eine kurze Haltbarkeit. Wenn Sie infiziert sind, ist wahrscheinlich etwas von diesem neuen 1% ein Teil von deiner Infektion. Es wird nicht das sein ganze Infektion: nur ein Teil davon. Sicherheitstools helfen Ihnen dabei, die offensichtlichere und bekanntere Malware zu finden und zu entfernen und höchstwahrscheinlich alle sichtbaren zu entfernen Symptome (Sie können weiter graben, bis Sie soweit sind), aber sie können kleine Teile zurücklassen, wie ein Keylogger oder Rootkit, der sich hinter einem neuen Exploit versteckt, den das Sicherheitstool noch nicht zu überprüfen weiß. Die Anti-Malware-Tools haben immer noch ihren Platz, aber ich werde später darauf eingehen.

Bösartiger, dass es nicht nur Werbung zeigt, eine Toolbar installiert, oder deinen Computer als Zombie benutzt. Moderne Malware wird wahrscheinlich für die Bank- oder Kreditkartendaten geeignet sein. Die Leute, die dieses Zeug aufbauen, sind nicht mehr nur Script-Kiddies, die nach Ruhm suchen; Sie sind jetzt organisierte Profis, motiviert durch profitierenund wenn sie nicht direkt von dir stehlen können, werden sie danach suchen etwas sie können sich umdrehen und verkaufen. Dies kann Verarbeitung oder Netzwerkressourcen in Ihrem Computer sein, aber es könnte auch Ihre Sozialversicherungsnummer sein oder Ihre Dateien verschlüsseln und für Lösegeld halten.

Setzen Sie diese beiden Faktoren zusammen, und Es lohnt sich nicht einmal mehr, Malware von einem installierten Betriebssystem zu entfernen. Ich war sehr gut darin, dieses Zeug zu entfernen, bis zu dem Punkt, wo ich einen wesentlichen Teil meines Lebens auf diese Weise gemacht habe, und ich mache nicht einmal mehr den Versuch. Ich sage nicht, dass das nicht möglich ist, aber ich sage, dass sich die Kosten / Nutzen- und Risikoanalyseergebnisse geändert haben: Es lohnt sich einfach nicht mehr. Es steht zu viel auf dem Spiel, und es ist zu einfach, nur solche Ergebnisse zu erzielen scheinen effektiv sein.

Viele Leute werden mir darin widersprechen, aber ich fordere Sie heraus, dass sie die Konsequenzen des Scheiterns nicht stark genug abwägen. Bist du gewillt, deine Ersparnisse, deinen guten Kredit, sogar deine Identität einzusetzen, dass du besser darin bist als Gauner, die jeden Tag Millionen machen?  Wenn Sie versuchen, Malware zu entfernen und dann das alte System weiterlaufen zu lassen, heißt das genau was tust du.

Ich weiß, dass da draußen Leute sind, die diesen Gedanken lesen: "Hey, ich habe mehrere Infektionen von verschiedenen Maschinen entfernt und nichts ist jemals passiert." Ich auch mein Freund. Ich auch. In den vergangenen Tagen habe ich meinen Anteil an infizierten Systemen gereinigt. Nichtsdestotrotz schlage ich vor, dass wir jetzt "noch" zum Ende dieser Aussage hinzufügen müssen. Sie könnten zu 99% effektiv sein, aber Sie müssen sich nur einmal irren, und die Folgen des Scheiterns sind viel höher als früher; Die Kosten für einen einzigen Fehler können alle anderen Erfolge leicht überwiegen. Vielleicht hast du sogar schon eine Maschine, die noch eine tickende Zeitbombe hat, nur darauf wartend, aktiviert zu werden oder die richtigen Informationen zu sammeln, bevor du sie zurückmeldest. Selbst wenn Sie jetzt einen 100% effektiven Prozess haben, ändert sich dieses Zeug ständig. Denken Sie daran: Sie müssen jedes Mal perfekt sein; Die Bösen müssen nur einmal Glück haben.

Zusammenfassend ist es bedauerlich, aber ob Sie haben eine bestätigte Malware-Infektion, eine komplette Neugestaltung des Computers sollte der sein zuerst Stelle dich statt des letzten um.


So erreichen Sie das:

Bevor du infiziert bistStellen Sie sicher, dass Sie eine Möglichkeit haben, gekaufte Software, einschließlich des Betriebssystems, neu zu installieren, die nicht von etwas abhängt, das auf Ihrer internen Festplatte gespeichert ist. Zu diesem Zweck bedeutet das normalerweise nur, dass Sie sich an CD / DVDs oder Produktschlüssel hängen, aber das Betriebssystem erfordert möglicherweise, dass Sie selbst Wiederherstellungsdisketten erstellen. Verlassen Sie sich dabei nicht auf eine Wiederherstellungspartition. Wenn Sie nach einer Infektion warten, um sicherzustellen, dass Sie über das verfügen, was Sie neu installieren müssen, werden Sie möglicherweise wieder für die gleiche Software bezahlen. Mit dem Aufkommen von Ransomware ist es auch extrem wichtig, regelmäßige Backups Ihrer Daten zu machen (plus, Sie wissen, regelmäßige nicht-bösartige Dinge wie Festplattenausfall).

Wenn Sie vermuten, dass Sie Malware habenschau dir hier andere Antworten an. Es gibt viele gute Werkzeuge vorgeschlagen. Mein einziges Problem ist der beste Weg, sie zu benutzen: Ich verlasse mich nur auf sie für die Erkennung. Installieren und starten Sie das Tool, aber sobald es Anzeichen für eine echte Infektion findet (mehr als nur "Tracking-Cookies"), stoppen Sie einfach den Scan: Das Tool hat seine Aufgabe erfüllt und Ihre Infektion bestätigt.1

Zur Zeit einer bestätigten Infektion, die folgenden Schritte ausführen:

  1. Überprüfen Sie Ihre Kredit- und Bankkonten. Zu der Zeit, wenn Sie von der Infektion erfahren, wurde möglicherweise bereits ein echter Schaden angerichtet. Ergreifen Sie alle notwendigen Schritte, um Ihre Karten, Ihr Bankkonto und Ihre Identität zu sichern. Ändern Sie Kennwörter auf jeder Website, auf die Sie vom kompromittierten Computer aus zugegriffen haben. Verwenden Sie den kompromittierten Computer nicht, um dies zu tun. 
  2. Erstellen Sie eine Sicherungskopie Ihrer Daten (noch besser, wenn Sie bereits eine haben).
  3. Installieren Sie das Betriebssystem neu, indem Sie die mit dem separat gelieferten Computer gelieferten Disketten oder die Wiederherstellungsdiskette verwenden, die Sie erstellt haben sollten, als der Computer neu war. Stellen Sie sicher, dass die Neuinstallation ein vollständiges Neu-Formatieren Ihrer Festplatte umfasst. Eine Systemwiederherstellung oder Systemwiederherstellung ist nicht ausreichend.
  4. Installieren Sie Ihre Anwendungen neu.
  5. Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Software vollständig gepatcht und auf dem neuesten Stand sind.
  6. Führen Sie einen vollständigen Antivirus-Scan durch, um die Sicherung von Schritt 2 zu bereinigen.
  7. Stellen Sie die Sicherung wieder her.

Wenn dies richtig gemacht wird, dauert es wahrscheinlich zwischen zwei und sechs Stunden Ihrer Zeit, verteilt über zwei bis drei Tage (oder sogar länger), während Sie auf die Installation von Apps, Windows-Updates oder große Backup-Dateien warten zu überweisen ... aber es ist besser, als später herauszufinden, dass Gauner Ihr Bankkonto aufgebraucht haben. Leider solltest du das selbst tun oder einen techy Freund für dich tun lassen. Bei einer typischen Beratungsrate von etwa 100 US-Dollar pro Stunde kann es billiger sein, eine neue Maschine zu kaufen, als einen Laden dafür zu bezahlen. Wenn Sie einen Freund für sich haben, tun Sie etwas Nettes, um Ihre Wertschätzung zu zeigen. Sogar Geeks, die es lieben, dir beim Einrichten neuer Dinge zu helfen oder kaputte Hardware oft zu reparieren Hass die Langeweile der Aufräumarbeiten. Es ist auch am besten, wenn Sie Ihr eigenes Backup machen ... Ihre Freunde werden nicht wissen, wo Sie welche Dateien ablegen oder welche wirklich wichtig für Sie sind. Sie sind in einer besseren Position, um ein gutes Backup zu erstellen, als sie sind.

Bald ist sogar all dies nicht mehr ausreichend, da es jetzt Malware gibt, die Firmware infizieren kann. Selbst wenn Sie die Festplatte ersetzen, wird die Infektion möglicherweise nicht beseitigt, und der Kauf eines neuen Computers ist die einzige Option. Glücklicherweise sind wir zu dem Zeitpunkt, an dem ich dies schreibe, noch nicht so weit, aber es ist definitiv am Horizont und nähert sich schnell.


Wenn du absolut darauf bestehst, dass du deine bestehende Installation wirklich putzen willst, anstatt neu anzufangen, dann stelle aus Liebe zu Gott sicher, dass jede Methode, die du verwendest, eine der folgenden zwei Methoden beinhaltet:

  • Entfernen Sie die Festplatte und verbinden Sie sie als Gastdiskette in einem anderen (sauberen!) Computer, um den Scan durchzuführen.

ODER

  • Starten Sie von einem CD / USB-Schlüssel mit eigenen Tools, die einen eigenen Kernel ausführen. Stellen Sie sicher, dass das Bild dafür erstellt und auf einem sauberen Computer gebrannt wird. Wenn nötig, lassen Sie einen Freund die Diskette für Sie erstellen.

Unter keinen Umständen sollten Sie versuchen, ein infiziertes Betriebssystem mit einer Software zu bereinigen, die als Gastprozess des kompromittierten Betriebssystems ausgeführt wird. Das ist einfach dumm.


Natürlich ist der beste Weg, um eine Infektion zu beheben, um es zu vermeiden, und es gibt einige Dinge, die Sie tun können, um damit zu helfen:

  1. Halten Sie Ihr System gepatcht. Stell sicher, dass du sofort Installieren Sie Windows-Updates, Adobe-Updates, Java-Updates, Apple-Updates usw. Dies ist weitaus wichtiger als Antivirensoftware, und in den meisten Fällen ist es nicht so schwer, solange Sie auf dem neuesten Stand sind. Die meisten dieser Unternehmen haben sich informell über die Veröffentlichung neuer Patches am selben Tag im Monat geeinigt. Wenn Sie also auf dem Laufenden bleiben, wird Sie das nicht oft unterbrechen. Windows Update-Unterbrechungen treten normalerweise nur auf, wenn Sie sie zu lange ignorieren. Wenn Ihnen das oft passiert, ist es an Sie um dein Verhalten zu ändern. Diese sind wichtig.
  2. Führen Sie nicht standardmäßig als Administrator aus. In neueren Windows-Versionen ist dies so einfach wie das Aktivieren der UAC-Funktion.
  3. Verwenden Sie ein gutes Firewall-Tool. Heutzutage ist die Standard-Firewall in Windows tatsächlich gut genug. Vielleicht möchten Sie diese Schicht mit etwas wie WinPatrol ergänzen, das schädliche Aktivitäten am Frontend stoppt. Windows Defender funktioniert in dieser Funktion auch in gewissem Umfang. Grundlegende Ad-Blocker-Browser-Plugins werden auch auf dieser Ebene als Sicherheitstool zunehmend nützlich.
  4. Setzen Sie die meisten Browser-Plugins (insbesondere Flash und Java) auf "Ask to Activate".
  5. Lauf Strom Antiviren Software. Dies ist ein entferntes Fünftel zu den anderen Optionen, da traditionelle A / V-Software oft nicht mehr so ​​effektiv ist. Es ist auch wichtig, den "Strom" zu betonen. Sie könnten die beste Antivirus-Software der Welt haben, aber wenn sie nicht auf dem neuesten Stand ist, können Sie sie auch einfach deinstallieren.

    Aus diesem Grund empfehle ich derzeit Microsoft Security Essentials. (Seit Windows 8 ist Microsoft Security Essentials Teil von Windows Defender.) Es gibt wahrscheinlich weitaus bessere Scan-Engines, aber Security Essentials wird sich selbst auf dem neuesten Stand halten, ohne jemals eine abgelaufene Registrierung zu riskieren. AVG und Avast funktionieren auch auf diese Weise gut. Ich kann einfach keine Antivirensoftware empfehlen, für die Sie wirklich bezahlen müssen, weil es viel zu häufig ist, dass ein kostenpflichtiges Abonnement ausbleibt und Sie mit veralteten Definitionen enden.

    Es ist auch erwähnenswert, dass Mac-Benutzer jetzt auch Antivirensoftware ausführen müssen. Die Zeiten, in denen sie ohne sie davonkommen konnten, sind längst vorbei. Nebenbei, ich denke es ist urkomisch Ich muss jetzt Mac-Benutzern empfehlen, Antiviren-Software zu kaufen, aber Windows-Benutzern dagegen zu raten.

  6. Vermeiden Sie Torrent-Websites, Warez, raubkopierte Software und raubkopierte Filme / Videos. Dieses Zeug wird oft von der Person injiziert, die es geknackt oder gepostet hat - nicht immer, aber oft genug, um das ganze Durcheinander zu vermeiden. Es ist ein Teil davon, warum ein Cracker dies tun würde: oft werden sie einen Gewinn kürzen.
  7. Verwenden Sie Ihren Kopf beim Surfen im Internet. Sie sind das schwächste Glied in der Sicherheitskette. Wenn etwas zu gut klingt, um wahr zu sein, ist es wahrscheinlich. Der offensichtlichste Download-Button ist selten der, den Sie beim Herunterladen neuer Software verwenden möchten. Lesen Sie daher vor dem Klicken auf diesen Link alles auf der Webseite. Außerdem sollten Sie die Software und Updates / Upgrades lieber direkt von einem Anbieter oder Entwickler als von einer Drittanbieter-Datei-Hosting-Website herunterladen.

1 Dies ist ein guter Zeitpunkt, um darauf hinzuweisen, dass ich meinen Ansatz im letzten Jahr etwas gemildert habe. Heute fallen die meisten "Infektionen" in die Kategorie der potenziell unerwünschten Programme (PUPs) und der Browser-Erweiterungen, die mit anderen Downloads enthalten sind. Oft können diese PUPs / Extensions mit herkömmlichen Mitteln sicher entfernt werden. Dies ist jetzt ein ausreichend großer Prozentsatz an Malware, den ich an dieser Stelle möglicherweise nicht mehr verwenden kann. Versuchen Sie einfach, die Funktion "Software" oder die normale Browseroption zu verwenden, um eine Erweiterung zu entfernen. Aber beim ersten Anzeichen von etwas Tieferem - irgendein Hinweis darauf, dass die Software nicht einfach normal deinstalliert wird - und es geht darum, die Maschine wieder zu reparieren.


257



Dies scheint heutzutage der weiseste zu sein. Ich möchte hinzufügen, dass ein weiterer Grund dafür ist, dass einige Malware hinterhältig ist: Sie bleiben inaktiv und nutzen Ihren Computer für andere Aktivitäten. Könnte Proxying sein, Dinge mehr oder weniger illegal speichern oder Teil eines DDOS-Angriffs sein. - Gnoupi
@ConradFrix Zu früh um zu sagen ... Ich musste das noch nicht mit einem Windows 8 PC machen ... aber ich bin pessimistisch, weil es nicht zu einer Neuformatierung des Laufwerks führt. Windows 8 enthält mehrere Sicherheitsverbesserungen, einschließlich der Ausführung von Antivirensoftware ab der Zeit 0 als Teil des Betriebssystems, so dass ich hoffentlich niemals für Windows 8 arbeiten muss. - Joel Coehoorn
@DanielRHicks las den ganzen Satz. Es sind zwei bis sechs Stunden Ihrer Zeit, verteilt auf einen oder drei Tage, an denen Sie effizient sind, etwas wegzuschmeißen und später noch einmal nachzusehen. Wenn du Babysitter bist, dann ja: es wird eine Weile dauern. - Joel Coehoorn
@ JoelCoehoorn Ist es nur ich, oder Malware, die so weit fortgeschritten ist, würde auch Firmware auf alle Arten von Komponenten infizieren, was jegliche Entfernungsversuche vergeblich macht? - Enis P. Aginić
Bitte denken Sie daran, dass wenn Sie ein Backup machen, NACHDEM Sie die Infektion entdeckt haben, ist es sehr wahrscheinlich, dass das Backup selbst infiziert ist. Bitte scannen Sie das Backup, bevor Sie eine Wiederherstellung versuchen. - Tejas Kale


Wie kann ich feststellen, ob mein PC infiziert ist?

Allgemeine Symptome für Malware können alles sein. Die üblichen sind:

  • Die Maschine ist langsamer als normal.
  • Zufällige Fehler und Dinge, die nicht zutreffen sollten (z. B. einige neue Viren setzen Gruppenrichtlinienbeschränkungen auf Ihren Computer, um zu verhindern, dass Task-Manager oder andere Diagnoseprogramme ausgeführt werden).
  • Der Task-Manager zeigt eine hohe CPU an, wenn Sie der Meinung sind, dass sich Ihr Computer im Leerlauf befindet (z. B. <5%).
  • Anzeigen erscheinen zufällig.
  • Viruswarnungen, die von einem Antivirenprogramm auftauchen, an das Sie sich nicht erinnern können (das Antivirenprogramm ist eine Fälschung und versucht zu behaupten, dass Sie gruselig klingende Viren mit Namen wie 'bankpasswordstealer.vir' haben. Sie sollten dafür bezahlen, diese Programme zu bereinigen ).
  • Popups / falscher blauer Bildschirm des Todes (BSOD), in dem Sie aufgefordert werden, eine Nummer anzurufen, um die Infektion zu beheben.
  • Internet-Seiten, die umgeleitet oder blockiert werden, zum Beispiel Homepages von AV-Produkten oder Support-Websites (www.symantec.com, www.avg.com, www.microsoft.com), werden auf Seiten mit Werbung oder gefälschten Seiten, die gefälschte Anti-Spam-Werbung verbreiten, weitergeleitet Virus / "hilfreiche" Entfernungstools, oder sind vollständig blockiert.
  • Erhöhte Startzeit, wenn Sie keine Anwendungen (oder Patches) installiert haben ... Diese ist peinlich.
  • Ihre persönlichen Dateien sind verschlüsselt und Sie sehen eine Lösegeldforderung.
  • Wenn Sie Ihr System "kennen", wissen Sie normalerweise, wenn etwas sehr falsch ist.

Wie werde ich das los?

Verwenden einer Live-CD

Da der Virenscanner des infizierten PCs möglicherweise kompromittiert ist, ist es wahrscheinlich sicherer, das Laufwerk von einer Live-CD zu scannen. Die CD bootet ein spezielles Betriebssystem auf Ihrem Computer, das dann die Festplatte scannt.

Es sind beispielsweise, Avira Antivir Rettungssystem oder ubcd4win. Weitere Vorschläge finden Sie unter KOSTENLOSE Anti-Virus-Notfall-CDs Download-Liste sowie:

  • Kaspersky Rettungs-CD
  • BitDefender Rettungs-CD
  • F-Secure Rettungs-CD
  • Avira Antivir Rettungsdiskette
  • Trinity Rescue Kit CD
  • AVG Rettungs-CD

Verbinden der Festplatte mit einem anderen PC

Wenn Sie die infizierte Festplatte mit einem sauberen System verbinden, um sie zu scannen, stellen Sie sicher, dass Sie die Virendefinitionen für alle Produkte, die Sie zum Scannen des infizierten Laufwerks verwenden, aktualisieren. Wenn Sie eine Woche warten, bis die Antiviren-Anbieter neue Virendefinitionen veröffentlichen, können Sie Ihre Chancen verbessern, alle Viren zu erkennen.

Stellen Sie sicher, dass Ihr infiziertes System nicht mit dem Internet verbunden ist, sobald Sie feststellen, dass es infiziert ist. Dadurch wird verhindert, dass unter anderem neue Ausgaben von Viren heruntergeladen werden können.

Beginnen Sie mit einem guten Tool wie Spybot Search und Destroy oder Malwarebytes 'Anti-Malware und führen Sie einen vollständigen Scan durch. Probiere auch ComboFix, und SuperAntiSpyware. Kein einzelnes Antivirus-Produkt wird über jede Virusdefinition verfügen. Die Verwendung mehrerer Produkte ist der Schlüssel (nicht für Echtzeitschutz). Wenn nur ein Virus auf dem System verbleibt, kann er möglicherweise die neuesten Editionen neuer Viren herunterladen und installieren, und alle bisherigen Bemühungen wären umsonst gewesen.

Entfernen Sie verdächtige Programme vom Systemstart

  1. Starten Sie im abgesicherten Modus.
  2. Benutzen msconfig um festzulegen, welche Programme und Dienste beim Systemstart gestartet werden (oder unter Task-Manager in Windows 8 gestartet werden).
  3. Wenn Programme / Dienste verdächtig sind, entfernen Sie sie aus dem Start. Sonst gehe ich zur Live-CD über.
  4. Neustart.
  5. Wenn die Symptome nicht verschwinden und / oder das Programm sich beim Start selbst ersetzt, versuchen Sie es mit einem Programm namens Autoruns um das Programm zu finden und es von dort zu entfernen. Wenn Ihr Computer nicht gestartet werden kann, verfügt Autoruns über eine Funktion, mit der er von einem zweiten PC mit der Bezeichnung "Offline-PC analysieren" ausgeführt werden kann. Achten Sie besonders auf die Logon und Scheduled tasks Registerkarten.
  6. Wenn das Entfernen des Programms immer noch nicht erfolgreich ist und Sie sicher sind, dass dies die Ursache für Ihre Probleme ist, starten Sie den normalen Modus, und installieren Sie ein Tool namens Unlocker
  7. Navigieren Sie zum Speicherort der Datei, die dieser Virus ist, und versuchen Sie, ihn mit unlocker zu töten. Ein paar Dinge können passieren:
    1. Die Datei wird gelöscht und beim Neustart nicht mehr angezeigt. Dies ist der beste Fall.
    2. Die Datei wird gelöscht, erscheint aber sofort wieder. Verwenden Sie in diesem Fall ein Programm namens Prozessüberwachung um das Programm zu finden, das die Datei neu erstellt hat. Sie müssen dieses Programm ebenfalls löschen.
    3. Die Datei kann nicht gelöscht werden, unelzer wird Sie auffordern, sie beim Neustart zu löschen. Tun Sie das und sehen Sie, ob es wieder erscheint. Wenn dies der Fall ist, müssen Sie ein Programm im Boot haben, das das verursacht, und die Liste der Programme, die beim Booten ausgeführt werden, erneut untersuchen.

Was nach dem Wiederherstellen zu tun ist

Jetzt sollte es (hoffentlich) sicher sein, in Ihr (früher) infiziertes System zu booten. Halten Sie dennoch die Augen offen für Anzeichen einer Infektion. Ein Virus kann Änderungen auf einem Computer hinterlassen, die eine erneute Infektion erleichtern, auch wenn der Virus entfernt wurde.

Wenn beispielsweise ein Virus die DNS- oder Proxy-Einstellungen geändert hat, würde Ihr Computer Sie zu gefälschten Versionen legitimer Websites weiterleiten, sodass beim Herunterladen eines bekannten und vertrauenswürdigen Programms möglicherweise ein Virus heruntergeladen wird.

Sie können Ihre Passwörter auch erhalten, indem Sie Sie auf falsche Bankkonten oder gefälschte E-Mail-Sites umleiten. Überprüfen Sie Ihre DNS- und Proxy-Einstellungen. In den meisten Fällen sollte Ihr DNS von Ihrem ISP bereitgestellt oder automatisch von DHCP bezogen werden. Ihre Proxyeinstellungen sollten deaktiviert sein.

Überprüfe dein hosts Datei (\%systemroot%\system32\drivers\etc\hosts) für verdächtige Einträge und entfernen Sie diese sofort. Stellen Sie außerdem sicher, dass Ihre Firewall aktiviert ist und Sie über die neuesten Windows-Updates verfügen.

Als nächstes schützen Sie Ihr System mit einem guten Antivirenprogramm und ergänzen Sie es mit einem Anti-Malware-Produkt. Microsoft Security Essentials wird oft empfohlen zusammen mit anderen Produkten.

Was tun, wenn alles schief geht?

Es sollte beachtet werden, dass einige Malware Scannern sehr gut ausweichen kann. Es ist möglich, dass, sobald Sie infiziert sind, kann es installieren Rootkits oder ähnlich, um unsichtbar zu bleiben. Wenn die Dinge wirklich schlecht sind, ist die einzige Option, die Festplatte zu löschen und das Betriebssystem von Grund auf neu zu installieren. Manchmal ein Scan mit GMER oder Kaspersky TDSS-Mörder kann Ihnen zeigen, wenn Sie ein Rootkit haben.

Vielleicht möchten Sie ein paar Runs von Spybot Search and Destroy durchführen. Wenn es nach drei Durchläufen nicht möglich ist, einen Befall zu entfernen (und Sie dies nicht manuell tun), ziehen Sie eine Neuinstallation in Betracht.

Ein anderer Vorschlag: Combofix ist ein sehr mächtiges Tool zum Entfernen, wenn Rootkits verhindern, dass andere Dinge ausgeführt oder installiert werden.

Die Verwendung mehrerer Scan-Engines kann sicherlich dazu beitragen, dass Malware am besten versteckt wird, aber es ist eine anspruchsvolle Aufgabe und eine gute Backup- / Wiederherstellungsstrategie wird effizienter und sicherer.


Bonus: Es gibt eine interessante Videoserie, beginnend mit, "Malware verstehen und bekämpfen: Viren, Spyware " mit Mark Russinovich, dem Erfinder von Sysinternals ProcessExplorer & Autoruns, über Malware-Reinigung.


197



Das Löschen des Laufwerks ist oft die schnellste und sicherste Route, wie es auf der ganzen Seite als "beste Antwort" vorgeschlagen wird. - Ivo Flipse♦
Aus meiner Erfahrung würde ich Spybot nicht als meine erste Wahl vertrauen. Avira, Kaspersky Virus Removal Tool & AVG sind nach AV-Vergleich gut frei wählbar av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/... - fluxtendu
Ein Vorschlag ist, dass viele dieser Malware-Programme machen Stehlen Sie Passwörter und Bankdaten, also ist es keine schlechte Idee, sich vom Internet zu trennen, sobald Sie Verdacht auf eine Infektion haben. Es ist sehr wahrscheinlich zu spät, aber es besteht die Möglichkeit, dass Sie Datenlecks begrenzen oder verhindern, dass sich die Malware selbst aktualisiert, bis Sie erfolgreich gereinigt haben. - emgee
@Emgee Gute Faustregel bei der Datenexfiltration: Im Zweifelsfall, zieh es raus (der Ethernet-Stecker) - Nate Koppenhaver
Combofix.org ist nicht der offizielle Download-Standort von Combofix und wird nicht vom Autor von Combofix autorisiert oder empfohlen. Der offizielle Download ist Hier. - Andrew Lambert


In Jeff Atwoods gibt es einige Tipps zum Malware-Kampf "Wie man einen Windows-Spyware-Befall aufräumt". Hier ist der grundlegende Prozess (lesen Sie den Blogpost für Screenshots und andere Details durch, die diese Zusammenfassung beschönigt):

  1. Stoppen Sie derzeit laufende Spyware. Der eingebaute Task-Manager von Windows wird es nicht schneiden; bekommen Sysinternals Prozess-Explorer.
    1. Führen Sie den Prozess-Explorer aus.
    2. Sortieren Sie die Prozessliste nach Firmenname.
    3. Beseitigen Sie alle Prozesse, die keinen Firmennamen haben (mit Ausnahme von DPCs, Interrupts, System- und System Idle-Prozessen) oder Firmennamen haben, die Sie nicht kennen.
  2. Stoppen Sie den Neustart der Spyware beim nächsten Systemstart. Auch hier ist Windows eingebautes Tool, MSconfig, eine Teillösung, aber Sysinternals AutoRuns ist das zu verwendende Werkzeug.
    1. Führen Sie AutoRuns aus.
    2. Gehe durch die gesamte Liste. Deaktivieren Sie verdächtige Einträge - solche mit leeren Publisher-Namen oder einem Publisher-Namen, den Sie nicht kennen.
  3. Jetzt neu starten.
  4. Nach dem Neustart, überprüfen Sie mit Process Explorer und AutoRuns. Wenn etwas "zurückkommt", müssen Sie tiefer graben.
    • In Jeffs Beispiel kam ein verdächtiger Treibereintrag in AutoRuns zurück. Er redet durch das Verfolgen des Prozesses, der es in Process Explorer geladen hat, schließt das Handle und löscht den Rogue-Treiber physisch.
    • Er fand auch eine seltsam benannte DLL-Datei, die sich in den Winlogon-Prozess einklinkte, und demonstrierte, dass die Prozess-Threads, die diese DLL laden, gefunden und gelöscht wurden, sodass AutoRuns die Einträge schließlich entfernen konnte.

86



Auch Trend Micro HijackThis ist ein kostenloses Dienstprogramm, das einen detaillierten Bericht über Registrierungs- und Dateieinstellungen von Ihrem Computer erstellt. Ich werde warnen, dass dies gute und schlechte Sachen findet, und macht keinen Unterschied, aber Google ist unser Freund, wenn wir misstrauisch sind. - Umber Ferrule
Sysinternals Process Explorer-Verknüpfung ist Dead. Diese Antworten sind auf einigen Google Top-Ergebnissen. Kann jemand das mit einem aktualisierten Link aktualisieren? Ich suche auch danach. - Malavos
Autoruns ist fantastisch, aber der Vorschlag, sich auf den Publisher zu verlassen, ist möglicherweise nicht nützlich. Diese Stackoverflow-Frage zeigt, wie die Versionsinformationen leicht geändert (und somit gefälscht) werden können.stackoverflow.com/questions/284258/.... Ich versuchte dies auf einer Java DLL und Autoruns zeigte den Herausgeber falsch. - AlainD
Ihr systernals Autorun Link ist defekt - Daniel


Meine Art, Malware zu entfernen, ist effektiv und ich habe noch nie einen Fehler bemerkt:

  1. Herunterladen Autoruns und wenn Sie immer noch 32-Bit-Download einen Rootkit-Scanner herunterladen.
  2. Starten Sie den abgesicherten Modus und starten Sie Autoruns, wenn Sie dazu in der Lage sind, und fahren Sie mit Schritt 5 fort.
  3. Wenn Sie nicht in den abgesicherten Modus gelangen können, verbinden Sie die Festplatte mit einem anderen Computer.
  4. Starten Sie Autoruns auf diesem Computer, gehen Sie zu Datei -> Offline-System analysieren und füllen Sie es aus.
  5. Warten Sie, bis der Scan abgeschlossen ist.
  6. Wählen Sie im Menü Optionen alles aus.
  7. Lassen Sie es erneut scannen, indem Sie F5 drücken. Das wird schnell gehen, wenn Dinge zwischengespeichert werden.
  8. Gehe durch die Liste und deaktiviere alles, was auffällig ist oder keine verifizierte Firma hat.
  9. Wahlweise: Führen Sie den Rootkit-Scanner aus.
  10. Lassen Sie einen Top-Virenscanner alle verbleibenden Dateien entfernen.
  11. Wahlweise: Führen Sie Anti-Malware- und Anti-Spyware-Scanner aus, um Junk zu entfernen.
  12. Wahlweise: Führen Sie Tools wie HijackThis / OTL / ComboFix aus, um Junk zu entfernen.
  13. Starten Sie und genießen Sie Ihr sauberes System.
  14. Wahlweise: Führen Sie den Rootkit-Scanner erneut aus.
  15. Stellen Sie sicher, dass Ihr Computer ausreichend geschützt ist!

Einige Anmerkungen:

  • Autoruns wird von Microsoft geschrieben und zeigt somit Orte von Dingen, die automatisch starten ...
  • Sobald Software von Autoruns deaktiviert ist, wird es nicht gestartet und kann nicht verhindern, dass Sie es entfernen ...
  • Es gibt keine Rootkits für 64-Bit-Betriebssysteme, da sie signiert werden müssten ...

Es ist effektiv, weil es das Starten von Malware / Spyware / Viren verhindert.
Sie können optionale Tools ausführen, um den auf Ihrem System verbliebenen Müll zu entfernen.


49





Befolgen Sie die unten angegebene Reihenfolge, um Ihren PC zu desinfizieren

  1. Auf einem PC, der nicht infiziert ist, machen Sie eine Boot-AV-Disk, dann starten Sie von der Disc auf dem Infizierten PC und scannen Sie die Festplatte, entfernen Sie alle gefundenen Infektionen. Ich bevorzuge die Windows Defender offline Booten Sie CD / USB, da Bootsektorviren entfernt werden können, siehe "Hinweis" unten.

    Oder Sie können einige ausprobieren andere AV-Boot-Discs.

  2. Nachdem Sie mit der Bootdiskette Malware gescannt und entfernt haben, installieren Sie kostenlos MBAMFühren Sie das Programm aus, wechseln Sie zur Registerkarte "Update" und aktualisieren Sie es. Rufen Sie dann die Registerkarte "Scanner" auf und führen Sie einen schnellen Scan durch. Wählen Sie alle gefundenen Objekte aus und entfernen Sie sie.

  3. Wenn MBAM fertig ist, installieren Sie SAS kostenlose Version, führen Sie einen schnellen Scan, entfernen Sie, was es automatisch wählt.

  4. Wenn Windows-Systemdateien infiziert wurden Möglicherweise müssen Sie SFC ausführen um die Dateien zu ersetzen, Sie müssen dies möglicherweise offline tun wenn es aufgrund der Entfernung der infizierten Systemdateien nicht startet. Ich empfehle, dass Sie SFC ausführen, nachdem eine Infektion entfernt wurde.

  5. In einigen Fällen müssen Sie möglicherweise Führen Sie eine Startup-Reparatur durch (Nur Windows Vista und Windows7), damit es wieder korrekt bootet. In extremen Fällen können 3 Startreparaturen in Folge erforderlich sein.

MBAM und SAS sind keine AV-Softwares wie Norton, sie sind On-Demand-Scanner, die beim Ausführen des Programms nur auf Schädlinge scannen und nicht in Ihr installiertes AV eingreifen. Diese können einmal täglich oder wöchentlich ausgeführt werden, um sicherzustellen, dass Sie nicht infiziert sind. Stellen Sie sicher, dass Sie sie vor jedem täglichen wöchentlichen Scan aktualisieren.

Hinweis: Das Windows Defender Offline-Produkt kann sehr gut entfernt werden persistente MBR-Infektionen die heutzutage üblich sind.

.

Für fortgeschrittene Benutzer:

Wenn Sie eine einzelne Infektion haben, die sich selbst als Software darstellt, dh "System Fix" "AV Security 2012" usw., Auf dieser Seite finden Sie spezifische Anleitungen zum Entfernen

.


44



Es ist wahrscheinlich die beste Lösung, einen zweiten PC für das Virenscannen zu haben, da Sie sich nicht auf das infizierte Laufwerk für Ihr System verlassen müssen. Ich bezweifle jedoch, dass neben Computerberatungsfirmen viele Menschen solche Lösungen haben. - Gnoupi
Wenn kein dedizierter PC verfügbar ist, kann ein ähnliches Verfahren durchgeführt werden, indem das System mit einer Live-CD gestartet wird - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
beispielsweise: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Genau wie eine Notiz der Microsoft Standalone System Sweeper ist nur der alte Name von Windows Defender Offline, falls jemand das auch gefunden hat. - Scott Chamberlain


Wenn Sie eines der Symptome bemerken, sollten Sie die DNS-Einstellungen Ihrer Netzwerkverbindung überprüfen.

Wenn diese entweder von "DNS-Server-Adresse automatisch beziehen" oder von einem anderen Server als dem, den sie sein sollte, geändert wurden, ist dies ein gutes Zeichen dafür, dass Sie eine Infektion haben. Dies wird die Ursache für die Weiterleitung von Anti-Malware-Websites oder einen vollständigen Fehler beim Erreichen der Website sein.

Es ist wahrscheinlich eine gute Idee, Ihre DNS-Einstellungen vor einer Infektion zu notieren, damit Sie wissen, was sie sein sollten. Die Details finden Sie auch auf den Hilfeseiten der Website Ihres Internetdienstanbieters.

Wenn Sie keine Notiz von den DNS-Servern haben und die Informationen auf Ihrer ISP-Site nicht finden können, ist die Verwendung der Google DNS-Server eine gute Alternative. Sie können bei 8.8.8.8 und 8.8.4.4 für den primären bzw. sekundären Server gefunden werden.

Während das Zurücksetzen des DNS das Problem nicht beheben wird, können Sie a) die Anti-Malware-Sites erreichen, um die Software zu erhalten, die Sie benötigen, um den PC zu säubern und b) feststellen, ob die Infektion erneut auftritt, da sich die DNS-Einstellungen wieder ändern.


35





Die möglichen Lösungen für eine Virusinfektion sind in Reihenfolge: (1) Antivirusscans, (2) Systemreparatur, (3) Gesamtinstallation.

Stellen Sie zunächst sicher, dass alle Ihre Daten gesichert sind.

Laden und installieren Sie einige Antivirenprogramme, stellen Sie sicher, dass sie auf dem neuesten Stand sind, und scannen Sie Ihre Festplatte gründlich. Ich empfehle mindestens zu verwenden Malwarebytes 'Anti-Malware. Ich mag auch Avast.

Wenn das aus irgendeinem Grund nicht funktioniert, können Sie einen Rettungs-Live-CD-Virenscanner verwenden: Ich mag es am besten Avira AntiVir Rettungssystem weil es mehrmals am Tag aktualisiert wird und die Download-CD somit aktuell ist. Als Boot-CD ist es autonom und funktioniert nicht mit Ihrem Windows-System.

Wenn kein Virus gefunden wird, verwenden Sie "sfc / scannow", um wichtige Windows-Dateien zu reparieren.
Sieh dir das an Artikel.

Wenn das auch nicht funktioniert, solltest du Führen Sie eine Reparaturinstallation durch.

Wenn nichts funktioniert, sollten Sie die Festplatte formatieren und Windows neu installieren.


31



Als ich mit einem neuen Virus / Trojaner infiziert wurde, benutzte ich Knoppix auf einem USB-Stick, führte apt-get wine, installierte Dr. Web Cure-It in meiner Weinsitzung und führte das aus, um meine Infektion zu säubern. Ich musste es so machen, weil mein Laptop einige der anderen Live-CD-Alternativen nicht booten würde. - PP.


Es gibt eine Vielzahl von Malware. Einige davon sind trivial zu finden und zu entfernen. Einiges ist schwieriger. Einige davon sind wirklich schwer zu finden und sehr schwer zu entfernen.

Aber selbst wenn Sie eine milde Malware haben, sollten Sie das Betriebssystem reformieren und neu installieren. Das liegt daran, dass Ihre Sicherheit bereits fehlgeschlagen ist, und wenn es für eine einfache Malware fehlgeschlagen ist, sind Sie möglicherweise bereits mit einer bösartigen Malware infiziert.

Personen, die mit sensiblen Daten oder in Netzwerken arbeiten, in denen sensible Daten gespeichert sind, sollten unbedingt abwischen und neu installieren. Leute, deren Zeit wertvoll ist, sollten stark darüber nachdenken, sie zu löschen und neu zu installieren (es ist die schnellste und einfachste und sicherste Methode). Personen, die sich nicht mit fortgeschrittenen Tools auskennen, sollten unbedingt abwischen und neu installieren.

Aber Leute, die Zeit haben und es genießen, herumzuspielen, können Methoden ausprobieren, die in anderen Beiträgen aufgeführt sind.


30



Richtig. Dieses Zeug ist entworfen, um Sicherheit und Reinigung und banale OS-Nutzung zu umgehen. Nimm nicht an einem Wettrüsten teil. Null Toleranz ist die einzige Richtlinie. - XTL


Ransomware

Eine neuere, besonders schreckliche Form von Malware ist Ransomware. Diese Art von Programm, das normalerweise mit einem Trojaner (z. B. einem E-Mail-Anhang) oder einem Browser-Exploit geliefert wird, durchläuft die Dateien Ihres Computers, verschlüsselt sie (macht sie völlig unkenntlich und unbrauchbar) und fordert ein Lösegeld, um sie wieder nutzbar zu machen Zustand.

Ransomware verwendet im Allgemeinen Kryptografie mit asymmetrischen Schlüsseln, die zwei Schlüssel beinhaltet: die Öffentlicher Schlüssel und das Privat Schlüssel. Wenn Sie von Ransomware getroffen werden, verbindet sich das bösartige Programm, das auf Ihrem Computer läuft, mit dem Server der bösen Jungs (der Befehl und Kontrolle, oder C & C), der beide Schlüssel erzeugt. Es sendet nur den öffentlichen Schlüssel an die Malware auf Ihrem Computer, da dies alles ist, um die Dateien zu verschlüsseln. Leider können die Dateien nur mit dem privaten Schlüssel entschlüsselt werden, der nicht einmal in den Speicher Ihres Computers kommt, wenn die Ransomware gut geschrieben ist. Die bösen Jungs geben normalerweise an, dass sie dir den privaten Schlüssel geben (damit du deine Dateien entschlüsseln kannst), wenn du zahlst, aber natürlich musst du ihnen vertrauen.

Was du tun kannst

Die beste Option besteht darin, das Betriebssystem neu zu installieren (um jede Malware-Spur zu entfernen) und Ihre persönlichen Dateien aus den zuvor erstellten Sicherungen wiederherzustellen. Wenn Sie jetzt keine Backups haben, wird das schwieriger. Machen Sie es sich zur Gewohnheit, wichtige Dateien zu sichern.

Die Zahlung wird Ihnen wahrscheinlich erlauben, Ihre Dateien wiederherzustellen, aber bitte nicht. Dies unterstützt ihr Geschäftsmodell. Außerdem sage ich "wahrscheinlich lassen Sie sich erholen", weil ich mindestens zwei Stämme kenne, die so schlecht geschrieben sind, dass sie Ihre Akten irreparabel beschädigen; selbst das entsprechende Entschlüsselungsprogramm funktioniert nicht.

Alternativen

Glücklicherweise gibt es eine dritte Möglichkeit. Viele Ransomware-Entwickler haben Fehler gemacht, die es den guten Sicherheitsspezialisten ermöglichen, Prozesse zu entwickeln, die den Schaden beheben. Der Prozess dafür hängt vollständig von der Belastung durch Ransomware ab und diese Liste ändert sich ständig. Einige wundervolle Leute haben sich zusammengesetzt eine große Liste von Ransomware-Varianteneinschließlich der Erweiterungen, die auf die gesperrten Dateien angewendet wurden, und des Lösegeldnamens, mit dem Sie feststellen können, welche Version Sie haben. Für einige Stämme hat diese Liste auch einen Link zu einem kostenlosen Entschlüssler! Befolgen Sie die entsprechenden Anweisungen (Links befinden sich in der Spalte Decryptor), um Ihre Dateien wiederherzustellen. Bevor Sie beginnenVerwenden Sie die anderen Antworten auf diese Frage, um sicherzustellen, dass das Ransomware-Programm von Ihrem Computer entfernt wurde.

Wenn Sie nicht erkennen können, was Sie nur mit dem Namen der Nebenstelle und der Lösegeldnotiz gefunden haben, suchen Sie im Internet nach einigen markanten Sätzen aus der Lösegeldforderung. Rechtschreib- oder Grammatikfehler sind normalerweise ziemlich einzigartig und Sie werden wahrscheinlich auf einen Forum-Thread stoßen, der die Ransomware identifiziert.

Wenn Ihre Version noch nicht bekannt ist oder Sie keine freie Möglichkeit haben, die Dateien zu entschlüsseln, geben Sie die Hoffnung nicht auf! Sicherheitsforscher arbeiten daran, Ransomware rückgängig zu machen, und die Strafverfolgungsbehörden verfolgen die Entwickler. Es ist möglich, dass ein Entschlüsseler erscheint. Wenn das Lösegeld zeitlich begrenzt ist, ist es denkbar, dass Ihre Dateien bei der Entwicklung des Fixes noch wiederhergestellt werden können. Auch wenn nicht, bitte zahlen Sie nicht, es sei denn, Sie müssen es unbedingt tun. Während Sie warten, stellen Sie sicher, dass Ihr Computer frei von Malware ist. Verwenden Sie die anderen Antworten auf diese Frage. Ziehen Sie in Betracht, die verschlüsselten Versionen Ihrer Dateien zu sichern, um sie zu schützen, bis die Fehlerbehebung abgeschlossen ist.

Sobald Sie so viel wie möglich wiederhergestellt haben (und Backups davon auf externen Medien erstellen!), Sollten Sie das Betriebssystem von Grund auf neu installieren. Auch hier wird Malware, die sich tief im System befindet, weggeblasen.

Zusätzliche variantenspezifische Tipps

Einige Ransomware-Varianten-spezifische Tipps, die noch nicht in der großen Tabelle enthalten sind:

  • Ob das Entschlüsselungswerkzeug zum LeChiffre funktioniert nicht, Sie können alle außer den ersten und letzten 8KB der Daten jeder Datei mit einem Hex-Editor wiederherstellen. Springe zur Adresse 0x2000 und kopiere alle bis auf die letzten 0x2000 Bytes. Kleine Dateien werden komplett zerstört werden, aber mit etwas Fummelei könnten Sie etwas hilfreiches aus größeren herausholen.
  • Wenn du getroffen wurdest WannaCrypt und Sie laufen Windows XP, haben seit der Infektion nicht neu gestartet, und sind glücklich, Sie könnten in der Lage sein, den privaten Schlüssel mit zu extrahieren Wannakey.
  • (Andere werden hinzugefügt, sobald sie entdeckt werden)

Fazit

Ransomware ist fies, und die traurige Realität ist, dass es nicht immer möglich ist, sich davon zu erholen. Um in Zukunft sicher zu sein:

  • Halten Sie Ihr Betriebssystem, Ihren Webbrowser und Ihr Antivirenprogramm auf dem neuesten Stand
  • Öffnen Sie keine E-Mail-Anhänge, die Sie nicht erwartet haben, insbesondere wenn Sie den Absender nicht kennen
  • Vermeiden Sie skizzenhafte Websites (d. H. Solche mit illegalen oder ethisch fragwürdigen Inhalten)
  • Stellen Sie sicher, dass Ihr Konto nur Zugriff auf Dokumente hat, mit denen Sie persönlich arbeiten müssen
  • Immer haben Arbeitsbackups auf externen Medien (nicht mit Ihrem Computer verbunden)!

28



Es gibt jetzt ein paar Programme, die Sie angeblich vor Ransomware schützen, zum Beispiel: winpatrol.com/WinAntiRansom (ein kommerzielles Programm). Ich habe das nie benutzt, weil ich nicht mehr auf Windows bin, aber das WinPatrol-Produkt dieser Firma ist eines, das ich seit Jahren benutzt habe und das ich oft empfohlen habe. Einige der Antiviren-Entwickler haben Anti-Ransomware-Tools zur Verfügung, manchmal als eine höhere Kosten-Option. - fixer1234
Weitere Informationen zum Entfernen von Petya Ransomware finden Sie auch in dieser Frage und Antwort: superuser.com/questions/1063695/ ... - fixer1234
Ich füge noch einen weiteren Punkt in die Liste der Ratschläge in der Schlussfolgerung ein: Vermeide es, Websites zu besuchen, die illegales oder amoralisches Verhalten fördern, wie etwa Medien- und Softwarepiraterie; Inhalte, die in den meisten Teilen der Welt verboten sind; etc. Diese Seiten schließen oft Verträge mit der am wenigsten seriöse Werbelieferanten, die sich nicht ernsthaft darum bemühen, den Inhalt ihrer "Anzeigen" überhaupt zu filtern, so dass Kriminelle Ihre Webseite leicht mit Inhalten füllen können, die Malware liefern oder versuchen, Ihren Browser für den Zugriff auf Ihr System auszunutzen. Manchmal wird sogar ein guter Adblocker dieses Zeug vermissen. - allquixotic
@allquicatic Ich fügte einen Aufzählungspunkt in dieser Ader hinzu. Lassen Sie mich wissen, wenn noch etwas erweitert werden kann. Vielen Dank! - Ben N


Ein weiteres Werkzeug, das ich der Diskussion hinzufügen möchte, ist das Microsoft Sicherheits-Scanner. Es wurde gerade vor ein paar Monaten veröffentlicht. Es ist ein bisschen wie das B? sartiges Software Removal Tool, aber für den Offline-Gebrauch konzipiert. Es wird die neuesten Definitionen haben, sobald Sie es herunterladen, und wird nur für 10 Tage verwendbar sein, da es seine Definitionsdatei als "zu alt für die Verwendung" ansieht. Laden Sie es mit einem anderen Computer herunter und führen Sie es im abgesicherten Modus aus. Es funktioniert ziemlich gut.


24





Ein bisschen Theorie zuerst: bitte merke das Es gibt keinen Ersatz für das Verständnis.

Der ultimative Antivirus ist zu verstehe, was du tust und generell, was mit deinem System passiert, mit deinem eigenen Verstand und in der sogenannten Realität.

Keine Menge an Software oder Hardware schützt Sie vollständig vor sich selbst und vor Ihren eigenen Aktionen. In den meisten Fällen gelangt die Malware in ein System.

Die meisten modernen "Production Level" -Malware, Adware und Spyware sind auf verschiedene "Social Engineering" -Tricks angewiesen, um Sie dazu zu bringen, "nützliche" Apps, Add-ons, Browser-Toolbars, "Virenscanner" oder großes Grün zu installieren Herunterladen Schaltflächen, mit denen Malware auf Ihrem Computer installiert wird.

Sogar ein Installer für eine vermeintlich vertrauenswürdige App, wie z.B. uTorrent, würde standardmäßig Adware und möglicherweise Spyware installieren, wenn Sie einfach auf die Schaltfläche klicken Nächster und nehmen Sie sich nicht die Zeit zu lesen, was alle Kontrollkästchen bedeuten.

Der beste Weg zur Bekämpfung der Social-Engineering-Tricks, die Hacker verwenden, ist umgekehrtes Social Engineering - Wenn Sie diese Technik beherrschen, können Sie die meisten Arten von Bedrohungen vermeiden und Ihr System auch ohne Antivirus oder Firewall sauber und gesund halten.

Wenn Sie Anzeichen von bösartigen / unerbetenen Lebensformen in Ihrem System bemerkt haben, wäre die einzige saubere Lösung, Ihr System vollständig neu zu formatieren und neu zu installieren. Erstellen Sie ein Backup, wie in den anderen Antworten beschrieben, formatieren Sie die Discs schnell und installieren Sie Ihr System neu oder, noch besser, verschieben Sie die nützlichen Daten auf einen externen Speicher und zeichnen Sie die Systempartition von einem sauberen Partitionsspeicher ab.

Einige Computer verfügen über eine BIOS-Option, um das System auf die ursprünglichen Werkseinstellungen zurückzusetzen. Auch wenn dies ein wenig übertrieben erscheint, wird es niemals weh tun und, was noch wichtiger ist, es wird alle anderen möglichen Probleme lösen, egal ob Sie sich dessen bewusst sind oder nicht, ohne jedes Problem einzeln behandeln zu müssen.

Der beste Weg, ein kompromittiertes System zu "reparieren", besteht darin, es nicht zu reparieren, sondern stattdessen auf einen bekannten "guten" Snapshot mit einer Partitionssoftware wie Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, oder z dd wenn Sie die Sicherung von Linux gemacht haben.


20