マルウェアが蔓延し、非常に応答しないコンピュータを修正するにはどうすればよいですか?
可能性のある重複:
PCから悪意のあるスパイウェア、マルウェア、ウイルス、ルートキットを取り除くにはどうすればよいですか?
友人のためにWindows 7 PCをトラブルシューティングしています。数日前、「遅い」動作を始めました。 「遅い」のは、デスクトップが最初に表示されるまで約15分、アイコンを表示するのにさらに30分かかることがわかりました。タスクマネージャーを開くことは可能です。何も問題はありません。CPU使用率が1〜5%で、十分なメモリが解放されています。
マシンは明らかにマルウェアに感染しています。特に、「Optimizer Pro」と呼ばれるプログラムは、「コンピューターの速度を低下させる5102ファイルを削除する」ためにお金を要求しています。これは非常に疑わしいようです。
私の問題はmsconfigにアクセスできないことです([スタート]メニューにうまく入力してEnterキーを押した後、数時間置いたままにしました-何もロードされていないようです)、または何でも基本的に。 Linux Live CDから起動できますが、実際にそこから何か便利なことはできますか?
システムの復元でも修正されておらず、セーフモードでも同じ動作が見られます。
Windowsを再インストールすることをお勧めします
既存のインストールを回収しようとすると、最終的に何時間、あるいはおそらく何日かかけてインストールに費やされてしまい、あなたの努力に対して何も見せられなくなります。すべてのマルウェア削除ツールを正常に実行できたとしても、allマルウェアは実際に削除されたとは信じられません。定義により、マルウェアの作成者は常にマルウェアの削除の作成者よりも一歩進んでいるためです。 。マシンがこれにひどく感染すると、あらゆる種類の悪いものがロードされる可能性があります。
そう...
- ハードドライブをフォーマットする
- Windowsをインストールする
そして、コメンターの1人が示唆したように、古いインストールからのすべてのファイルとデータは感染していて、信頼されるべきではないと想定する必要があります。
さまざまなウイルス対策ベンダーが、起動可能なレスキュー/スキャンCDROMを提供しています。 2つの無料のものは次のとおりです。
Kaspersky Rescue Disk 10は、感染したx86およびx64互換のコンピューターをスキャンして駆除するように設計されています。
アプリケーションは、ウイルス対策アプリケーションまたはマルウェア削除ユーティリティ(カスペルスキーなど)を使用してコンピューターを駆除することが不可能であるほど感染が深刻な場合に使用する必要がありますウイルス駆除ツール)は、オペレーティングシステムで実行されています。
AVG Rescue CDシステムがクラッシュした場合に備えて、ビジネスを迅速に復旧させ、迅速に稼働させます。
感染を除去し、ファイルを修復し、システムを回復します。
私はここに飛び乗って、これについて最初にもっと質問し、次にコンピュータについての私の仮定を投稿します。 CPUの1〜5%しか使用しないとおっしゃいましたが、それでもまだゆっくりと動いていますか?ウイルスなどでだまされていないというわけではありませんが、それは非常に可能性が高いためですが、これはハードウェアの欠陥を叫んでいることを指摘したいと思います。次にタスクマネージャーを開いたときに、リソースモニターをチェックアウトします。これは、リソースモニターの使用に関する簡単なガイドです。
http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html
タスクマネージャーを開き、[パフォーマンス]タブに移動します。下部には、リソースモニターのボタンがあります。開いたら、上部の[ディスク]タブをチェックして、リクエストの所要時間を確認します。私のコンピューターとそのサイトで見つかったコンピューターの画像を見ると、SSD以外のドライブの場合、100ミリ秒未満の応答時間が探しているように見えると思います。コンピューターの応答時間がすべて1秒を超える場合は、起動方法に関係なく、コンピューターの速度が低下します。ここにコメントして、ディスクの応答時間が遅い場合はお知らせください。その場合は、ドライブでチェックディスクを実行し、ドライブが終了するまで永久に待機して、問題が解決するかどうかを確認できます。
これは問題ではないかもしれませんが、問題がある場合は、Windowsを再インストールしたり、ウイルススキャンを実行しても問題は解決しません。
私のアイデアをミックスに追加するには...
問題のあるハードドライブを取り出し、外付けのキャディに接続してから、動作しているPCに接続してみてください。次に、ディスクをチェックし、ウイルス対策/マルウェアチェック、デフラグなどを実行できます。
また、必要なファイルをできる限り回収します(別のPCに感染する可能性のあるものをコピーしないように注意してください。これを行う前に、ホストPCが十分に保護されていることを確認してください。
ハードドライブを元に戻しても動作が不十分な場合は、Windowsの再インストールを検討します。他の問題を解決するのにかかる時間は、それだけの価値はありません。
セーフモードで起動できる場合は、そうします。
Malwarebytes antimalware は、上記の優れた無料プログラムであり、ベータリリースではありますが、Antirootkitプログラムもリリースしました
私は DR Web Cureit Free Antivirus のファンでもあります(オンデマンドスキャナー)
HirenのブートCD は、おそらく最も包括的なブートマルウェアCDの1つです。
それはあなたのコンピュータがひどく断片化されていて、デフラグが必要な場合があるかもしれません、その場合私は Ultradefrag Free Edition
Ccleaner システム上のすべてのゴミを一掃する
上記のすべてはあなたにペニーの費用もかかりません。
2012年11月6日にWhinston GordonがLifehackerのために書いた優れた記事があり、 "遅いPCについての仮定(そして、なぜ間違っているのか)と題されています。 " 。あなたがそれが面白い読み物であることを願っています!
Linuxライブディストリビューションをダウンロードして起動し、マシンに何らかの障害があるか(RAMの不良、ハードドライブの不良など)、Windowsのインストールが古すぎる(ウイルス攻撃の可能性がある)かどうかを確認します。ウイルス攻撃の場合は、ダウンロードできます http://free.drweb.com/ ウイルススキャナー付きの起動可能なライブCDを使用して、PCがクリーンであることを確認します。無料のdrwebスキャナーは1日に数回更新されたため、最新の悪意のあるコードも検出して修復できます。
結局のところ、犬の答えの@hairはおそらく「最良の」解決策だと私はまだ思います。
一方、問題をそのままにしておくことは、おそらく物事を行う方法ではありません。
これは実際には以前の回答のいくつかを要約したものであり、さらにいくつかの観察があります。
私の経験では、ハードドライブはコンピュータが遅くなる大きな理由です。これらは、多くの障害モードとエラーモードを備えた風変わりなデバイスです。 注目に値するその他の理由 があります。
この場合、一般的なLinuxライブCDで起動すると非常に便利です。ドライブの問題の可能性を調査する際に実行したいことが2つあります。まず、ドライブにok-smartmontools(またはグラフィカルなフロントエンドgsmartcontrol)が適しているかどうかを確認します。あなたは一般的に「健康な」結果を望んでいます。その間、hdparm -Tt /dev/sdXxを数回実行して、ディスク速度のベンチマーク結果を取得することもできます。健全で類似した十分なディスクで同じコマンドを実行し、本当に遅いかどうかを確認します。
この時点でファイルレベルのリカバリを実行することもお勧めします。きれいにマウントされていないドライブは、Linuxでは自動的にマウントされません。強制的にマウントするには、mount -f /dev/SDXx /mount/pointを実行する必要があります。 smartmontoolsに従ってディスクが明らかに損傷している場合は、リカバリ中心のDDバリアントを使用してバックアップを実行します- Gnu ddrescue が適切です。これにより、不良セクターをスキップするイメージが作成されます
ディスクに問題がないとすると、ディスクは扱いにくくなります。おそらく、オフラインAVスキャンを実行してクリーンアップを試み、別のシステムにポップインして、メンテナンスを行うことができます。
別のWindowsシステムのレジストリハイブをマウントして、スタートアップエントリを手動で編集する(Windowsシステムからウイルスチェックを実行するには非常に時間がかかります)、またはオフラインからレジストリエディターを使用することもできます パスワードチェンジャーディスク =探しているものがわかっていると仮定します。
Windowsツールを使用してリカバリ/修復関連のアクティビティを実行している場合-PEディスク(XPベースのライブディスク)を気にしない場合はバルトピー)の構築、またはマルウェアの相互汚染のリスクを軽減するために、これらのタスク用の個別の「使い捨て」インストール。
この時点で、ディスクが遅いかどうか、マルウェアかどうか、そして修正に時間をかける価値があると考えた場合は、解決する必要があります。また、データを取得する必要があります。マルウェア、およびオフラインスキャンと再編集が失敗した場合は、livecdからシュレッドを実行してディスクを消去できます。ハードウェア障害が発生した場合は、そのddバックアップから復元できます。上記のどれでもない場合、物事は面白くなる
私が使用した最高のツールは Malwarebytes です。数年前にITで働いていたときに使用しました。さらに、Kasperskyは、AVG(上記で提案したとおり))、またはすべての組み合わせとして優れています。
Malwarebytesのライブイメージを含むもう1つの優れたオプションは Hiren's BootCD ( direct link to download)です。
ハイレンはあなたの友達です。
http://www.hirensbootcd.org/download/
それをダウンロードし、書き込み、遅いコンピューターから起動します。
ハードドライブ、CPU、メモリなどのエラーをチェックするための一連のツールがあります。
それらをいくつか実行して、見つけたものを確認します。
また、AV /マルウェアスキャンを実行するためのセキュリティプログラムもいくつかあります。
強くお勧めします。
ハードドライブをチェックしましたか?たぶん、いくつかの不良セクターがあり、特定のファイルにアクセスするたびに長い遅延が発生します。実行してみてくださいchkdsk /rセーフモード(または他のディスク修復ツールを使用)。
少なくともこのマルウェアは、環境にやさしい方法でPCの速度を低下させ、CPUを最大化しません。
元の質問に対する簡単な答えは、前述のように再インストールすることです。しかし最近では、マルウェアの作成者は、ほとんどの人が削除を試みるのではなく単に再インストールすることを知っているため、ほとんどの場合、自動化されたツールに対する対策のみを行い、端末の知識のある人は対策を取りません。したがって、再インストールが望ましくなく、数時間(またはそれ以上)を無駄にしてもかまわない場合は、ほとんどのマルウェアを削除するのはそれほど難しくありません。
ただし、コマンドプロンプトに精通し、マルウェアと正規のソフトウェアを区別できる必要があります。ここでの経験に代わるものはありませんが、以下のアプローチが効果的であることがわかりました。
まず、環境を準備します。
- 別のクリーンPCから Sysinternals Suite のコピーをダウンロードし、USBスティック(または可能であればPCのハードドライブに直接)にコピーします。
- 2つのユーティリティprocexp.exeとautoruns.exeの名前をランダムなファイル名に変更します(ただし、認識できるようにメモしておいてください)。
- ネットワーク接続をすべて切断します。
- コンピュータをセーフモードで起動し、デスクトップに移動します。セーフモードは必須ではありませんが、実行中のプロセスが少なくなり、マルウェアがより簡単に目立つようになるので役立ちます。クリーンなユーザープロファイルを使用することも同じ理由で役立ちますが、ユーザーのレジストリにエントリが存在する可能性があるため、これによって感染を隠すことができます。
- 管理者としてコマンドプロンプトを開き、
taskkill /F /IM Explorer.exeエクスプローラーを強制終了します。これにより、かなりの量のマルウェアが追跡され、削除が容易になります。コマンドプロンプトを実行できない場合は、別のPCから名前を変更したコピーが効果的です(同じマシンでコピーを作成するだけで済む場合もあります)。 - コマンドプロンプトからprocexpを起動し、名前を変更した実行可能ファイルを介して自動実行します。マルウェアがハッシュやその他の特性を検出し、これらのツールを起動できなくなる可能性があることに注意してください。ただし、ハッシュはかなり頻繁に更新されるため、少なくとも信頼できるアプローチとは言えません。通常、これらのツールに対する対策はファイル名を探します。
ここから自動実行とprocexpを使用してマルウェアを削除できますが、それは科学と同じくらいの芸術です。 Procexpは現在何が実行されているかを示し、autorunsはそれがどのように起動されたかを示します。探すパターンは次のとおりです。
- ランダムに生成されたように見えるファイル名
- 一時ディレクトリから実行されるソフトウェア
- ユーザーのプロファイルで実行されているソフトウェア。 Vista以降のバージョンでは、昇格時のプロンプトを回避するためにプロファイルからソフトウェアを実行することが一般的になっていますが、ほとんどの正当なソフトウェアは引き続きProgram Filesにインストールされます。これには明らかにルートアクセスがあり、システムディレクトリでそれを探していることになりますが、ウォッチャーがそこにいる可能性があり、通常、感染はユーザープロファイル(ダウンロード、インターネット一時ファイル)のどこかから発生します。
- C:\ WindowsおよびSystem32で最近変更されたファイル
- Cmd.exe、services.exeなどの正規のWindowsバイナリに近い名前(または、同じファイル名だが間違った場所にある)。 cnd.exe、service.exeを見ました。私の時間のexplore.exe。
- Rundll32.exeエントリ。多くは正当ですが、プロセスを検査して、ロードされているDLLを確認します。
除去のヒント:
- プロセスを強制終了してエントリを削除する前に、単に情報を収集すると役立つ場合があります。これにより、全体的な概要が得られます。ウォッチャープロセスは非常に迅速に処理できるため、複数のステップを連続して実行する方が、単独で行うよりも効果的です。ステップ1に戻ります。
- 明らかなことには、procexpのkillおよびdelete関数を使用します。これが失敗した場合、時々
echo > "c:\path\to\malware.exe"コマンドプロンプトで、ファイルをブランクにしてからkillとdeleteを実行しても機能します。 - 自動実行を使用して、フックされている場所を見つけます。このツールは、ルートキットやシステムの実行可能ファイルを修正するのに完全であると思われるため、マルウェアが起動する方法が他にあまりないため、使用します。時間を節約するには、デフォルトで無効になっている[Microsoftエントリを非表示にする]オプションを使用します。
- DLLをすべてのexeでロードするフックを自動実行で見つけた場合、実行中のプロセス(検出ツールを含む)がマルウェアを存続させていることになります。この場合、問題のあるDLL上記のエコーで、すべてのソフトウェアを強制終了して再起動します(プログラムを実行するたびにDLLエラーが発生するはずです)。その後再起動します。しかし、最初に他のフックをすべて削除したことを確認してください。
- マルウェアへの変更を探し、それを復元する監視プロセスが存在する可能性があります。これが当てはまる場合は、複数のアクションを同時に実行する必要があり、これを実行する唯一の信頼できる方法は、バッチスクリプトを使用することです。ただし、チェック間隔によっては、ステップを順番にすばやく実行するだけで十分な場合があります。
- 何も見つからず、ルートキットであることが判明した場合、それを見つけて削除するのは非常に難しくなります。より高レベルのWindows APIをバイパスするツールが必要です。これはおそらくスーパーユーザーの回答でカバーできる範囲を少し超えていますが、実際のファイルを削除するために RootkitRevealer に続いてLinuxブートCDを使用すると効果的です(exeの名前を変更することを忘れないでください)。
- 完全に削除する自信がある前に再起動する必要がある場合は、通常の再起動ではなく電源を切ると、再感染の機会が1つなくなります。最初にそれらのデータをバックアップしたことを確認してください。
この特定のマルウェアは、コンピューターの修正にお金を要し、コンピューターの速度を低下させるため、DLLロードアプローチが考えられます。システムファイルを変更したり、ルートキットをインストールしたりすることはありません。システムを完全に破壊する危険性があるため、上記の一般的な方法でシステムを削除できるはずですが、フックを1つだけ見逃すと、次の起動時に正方形に戻る可能性があります。
これは大変な作業のように思えますが、そうです。通常、再インストールは簡単です。マルウェアがインストールされたコンピュータを完全に信頼することはできません。しかし、個人的には、それは一種の楽しみだと思います。それは、あなた対マルウェアの作成者であり、コンソールで人間であることの明らかな利点があります。
再インストールをお勧めします。ただし、デバイス上に失うわけにはいかないデータがある場合は、 Microsoft Defender Offline を試してみてください。
基本的には、オペレーティングシステムをバイパスして、ハードドライブのスキャンを実行できます。最新のウイルス対策定義を入手できるように、必ず新しいコピーをダウンロードしてください。
それでもPCの動作が遅い場合は、 Linux CD/USBで起動 を試してデータをコピーし、Windowsを再インストールします。ただし、バックアップハードディスクを古いマシンにコピーする前に、必ず別の(保護された)マシンでスキャンしてください。
簡単にするために、ハードウェアに問題があるか、ソフトウェアに問題があるか、またはその両方です。
コンピュータでCDからの起動またはUSBからの起動が有効になっているかどうか、およびデフォルトで無効になっている場合に外部メディアから起動する手順を把握します。 Googleですばやく検索すると、多くの場合、このプロセスが速くなります。
ltimate Boot CD のようなライブCDを使用して、RAMおよびハードドライブのエラーをチェックします。RAMを-でテストします Memtest86 + 、および WDハードドライブのDLG などのハードドライブ製造元のテストスイートを使用します。これにより、メモリおよびハードドライブの問題に関するほとんどの問題が除外されます。システム温度を確認することもできます熱問題を排除したい場合。
次に、LinuxライブCDを実行するか、USBディストリビューションからLinuxディストリビューションを起動します。これが問題を示さず、安定性の問題なしにインストールされたシステムよりもはるかに速く実行される場合、それは起動時間と核時間です。この時点で、「失われない」アイテムをハードドライブから何らかの外部メディアに転送します。これらのファイルをクリーンなPCの近くに移動する前に、マルウェアをスキャンする必要があります。これらをある種のライブ環境でスキャンすることをお勧めします。
復元パーティションをまだ試していない場合は、ここから「破壊的復元」を実行することを選択できますが、復元パーティションは通常のパーティションと同様にマルウェアに感染する可能性があるため、あまり信頼していません。 。ライセンスキーやインストールメディアに煩わされる必要がないため、Linuxユーザーであることは素晴らしいことです。
Windowsにとどまることを心がけている場合は、次の手順に従います。
インストールするシステム復元ディスクまたは正規バージョンのオペレーティングシステムを探します。これが「フル」バージョンであり、インストールするために存在する以前のバージョンのOSを必要とする「アップグレード」バージョンではないことを確認してください。ライセンスキーがあることを確認し、正しく入力してください。復元が正常に機能しない場合は製造元に連絡し、OSのインストールに問題がある場合はマイクロソフトに連絡する準備をしておいてください。
前述の「Ultimate Boot CD」を使用して、 Darik's Boot and Nuke を実行します。ドライブの消去にはしばらく時間がかかります。再インストールを計画しているので、より速いフォーマットモードの1つを使用できます。 「クイック消去」または「DoDショート」でうまくいくはずです。
(現在はブランクの)ハードドライブに最初からオペレーティングシステムをインストールします。
必要に応じて、ウイルスをスキャンするために複数回スキャンされた古いファイルを、オペレーティングシステムの新しいインストールに戻します。ソフトウェアとシステムアップデートのインストールプロセスをお楽しみください。
より最近のバックアップがないか、システムイメージバックアップルーチンを実装していないことを自分でのろいなさい。より良いものになることを誓い、次回はないことを願っています。次回もあるでしょう。
Windows Defender Offline を見ると、マルウェアがスキャンされ、修正するオプションが表示されます。