Infekcja złośliwym oprogramowaniem powoduje szereg objawów lub nie powoduje ich wcale. Najpoważniejsze zagrożenia (takie jak kradzieże haseł i trojany kradzieży danych) rzadko powodują oznaki infekcji. W przypadku innych typów złośliwego oprogramowania, takich jak scareware, system może spowolnić lub możesz nie mieć dostępu do niektórych narzędzi, takich jak Menedżer zadań.
Gdy komputer zostanie zainfekowany, wypróbuj rozwiązania „zrób to sam”. Opracowaliśmy listę Twoich opcji, zaczynając od najłatwiejszych, poprzez zaawansowane, kończąc na bardziej zaawansowanych.
Niektóre z bardziej zaawansowanych metod mogą wymagać pomocy znajomego profesjonalisty lub znającego się na technologii. Nie ma też pojedynczego, szczegółowego procesu naprawiania wirusów. Z wielu tysięcy wariantów występujących na wolności każdy wymaga określonej procedury rozwiązania problemu.
Uruchom oprogramowanie antywirusowe
Jeśli komputer z systemem Windows jest zainfekowany wirusem, pierwszym krokiem jest zaktualizowanie oprogramowania antywirusowego i uruchomienie pełnego skanowania systemu.
Zamknij wszystkie programy przed uruchomieniem skanowania.
Proces może zająć kilka godzin, więc wykonaj to zadanie, gdy nie potrzebujesz przez jakiś czas korzystać z komputera (jeśli komputer jest zainfekowany, nie powinieneś go używać).
Jeśli oprogramowanie antywirusowe znajdzie złośliwe oprogramowanie, podejmie jedną z trzech czynności: wyczyść, poddaj kwarantannie lub usuń. Jeśli po uruchomieniu skanowania złośliwe oprogramowanie zostanie usunięte, ale otrzymujesz błędy systemowe lub niebieski ekran śmierci, może być konieczne przywrócenie brakujących plików systemowych.
Uruchom w trybie bezpiecznym
Tryb bezpieczny zapobiega ładowaniu aplikacji, dzięki czemu można wchodzić w interakcje z systemem operacyjnym w kontrolowanym środowisku. Nie wszystkie programy antywirusowe go obsługują, ale spróbuj uruchomić komputer w trybie awaryjnym i stamtąd uruchomić skanowanie antywirusowe.
Jeśli tryb awaryjny nie uruchamia się lub oprogramowanie antywirusowe nie działa w trybie awaryjnym, uruchom komputer normalnie, a następnie naciśnij i przytrzymaj przesunięcie klawisz, gdy system Windows zaczyna się ładować. To naciśnięcie klawisza zapobiega ładowaniu jakichkolwiek aplikacji (w tym niektórych złośliwych programów) podczas uruchamiania systemu Windows.
Jeśli aplikacje (lub złośliwe oprogramowanie) nadal się ładują, ustawienie przesłonięcia Shift mogło zostać zmienione przez złośliwe oprogramowanie. Aby obejść ten problem, wyłącz przesłonięcie klawisza Shift.
Spróbuj ręcznie zlokalizować i usunąć złośliwe oprogramowanie
Złośliwe oprogramowanie może wyłączyć oprogramowanie antywirusowe, uniemożliwiając mu usunięcie infekcji. W takim przypadku ręcznie usuń wirusa z systemu.
Próba ręcznego usunięcia wirusa wymaga pewnego poziomu umiejętności i wiedzy o systemie Windows.
Co najmniej musisz wiedzieć, jak:
- Użyj rejestru systemowego
- Nawiguj za pomocą zmiennych środowiskowych
- Przeglądaj foldery i znajduj pliki
- Zlokalizuj punkty wejścia AutoStart
- Uzyskaj skrót (MD5 / SHA1 / CRC) pliku
- Uzyskaj dostęp do Menedżera zadań systemu Windows
- Uruchom w trybie bezpiecznym
Upewnij się również, że przeglądanie rozszerzeń plików jest włączone (domyślnie nie jest, więc jest to niezwykle ważny krok) i że funkcja automatycznego uruchamiania jest wyłączona.
Możesz także spróbować zamknąć procesy złośliwego oprogramowania za pomocą Menedżera zadań. Aby to zrobić, kliknij prawym przyciskiem myszy proces, który chcesz zatrzymać, i wybierz Zakończ zadanie.
Jeśli nie możesz zlokalizować uruchomionych procesów za pomocą Menedżera zadań, sprawdź typowe punkty wejścia AutoStart, aby dowiedzieć się, skąd ładuje się złośliwe oprogramowanie. Należy jednak pamiętać, że złośliwe oprogramowanie może obsługiwać rootkity i być niewidoczne.
Jeśli nie możesz zlokalizować uruchomionych procesów za pomocą Menedżera zadań lub sprawdzając punkty wejścia AutoStart, uruchom skaner rootkit, aby zidentyfikować zaangażowane pliki lub procesy. Złośliwe oprogramowanie może również uniemożliwiać dostęp do opcji folderów, uniemożliwiając zmianę opcji wyświetlania ukrytych plików lub rozszerzeń plików. W takim przypadku ponownie włącz przeglądanie opcji folderów.
Jeśli zlokalizujesz podejrzane pliki, uzyskaj skrót MD5 lub SHA1 dla plików i przeprowadź wyszukiwanie szczegółów na ich temat za pomocą skrótu. Ta metoda służy do określania, czy podejrzane pliki są złośliwe. Możesz również przesłać pliki do skanera online w celu przeprowadzenia diagnostyki.
Po zidentyfikowaniu złośliwych plików następnym krokiem jest ich usunięcie. Ta czynność może być trudna, ponieważ złośliwe oprogramowanie zazwyczaj wykorzystuje wiele plików, które monitorują i zapobiegają usunięciu złośliwych plików. Jeśli nie możesz usunąć złośliwego pliku, wyrejestruj powiązaną z nim bibliotekę DLL lub zatrzymaj proces winlogon i usuń go ponownie.
Utwórz startową ratunkową płytę CD
Jeśli powyższe kroki nie powiodą się, utwórz ratunkową płytę CD, która zapewni uśpiony dostęp do zainfekowanego dysku. Dostępne opcje to BartPE (Windows XP), VistaPE (Windows Vista) i WindowsPE (Windows 7).
W systemie Windows 10 lub Windows 8 / 8.1 użyj narzędzia Przywracanie systemu zamiast ratunkowej płyty CD.
Po uruchomieniu z ratunkowej płyty CD sprawdź typowe punkty wejścia AutoStart, aby znaleźć lokalizację, z której ładuje się złośliwe oprogramowanie. Przejdź do lokalizacji podanych w tych punktach wejścia AutoStart i usuń złośliwe pliki. (Jeśli nie masz pewności, uzyskaj skrót MD5 lub SHA1 i przeprowadź wyszukiwanie online, aby zbadać pliki za pomocą tego skrótu).
W ostateczności przeformatuj i zainstaluj ponownie
Ostatnią, ale często najlepszą opcją jest ponowne sformatowanie dysku twardego zainfekowanego komputera i ponowne zainstalowanie systemu operacyjnego i wszystkich programów. Ta metoda zapewnia najbezpieczniejsze możliwe wyleczenie z infekcji.
Zmień hasła logowania do komputera i wszelkich wrażliwych witryn internetowych (w tym bankowości, portali społecznościowych i poczty e-mail) po zakończeniu przywracania systemu.
Chociaż generalnie bezpieczne jest przywracanie plików danych - czyli plików utworzonych przez Ciebie - najpierw upewnij się, że nie są one również źródłem infekcji. Jeśli pliki kopii zapasowej są przechowywane na dysku USB, nie podłączaj go ponownie do nowo przywróconego komputera, dopóki nie wyłączysz automatycznego uruchamiania. Jeśli to zrobisz, szansa na ponowną infekcję przez robaka autorun jest wysoka.
Po wyłączeniu automatycznego uruchamiania podłącz dysk kopii zapasowej i przeskanuj go za pomocą kilku różnych skanerów online. Jeśli uzyskasz czysty rachunek zdrowia z dwóch lub więcej skanerów online, możesz bezpiecznie przenosić te pliki z powrotem na przywrócony komputer.