Du har gått genom alla traditionella steg, försökte Ad-Aware och Spybot och HijackThis, och du har fortfarande spionprogram. Vad nu? Tja, kan du prova följer detta manuellt avlägsnande guide. Det är inte för svag i hjärtat, och det kan faktiskt bli mindre ansträngning att enkelt säkerhetskopiera filerna, formatera hårddisken och installera om Windows. Med denna metod behöver du full tillgång till en ren dator för att reparera din infekterade datorn.
Steg
- 1Stäng av den infekterade datorn. Öppna ärendet och ta bort sin huvudsakliga hårddisk (den som innehåller OS partition).
- 2Om du har en usb/ieee1394 extern hårddisk låda, kan du ansluta den infekterade enheten till att i stället för att fylla de kommande två steg.
- 3Stäng av ren dator. Öppna fodralet och anslut den infekterade enheten.
- 4Slå på ren dator. Absolut säker på att den startar i den rent OS, inte från den infekterade enheten! De flesta datorer har en meny boot val som kan nås via F11 eller ESC strax efter strömmen.
- 5Se till att du kan se alla filer. När ren datorns operativsystem har startat, kommer du att vilja rensa ut temp-filer från den infekterade enheten, i syfte att göra det enklare att söka. Men först, vill du se alla filer, även dolda och systemfiler. Gå till "Kontrollpanelen" -> "Mappalternativ", och klicka på "Visa"-fliken längst upp på "Mappalternativ" fönstret. Du kommer att vilja ändra följande alternativ:
- Slå PÅ: Visa innehållet i systemmappar
- Slå PÅ: Visa dolda filer och mappar
- Stäng AV: Dölj filnamnstillägg för kända filtyper.
- Stäng AV: Hide skyddade operativsystemfiler (rekommenderas)
- 6Ta del av enhetsbeteckningen för din infekterade enheten. Det kommer förmodligen att vara E: eller F:, beroende på antalet hårddiskar, partitioner och CD / DVD-enheter du har i din ren dator. Låt oss anta att vi har att göra med F:-enheten för den här artikeln.
- 7Rensa dina temporära mappar. När dina temporära filer mappar har rensats, det finns mycket färre filer att söka igenom. Detta bör göra de kommande stegen lite mindre tröttsamt. Några av följande platser kanske inte existerar, kan vissa vara på lite olika ställen. Det är viktigt att du hitta och rensa cachen för alla dina webbläsare (IE / Netscape / Firefox / Opera) och att du klara det för varje enskild användare! Kontrollera följande mappar och ta bort deras innehåll, men inte kataloger själv.
- F: \ TEMP
- F: \ Windows \ TEMP eller F: \ WINNT \ Temp (Endast NT4 och Windows 2000 används "WinNT")
- F: \ WINNT \ Profiles \ Användarnamn \ Lokala inställningar \ Temp
- F: \ WINNT \ Profiles \ användarnamn \ Local Settings \ Temporary Internet Files
- F: \ WINNT \ Profiles \ Användarnamn \ Lokala inställningar \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
- F: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Temp
- F: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Temporary Internet Files
- F: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
- 8Se till att din papperskorgen är tömd på alla filer.
- 9Försök säkerhetskopiera den infekterade enheten till en mapp på ren dator, om du har utrymme. Om du kan möjligen säkerhetskopiera hela enheten, gör det. Annars bör du kunna komma undan med bara "Documents and Settings" mappen ("Profiler" under NT4) och kanske några av de spel mappar (vissa spel lagrar sina sparade spel, kartor, höga poäng, etc i deras program mapp).
- 10Utför fullständig antivirus och skannar spionprogram i din dator. Detta kommer förhoppningsvis att hitta några saker på den infekterade F:-enheten och ta bort dem.
- Ladda ner och installera både Spybot Search and Destroy och Lavasoft Adaware. Det är viktigt att du använder båda dessa verktyg, eftersom de ofta kommer att hitta mer skadlig kod tillsammans.
- Uppdatera definition filer när du blir uppmanad.
- Skanna din maskin (detta kan ta en stund).
- Ta bort eventuella spionprogram som hittas.
- Kontrollera att du har ett antivirusprogram installerat och up-to-date. Utför en fullständig genomsökning av systemet och ta bort virus, trojaner och maskar som hittas.
- 11När alla genomsökningar är klar, gå till "c: \ program Files" (på ren PC-enhet) och kopiera hela programmet kataloger för Spybot, Ad-Aware, och din anti-virus till en ny katalog på din infekterade enheten, kallas "F: \ städare". Också kopiera installatörer för dessa program till "F: \ städare" mappen. Du kan behöva dem senare.
- 12Hit windowskey + F för att få upp hitta filer fönstret. Om du ser en dum liten animerad hund, kanske du vill stänga av honom, eftersom han gör sökningen mycket mer irriterande. De sökalternativ du vill använda för sökningar vi kommer att utföra är "Sök Alla filer och mappar" med följande "Avancerade alternativ" påslagen:
- Sök systemmappar
- Sök dolda filer och mappar
- Sök i undermappar
- 13Titta bara på F: \ drive för filnamn matchar "* exe." Och som har ändrats under den senaste veckan. Skriv bara in "* exe.": "Asterisk period exe", och ange "den senaste veckan." Du kanske vill prova att söka efter "senaste månaden" också, beroende på hur länge du har blivit smittad.
- Kör sökningen. Låt den gå till fullbordan.
- Undersök filerna den hittade. Några av dem kan du känna igen, särskilt om du nyligen har installerat vissa program. Till exempel, om du nyligen uppgraderat eller installerat Lavasoft Ad-Aware, kan du se "F: \ Program \ Lavasoft \ Ad-Aware SE Personal \ Ad-Aware.exe" i denna lista. Ignorera denna typ av fil. Den typ av fil du letar efter är oftast i F: \ Windows \ system32, mindre än 100KB i storlek, och har ett roligt namn som "lkaljya.exe"
- Alla filer du hittar bör flyttas till en temporär katalog tills du kan kontrollera att de är äkta. Till exempel kan du skapa en mapp "F: \ karantän" och flytta dem till en undermapp "F: \ karantän \ Windows \ system32" i det.
- Vissa skadliga filer även dolda i F: \ Windows \ system32 \ drivers katalogen kommer de också att ha roliga namn såsom "lkaljya.sys".
- Alla filer du hittar bör flyttas till en temporär katalog tills du kan kontrollera att de är äkta. Till exempel kan du skapa en mapp "F: \ karantän" och flytta dem till en undermapp bokstaven "F: \ karantän \ windows \ system32 \ drivers" i det.
- Om du har en on-access antivirusprogram, kan det faktiskt börja klaga att det finns en trojan det andra du väljer den misstänkte filen. Om det gör, ska du inte bry karantän det, bara låta antivirus radera det.
- Var särskilt uppmärksam på *. Exe-filer med antingen slumpmässiga eller pretentiös namn. Pretentiös namn försöker synas viktiga genom att vara mycket nära verkliga användbara program. Till exempel, är ett användbart program "svchost.exe", medan en misstänkt program skulle vara "scvhost.exe"
- Ett annat bra sätt att identifiera bra produkter från dåligt är genom att högerklicka på den körbara och välja "Egenskaper", sedan genom att välja "Version"-fliken (om sådan finns). Om filen är digitalt signerad av ett företag, kommer det att ha en "Företagsnamn" egendom på den här fliken, till exempel "Microsoft Corporation" eller "Apple Computer Inc" eller "Logitech", etc. Dessa filer är förmodligen bra. Om filen inte är signerad, bör du undersöka vidare.
- När du är osäker, gå till Google och skriv det fullständiga namnet på den misstänkte körbara: "scvhost.exe", till exempel. Undersök sökresultaten. Ofta kommer du att se länkar som "scvhost.exe, bra eller dåligt?" eller "Vad gör den här filen?" och du kan se om det är en nödvändig fil eller en trojan.
- Var särskilt uppmärksam på alla * exe-filer du hittar i F:. \ Windows \ system32 och (speciellt) som helst i F: \ Dokument och inställningar. Det borde verkligen inte vara många / alla körbara filer i "Documents and Settings" mappen.
- 14Upprepa föregående steg, men sök efter filnamn som matchar mönstret "*. Dll" i stället.
- 15Upprepa föregående steg, men sök efter filnamn som matchar mönstret "*. Sys" i stället.
- 16Det sista steget är ganska komplicerat, men är vanligen framgångsrika i att bli av med de flesta av de mest envisa maskar och trojaner. Var uppmärksam och inte skruva upp.
- Gå till Start-> Kör och skriv "regedit" och tryck enter.
- Ladda "PROGRAMVARAN" bikupa från den infekterade datorn och ta bort alla dåliga "run på login" poster.
- Välj HKEY_LOCAL_MACHINE genom att vänsterklicka det.
- Gå till Arkiv-menyn och välj "Load Hive".
- Navigera till F: \ Windows \ System32 \ Config och välj filen som heter "PROGRAMVARA".
- Den kommer att fråga efter en nyckel namn. Typ "INFECTED_SOFTWARE" och tryck enter.
- Klicka på plustecknet bredvid HKEY_LOCAL_MACHINE att avslöja nyckeln "INFECTED_SOFTWARE".
- Navigera till HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
- Backa upp det! Högerklicka på "Run" och välj "Exportera data" och spara filen som "INFECTED_SOFTWARE, RUN.reg" i karantän mappen. Observera att om du behöver återställa denna säkerhetskopia senare, medan den infekterade datorn är igång, måste du öppna reg-filen i en textredigerare och något ändra nyckeln banan. HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE skulle behöva ändras till HKEY_LOCAL_MACHINE \ SOFTWARE, till exempel. Om du bara vill omedelbart återställa reg-filen när du kör på ren dator, behöver du inte att redigera filen, bara se till att kupan fortfarande är laddad och dubbelklicka på reg-filen för att återinföra sina nycklar / värdena i lämpliga platser.
- I den högra rutan bör du se en lista med poster. Några av dessa kan inkludera Java Update, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, nVidia / ATI drivrutiner, Ljud drivrutiner, tangentbord / mus drivrutiner, antivirus, brandvägg, etc. Återigen, använd ditt bästa omdöme och de metoder som beskrivits tidigare för att skilja gott från ont. Om du bestämmer att något är dåligt, ta tag i EXE-fil pekas på av-knappen och kasta det i karantän mappen och ta bort nyckeln. Du kan alltid återställa den senare med den säkerhetskopia av registret.
- Utför samma steg i "RunOnce" och "RunOnceEx", precis intill "Run"-knappen. De kanske eller kanske inte har poster i dem.
- När du är klar, är det viktigt att du klickar på "INFECTED_SOFTWARE" och sedan gå till Arkiv-menyn och välj "Ta bort registreringsdata".
- Ladda "DEFAULT" bikupa från den infekterade datorn (F: \ Windows \ System32 \ Config \ DEFAULT) och ta bort alla dåliga "run på login" poster. Använd samma steg som i "PROGRAMVARAN" steg. Obs: "DEFAULT" bikupa kanske inte ens har ett "Run"-knappen. Om så är fallet, hoppa över den. Var noga med att lasta "INFECTED_DEFAULT" när du är klar.
- Fyll varje användares bikupa från den infekterade enheten. Du hittar kupan på F: \ Dokument och inställningar \ Användarnamn \ Ntuser.dat - ladda den som "INFECTED_USERNAME" och sedan gå igenom sina "Run / RunOnce / RunOnceEx" nycklar för dåliga poster. Ni kan rutinen vid det här laget, eller hur? Var noga med att lossa varje bikupa när du är klar.
- 17Om du använder en extern hårddisk låda, använder "Säker borttagning av maskinvara" för att ta bort det från datorn, stänga av den och ta bort den (förhoppningsvis nu) rengjorda enheten. Annars måste du stänga din ren dator och ta bort den rengjorda enheten ur fodralet.
- 18Sätt tillbaka den rengjorda enheten i sin egen sak och kraft på din rengjorda PC.
- Om din dator är absolut vägrar att starta på denna punkt, kanske du har något annat val än att torka disken ren och installera om Windows. Kontrollera att du har allt säkerhetskopierat och alla dina installera CD-skivor och licensnycklar händig innan du gör detta.
- 19Om din PC startar, ska du köra direkt anti-spyware-program i "städare" mappen. Om det finns något spionprogram kvar på datorn, är det förmodligen i ett försvagat tillstånd vid denna punkt och kan duka nu. Också köra installerade anti-virus program, eller prova att köra ditt antivirusprogram från "städare" mappen, det kanske eller kanske inte fungerar.
- 20Om du är säker på att du har tagit bort alla skadliga program, kan du fortsätta att använda din Windows-installation. Men om prestandan är oacceptabel, kanske du har något annat val än att installera. Vissa skadliga program är så ihållande att det är mindre ansträngning att helt enkelt börja om på ny kula.
Tips
- Ett mycket enklare sätt är att starta den infekterade Windows-dator med Linux på en CD eller USB-enhet. Kör sedan en Windows Anti-virus program medan du använder datorn med en Linux-operativsystem. Många äldre datorer kan lätt köra Linux som är säker och kan göra de flesta uppgifter. http://www.ubuntu.com är ett populärt Linux-system.
- När du får en ny dator ställa upp dual boot. Det betyder att installera två operativsystem på samma dator. När Windows blir infekterad med ett virus du kan välja att starta datorn med det andra operativsystemet och göra reparationen. Ubuntu är en av de typer av Linux som gör det lätt att ställa in. http://www.ubuntu.com
- Windows NT och Windows 2000 använder en "WINNT" mappen i stället för ett "Windows"-mappen.
- Windows 95/98/ME är förmodligen inte värt att reparera. Bara backup, rensa ut dem och installera.
- Hämta inte mjukvara annonseras i blanka, blinky bannerannonser.
- Helt undvika warez, crack, och porr webbplatser (om du inte kör en Unix-baserade OS som Linux eller Solaris) - de är drivhus för saker att infektera din dator. Om du måste använda Firefox med Adblock och NoScript påslagen.
Varningar
- Ta inte bort filer om du inte är säker på att de är dåliga. Lägg dem i en speciell karantän mapp.
- Var försiktig när du klickar på filerna. Dubbelklicka inte klick, vill du inte att infektera din dator ren! Om du har en enkel klick fil öppning påslagen, stäng av den!
- Du kan bli smittad med ett MBR rootkit. Dessa relativt lätt att reparera, men din inlärningskurva kan vara brant. MBR rootkits bosatta i Master Boot Record på din hårddisk. De lanserar malware redan innan Windows startar upp. De är mycket smygande.
Saker du behöver
- En annan dator. Denna process kommer inte riktigt fungerar om du inte kan döda spionprogram medan den är inaktiv.