Como posso corrigir um computador infestado por malware e extremamente sem resposta? [duplicado]

Possível duplicata:
Como me livrar de spyware, malware, vírus ou rootkits maliciosos do meu PC?

Estou solucionando um PC com Windows 7 para um amigo. Alguns dias atrás, começou a correr "devagar". Acontece que "lento" leva cerca de 15 minutos para o primeiro vislumbre da área de trabalho e outros 30 para mostrar ícones. Ele é possível abrir o Gerenciador de Tarefas, e nada parece errado, o uso da CPU em 1-5%, a abundância de memória livre.

A máquina está claramente infestada de malware, em particular um programa chamado 'Optimizer Pro' está exigindo dinheiro para 'remover 5102 arquivos que tornam meu computador lento'. Isso parece altamente suspeito.

Meu problema é que não consigo acessar msconfig(o deixei por algumas horas depois de ter digitado no Menu Iniciar e pressionado enter - nada parece ter carregado), ou qualquer coisa basicamente. Posso inicializar a partir de um Linux Live CD, mas posso realmente fazer alguma coisa útil a partir daí?

A Restauração do Sistema também não foi corrigida e o Modo de Segurança exibe o mesmo comportamento.

Eu recomendo reinstalar o Windows

Se você tentar salvar a instalação existente, você passará horas ou, provavelmente, dias trabalhando nela e não terá nada para mostrar por seus esforços. E mesmo se você fosse capaz de executar com êxito todas as ferramentas de remoção de malware, não confiaria que todos os malwares foram realmente removidos porque, por definição, os autores do malware estão sempre um passo à frente dos autores da remoção de malware. Uma vez que uma máquina é infectada tão mal, é provável que ela esteja carregada com todos os tipos de coisas ruins.

Assim...

1. Formatar disco rígido
2. Instale o Windows

E, como sugeriu um dos comentadores, você deve assumir que todos os arquivos e dados da instalação antiga estão infectados e não devem ser confiáveis.

Vários fornecedores de antivírus têm CDROMs de recuperação / varredura disponíveis. Dois gratuitos são:

Kaspersky Rescue Disk 10

O Kaspersky Rescue Disk 10 foi projetado para verificar e desinfetar computadores compatíveis com x86 e x64 que foram infectados.

O aplicativo deve ser usado quando a infecção é tão grave que é impossível desinfetar o computador usando aplicativos antivírus ou utilitários de remoção de malware (como o Kaspersky Virus Removal Tool) em execução no sistema operacional.

CD de recuperação do AVG

AVG Rescue CD Coloque seus negócios em funcionamento rapidamente, em caso de falhas no sistema.

Remove infecções, repara arquivos e recupera sistemas.

Vou pular aqui e perguntar mais sobre isso primeiro e depois postar minhas suposições sobre o computador. Você disse que está usando apenas 1-5% da CPU, mas ainda está se movendo lentamente? Embora eu não esteja dizendo que não está cheio de vírus ou algo do tipo, porque poderia ser, quero ressaltar que isso está gritando hardware defeituoso para mim. Da próxima vez que você abrir o Gerenciador de tarefas, vá para o monitor de recursos. Aqui está um guia simples para usar o monitor de recursos.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Abra o gerenciador de tarefas e vá para a guia Desempenho. Na parte inferior, há um botão para o monitor de recursos. Uma vez aberto, confira a guia Disco na parte superior e veja quanto tempo as solicitações estão demorando. Olhando para o meu computador e a imagem do computador encontrada nesse site, acho que para uma unidade não SSD, tempos de resposta abaixo de 100 milissegundos parecem ser o que você está procurando. Se o computador tiver mais de um segundo tempo de resposta para tudo, seu computador ficará lento, não importa como você o inicialize. Comente aqui e deixe-nos saber se o tempo de resposta do disco é lento. Se for, você pode tentar executar um disco de verificação na unidade e aguardar uma eternidade até que ele termine e veja se isso resolve o problema.

Lembre-se de que esse pode não ser o problema, mas, se for, reinstalar o Windows ou executar uma verificação de vírus não solucionará o problema.

Para adicionar minhas idéias à mistura ...

Tente retirar o disco rígido ofensivo e conectá-lo a um transportador externo; em seguida, conecte-o a um PC em funcionamento. Você pode então verificar o disco, executar verificações de antivírus / malware, desfragmentar etc.

Além disso, salve o que puder dos arquivos necessários (tomando cuidado para não copiar nada que possa potencialmente infectar outro PC. Obviamente, verifique se o PC host possui uma boa proteção antes de fazer isso.

Se depois de colocar o disco rígido de volta e ele ainda funcionar mal, eu consideraria reinstalar o Windows. O tempo necessário para tentar resolver outros problemas não valerá a pena.

Se você pode inicializar no modo de segurança, eu faria isso.

• O Malwarebytes antimalware é um excelente programa gratuito, como mencionado acima, e eles também lançaram um programa Antirootkit, embora na versão beta

• Também sou fã do DR Web Cureit Free Antivirus (scanner sob demanda)

• O CD de inicialização do Hiren é provavelmente um dos CDs de malware de inicialização mais abrangentes disponíveis

• Pode ser que o seu computador esteja severamente fragmentado e precise de desfragmentação. Nesse caso, recomendo o Ultradefrag Free Edition

• Ccleaner para limpar todo o lixo do seu sistema

Todas as opções acima também não lhe custam um centavo.

Há um excelente artigo escrito recentemente em 6 de novembro de 2012 por Whinston Gordon para Lifehacker, que acho que seria benéfico para todos, intitulado "As suposições que você faz sobre seu PC lento (e por que elas provavelmente estão erradas)" . Espero que você ache uma leitura interessante!

Baixe e inicialize qualquer distro ao vivo do linux para verificar se a máquina está de alguma forma prejudicada (RAM com defeito, disco rígido ruim, ...) ou se é apenas uma instalação do Windows muito antiga (talvez ataque de vírus). Em caso de ataque de vírus, você pode fazer o download do http://free.drweb.com/ live cd inicializável com antivírus para garantir que seu PC esteja limpo. O scanner drweb gratuito nos atualiza várias vezes por dia para detectar e curar os códigos maliciosos ainda mais recentes.

A melhor ferramenta que usei é o Malwarebytes . Eu o usei quando trabalhei com TI há alguns anos. Além disso, o Kaspersky é bom como o AVG (como sugerido acima) ou uma combinação de todos.

Outra ótima opção, que inclui a imagem ao vivo do Malwarebytes, é o BootCD de Hiren ( link direto para download).

No final do dia, ainda acho que a resposta do cabelo é provavelmente a 'melhor' solução.

Por outro lado, deixar um problema como está provavelmente não é o caminho para fazer as coisas.

Esta é realmente uma versão condensada de algumas das respostas anteriores, com mais algumas observações.

Na minha experiência, os discos rígidos são um grande motivo para os computadores desacelerarem. São dispositivos peculiares com muitos modos de falha e erro. Há outras razões que vale a pena considerar também

A inicialização em um live cd genérico do linux é bastante útil nesse caso. Há duas coisas que você deseja fazer ao analisar possíveis problemas na unidade. Primeiramente, você deseja perguntar à unidade se está tudo bem - smartmontools(ou seu front-end gráfico gsmartcontrol) é muito bom aqui. Você deseja resultados geralmente "saudáveis". Enquanto você está nisso, você também pode executar hdparm -Tt /dev/sdXxalgumas vezes para obter um resultado de referência da velocidade do disco. Execute o mesmo comando em um disco saudável e semelhante o suficiente para ver se é realmente mais lento.

Eu também sugeriria fazer a recuperação no nível do arquivo neste momento. Uma unidade que foi montada de maneira impura não será montada automaticamente no linux - você precisará fazer um mount -f /dev/SDXx /mount/pointpara forçá-la a montar. Se o disco estiver obviamente danificado de acordo com os smartmontools, use um variante DD centrado na recuperação para fazer um backup - o Gnu ddrescue é uma boa aposta. Isso criará uma imagem ignorando setores defeituosos

Assumindo que o disco está ok, fica complicado. Provavelmente, você pode executar uma verificação AV offline para tentar limpá-la e depois colocá-la em outro sistema para fazer alguma manutenção.

Você também pode montar a seção de registro de outro sistema Windows para editar as entradas de inicialização manualmente (um ótimo momento para fazer uma verificação de vírus em um sistema Windows e desfragmentar) ou usar o editor de registro no disco do alterador de senha offline, assumindo que você sabe o que você ' está procurando.

Se estivermos realizando atividades relacionadas à recuperação / reparo usando as ferramentas do Windows - considere a criação de um disco PE (bartpe, se você não se importa com um disco ativo baseado em XP), ou usando uma instalação separada e 'descartável' para essas tarefas para reduzir o risco de contaminação cruzada por malware.

Neste ponto, você DEVE ter trabalhado se o disco está lento, se é um malware e se você acha que vale a pena corrigi-lo. Você também deveria ter retirado seus dados. Se o seu malware e as verificações e registros offline falharem, você poderá executar o shred no livecd para limpar o disco. Se houver falha no hardware, você poderá restaurar a partir desse backup do dd. Se não for nenhuma das opções acima, as coisas ficam interessantes

Hiren é seu amigo.

http://www.hirensbootcd.org/download/

Faça o download, grave e inicie no computador lento.

Há uma série de ferramentas lá, para verificar se há erros, incluindo disco rígido, CPU, memória, etc.

Execute alguns deles para ver o que você encontra.

Ele também possui alguns programas de segurança para permitir uma verificação AV / Malware.

Altamente recomendado.

Você verificou seus discos rígidos? Talvez tenha alguns setores defeituosos, causando um longo atraso sempre que determinados arquivos são acessados. Tente executar chkdsk /rno modo de segurança (ou use outra ferramenta de reparo de disco).

É recomendável reinstalar. No entanto, se houver dados no dispositivo que você não pode perder, poderá experimentar o Microsoft Defender Offline .

Basicamente, ele permite que você ignore o sistema operacional e, em seguida, você pode executar uma verificação do disco rígido. Certifique-se de baixar uma nova cópia para ter definições recentes de antivírus.

Se o PC ainda estiver lento depois disso, você pode tentar inicializar com um CD / USB Linux para copiar seus dados e reinstalar o Windows. Mas lembre-se de digitalizar o disco rígido de backup em outra máquina (protegida) antes de copiá-la para a máquina antiga.

Pelo menos esse malware torna o PC lento de uma maneira ecológica e não maximiza a CPU!

A resposta curta para a pergunta original é reinstalar como mencionado anteriormente. Hoje em dia, porém, os autores de malware sabem que a maioria das pessoas simplesmente reinstala em vez de tentar remover, portanto, a maioria só toma contramedidas contra ferramentas automatizadas e não uma pessoa experiente no terminal. Portanto, se uma reinstalação não é desejável e você não se importa de perder algumas horas (ou mais), geralmente não é muito difícil remover a maioria dos malwares.

No entanto, você precisa estar familiarizado com o prompt de comando e ser capaz de distinguir malware de software legítimo. Não há substituto para a experiência aqui, mas achei a abordagem abaixo eficaz.

Em primeiro lugar, prepare o ambiente:

1. Em outro PC limpo, baixe uma cópia do pacote Sysinternals e copie-a para um dispositivo USB (ou para o disco rígido do PC, se possível).
2. Renomeie dois utilitários, procexp.exe e autoruns.exe, para nomes de arquivos aleatórios (mas anote para poder reconhecê-los!)
3. Desconecte todas as conexões de rede.
4. Inicialize o computador no modo de segurança, vá para a área de trabalho. O modo de segurança não é essencial, mas ajuda, pois haverá menos processos em execução e o malware deve se destacar mais facilmente. O uso de um perfil de usuário limpo também pode ajudar pelo mesmo motivo, mas isso pode ocultar a infecção, pois provavelmente existem entradas no registro do usuário.
5. Abra um prompt de comando como administrador e execute taskkill /F /IM explorer.exepara matar o explorer. Isso interrompe uma boa quantidade de malware, facilitando a remoção. Se você não conseguir executar o prompt de comando, uma cópia renomeada de outro PC poderá ser eficaz (às vezes você pode simplesmente fazer uma cópia na mesma máquina).
6. No prompt de comando, inicie procexp e autoruns através dos executáveis ​​renomeados. Observe que é possível que o malware detecte os hashes ou outras características e impeça o lançamento dessas ferramentas, mas o hash pelo menos não seria uma abordagem confiável, pois são atualizados com bastante frequência. Geralmente, qualquer contramedida contra essas ferramentas procura o nome do arquivo.

A partir daqui, você pode usar autoruns e procexp para remover o malware, mas é tanto arte quanto ciência. O Procexp mostra o que está em execução no momento e as autoruns mostram como ele foi lançado. Os padrões a serem procurados são:

• Nomes de arquivos que parecem gerados aleatoriamente
• Sofware em execução a partir de diretórios temporários
• Software em execução no perfil do usuário. Com o Vista e versões posteriores, a execução de software a partir do perfil se tornou mais comum para evitar solicitações de elevação, mas a maioria dos softwares legítimos ainda será instalada nos Arquivos de Programa. Dado que este tem claramente acesso root, você o procurará nos diretórios do sistema, mas pode haver um observador lá e geralmente a infecção se origina em algum lugar do perfil do usuário (downloads, arquivos temporários da Internet).
• Arquivos recentemente modificados em C: \ Windows e System32
• Nomes próximos de binários legítimos do Windows, como cmd.exe, services.exe (ou os mesmos nomes de arquivos, mas no local errado). Eu vi cnd.exe, service.exe. explore.exe no meu tempo.
• Entradas Rundll32.exe. Muitos são legítimos, mas inspecionam os processos para ver quais DLLs estão carregadas.

Dicas de remoção:

• Pode ser útil simplesmente reunir informações antes de tentar eliminar processos e excluir entradas - isso oferece uma visão mais holística, e executar várias etapas em rápida sucessão será mais eficaz do que fazer as coisas isoladamente, pois os processos do observador podem muito rapidamente volte para a etapa 1.
• Para qualquer coisa óbvia, use a função kill and delete do procexp. Se isso falhar, às vezes usar echo > "c:\path\to\malware.exe"no prompt de comando para apagar o arquivo seguido de kill e delete pode funcionar.
• Use autoruns para descobrir onde ele está conectado. Eu uso essa ferramenta porque ela parece estar completa, com falta de um rootkit ou de executáveis ​​de modificação do sistema. Não há muitas outras maneiras de o malware iniciar, se houver. Para economizar tempo, use a opção "Ocultar entradas da Microsoft", que está desativada por padrão.
• Se você encontrar um gancho nas execuções automáticas que carrega uma DLL a cada exe, seus processos em execução (incluindo suas ferramentas de detecção) manterão o malware ativo. Nesse caso, é necessário anular a DLL ofensiva com o eco acima, matar e reiniciar todo o seu software (deve resultar em um erro de DLL toda vez que você executa um programa) e, em seguida, reinicializa. Mas verifique se você removeu outros ganchos primeiro.
• Pode haver um processo de inspeção que procura por modificações no malware e o restaura. Se for esse o caso, talvez seja necessário executar várias ações simultaneamente, e a única maneira confiável de fazer isso é usar um script em lote. Mas, dependendo do intervalo de verificação, pode ser suficiente executar as etapas rapidamente em sequência.
• Se você não consegue encontrar nada e ele se torna um rootkit, encontrá-lo e removê-lo fica muito mais difícil - você precisa de ferramentas que ignorem as APIs de janelas de nível superior. Provavelmente, isso está um pouco além do escopo do que pode ser coberto em uma resposta de superusuário, mas usar o RootkitRevealer seguido de um CD de inicialização do linux para excluir os arquivos reais pode ser eficaz (lembre-se de renomear o exe).
• Se você precisar reinicializar antes de ter certeza da remoção completa, cortar a energia em vez de fazer uma reinicialização ordenada remove mais uma oportunidade de reinfecção. Apenas verifique se você fez backup dos dados primeiro.

Dado que esse malware específico exige dinheiro para consertar o seu computador e reduz a velocidade, é provável que a abordagem de carregamento da DLL. Provavelmente não modifica os arquivos do sistema nem instala um rootkit, pois isso acarreta um risco maior de quebrar o sistema completamente. Portanto, você poderá removê-lo usando a abordagem geral acima, mas se você perder apenas um gancho, provavelmente voltará à estaca zero na próxima inicialização.

Se isso parece muito esforço, é. A reinstalação geralmente é mais fácil, e você nunca mais pode confiar em um computador novamente depois de ter malware nele. Mas, pessoalmente, acho divertido - é você contra o criador de malware e você tem a clara vantagem de ser humano no console!

Você pode dar uma olhada no Windows Defender Offline , ele procura por malware e oferece a opção de corrigir.

Para simplificar, você tem um problema com o hardware, um problema com o software ou ambos.

Descubra se o seu computador foi inicializado a partir do CD ou via USB ativado e as etapas para inicializar a partir de mídia externa, se estiver desativado por padrão. Uma rápida pesquisa no Google geralmente acelera esse processo.

Use um CD ao vivo como o Ultimate Boot CD para verificar se há erros na RAM e no disco rígido. Teste a RAM com o Memtest86 + e use o conjunto de testes do fabricante do disco rígido, como DLG para discos rígidos WD . Isso descartará a maioria dos problemas com problemas de memória e disco rígido. Você também pode verificar a temperatura do sistema se quiser excluir problemas térmicos.

Em seguida, execute um live CD do Linux ou inicialize uma distribuição Linux a partir do USB. Se isso não apresentar problemas e funcionar muito mais rápido que o sistema instalado, sem problemas de estabilidade, será o tempo de inicialização e uso das armas nucleares. Transfira todos os itens "não pode perder" do disco rígido para algum tipo de mídia externa neste momento. Você deseja verificar esses arquivos em busca de malware antes de obtê-los em qualquer lugar perto de um PC limpo. É preferível digitalizá-los em algum tipo de ambiente ativo.

Se você ainda não experimentou a partição de restauração, pode optar por executar uma "restauração destrutiva" a partir daqui, mas não acredito muito nas partições de restauração, pois elas podem ser infectadas por malware, como as partições normais . É aqui que é bom ser um usuário Linux, porque você não precisa se preocupar com chaves de licença e instalar mídia.

Se você estiver decidido a permanecer no Windows, siga estas etapas:

Localize um disco de restauração do sistema ou uma versão legítima do sistema operacional que você deseja instalar. Verifique se é uma versão "completa" e não é uma versão de "upgrade" que requer uma versão anterior do sistema operacional presente para instalar. Verifique se você possui a chave de licença e insira-a corretamente. Esteja preparado para ligar para o fabricante se a restauração não funcionar corretamente ou para a Microsoft se a instalação do sistema operacional der errado.

Pegue o "Ultimate Boot CD" mencionado anteriormente e execute o Darik's Boot and Nuke . Vai demorar um pouco para apagar a unidade. Como você planeja reinstalar, você pode usar um dos modos de formato mais rápidos. Um "apagamento rápido" ou "DoD curto" deve fazer o truque.

Instale o sistema operacional a partir do zero no disco rígido (agora em branco).

Se necessário, transfira os arquivos antigos que foram varridos várias vezes em busca de vírus de volta à nova instalação do sistema operacional. Aproveite o processo de instalação de atualizações de software e sistema.

Pragueje por não ter um backup mais recente ou por implementar uma rotina de backup de imagem do sistema. Prometa ser melhor nisso, e espero que não haja uma próxima vez. Provavelmente haverá uma próxima vez.

A solução adequada é destruí-lo e reinstalar o Windows. Se isso simplesmente não é uma solução, a única outra solução adequada é usar uma instalação live cd / usb linux para executar pacotes de software antivírus fora da instalação do Windows.

Examinei as respostas fornecidas e fico surpreso ao ver que o Trinity Rescue Kit ainda não foi mencionado!

Este pacote de software é a minha solução para saltar quando estou tentando remover malware / vírus / rootkits de um computador infectado. Possui 3-4 soluções de software diferentes que serão lançadas na rede e buscarão suas últimas definições antes de iniciar seu processo de digitalização / limpeza.