“Powerusers”如何从 Windows 手动查找和删除恶意软件

Question

可能的重复：
如果我的计算机感染了病毒或恶意软件怎么办？

我想知道专业人士使用哪些工具和方法来删除 Windows 中的恶意软件。HijackThis 够了吗？您如何手动识别深深植根于操作系统的内容？

我父亲的 XP 系统显然感染了某些东西，但通常的建议（安全模式下的多个扫描工具、Live CD 等）并没有消除它。他拒绝格式化，因为他有需要完成的工作，而且目前恶意软件还没有做任何太碍事的事情。

我很尴尬地说，我最近在排名前 10 的 CS 学校完成了计算机科学学位。

Answer 1

从轨道上起飞并炸毁该站点，这是唯一确定的方法。

— 外星人

说真的，把机器弄平。重新安装时，将所有数据存储在一个（或两个）外部驱动器上，并且永远不允许将可执行文件存储在那里。

Windows 实际上已成为“一次性”安装，在需要重新安装之前，您不应该习惯它存在很长时间。

为了直接解决您的问题，这几乎是所有“专业人士”现在所做的。再花力气去探索 DLL 是不值得的。

至于“有工作要做”的说法，解释说这就像在公寓里开车一样。从长远来看，停下来改变它总是比慢慢爬行更快，因为你“没有时间停下来”。

Answer 2

这是我使用的方法。整个过程非常成功，用时不到 90 分钟。

构建闪存驱动器

从未受感染的计算机下载以下内容并将其加载到闪存驱动器上。或者，您可以将它们刻录到 CD 上。

• XP .exe 文件扩展名修复（在此处下载）
• Malwarebytes Anti-Malware（在此处下载）
• ComboFix（在此处下载）

（我建议从 ZIP 文件中提取 EXE 修复程序并将注册表文件放在闪存驱动器上。）

启动进入“带网络的安全模式”

在受感染的计算机上，启动进入带网络的安全模式。这是通过在出现“加载 Windows”屏幕之前按键盘上的 F8 键来完成的。

插入闪存驱动器（或 CD）。如果您在 XP 上运行，请启动 .exe 文件扩展名修复（即使您认为 .exe 文件扩展名没有问题。）

接下来，安装 Malwarebytes Anti-Malware。在 Vista 和 Windows 7 上，确保右键单击安装程序并按“以管理员身份运行”。

更新定义

现在您已经安装了 Malwarebytes，您需要检查您的恶意软件定义。如果您未能执行此步骤，您将无法从计算机中删除整个感染。

转到“更新”选项卡。检查定义日期。无论它说什么，您都应该至少进行一次更新以获得良好的效果。第一次更新后，如果日期仍然早于几天前，您将需要进行第二次更新。有时我必须进行最多三个更新才能使 Malwarebytes 保持最新状态。

扫描恶意软件

返回主选项卡并选择“全面扫描”。一台计算机平均约有 100,000 个对象，扫描需要 20-30 分钟。如果计算机多年来安装了多个服务包，则需要更长的时间。

完成后，单击“显示结果”。仔细检查此处的所有内容，然后全部删除。它会向您显示一个文本日志文件（您可以关闭它，它已经保存），然后程序会要求您重新启动计算机。继续并让它重新启动。

组合修复

当计算机重新启动时，不要进入安全模式。

如果您的计算机上加载了防病毒软件，则您需要禁用它在下一步中执行的主动保护功能。只需右键单击系统托盘中的图标即可禁用许多防病毒软件，例如赛门铁克。其他程序（例如 AVG）要求您实际进入该程序并禁用它们。

完成此操作后，从闪存驱动器启动 ComboFix（Vista 和 7 用户需要右键单击 ComboFix 并按“以管理员身份运行”。）

接受警告通知。ComboFix 将自动检查新版本。如果有的话就让它下载吧。它会告诉您它想要安装 Microsoft 恢复控制台，也请允许它这样做。如果它检测到 RootKit 的存在（找到它们非常好），它会自动将您的计算机重新启动到更安全的环境中。

最后，它将开始扫描感染。10-15 分钟后，它将自动开始清除感染。该程序需要很长时间才能完成和清理（另外 10 分钟），并且在此过程中可能会重新启动几次，因此请耐心等待。程序完成后将显示一个文本日志文件。不要关闭蓝色窗口，它会自行关闭。有时需要长达 10 分钟才能关闭。

重置 Internet Explorer

最后要做的就是打开 Internet Explorer 并将其重置为出厂设置。这将删除仍然驻留在 IE 中的任何受感染的加载项或 dll。为此，请转到“工具”、“Internet 选项”，单击“高级”选项卡，然后按底部的“重置”按钮。

我建议检查“删除个人设置”，但通常无需这样做即可工作。

对批评的反应

许多计算机专家建议不要清除用户计算机上的恶意软件。他们声称你永远无法真正消除感染，并且你不能相信 Malwarebytes 和 Combofix 实际上发现了所有感染。

我最好的建议是，那些陷入这些骗局的人通常会反复上当（一年左右两次）。花时间在他们的计算机上重新加载 Windows 是一种浪费，因为您将再次回到那里。更重要的是，IT 专业人员将向您收取 3-4 小时的 Windows 重新加载费用，其中上面列出的过程可以在 60-90 分钟内完成。

只需向用户告知修理与重新装载的危险以及两者的成本差异即可。在接下来的几周内偶尔使用 Malwarebytes 或 ComboFix 的更新版本进行扫描，看看是否在第一次时遗漏了任何内容，这也没什么坏处。

其他信息：我每周从 3-5 台计算机上删除恶意软件和病毒。我的删除过程一直在不断发展，以对抗不断出现的恶意软件新伎俩，但这种特殊方法一直是我过去四个月的攻击计划。如果我将来发现它停止工作或需要进行更改，我将返回此页面并进行这些更改。