如何从我的 PC 中删除恶意间谍软件、恶意软件、广告软件、病毒、特洛伊木马或 rootkit？

Question

如果我的 Windows 计算机似乎感染了病毒或恶意软件，我该怎么办？

• 感染的症状是什么？
• 发现感染后该怎么办？
• 我能做些什么来摆脱它？
• 如何防止被恶意软件感染？

这个问题经常出现，建议的解决方案通常是相同的。这个社区 wiki 试图作为最终的、最全面的答案。

随意通过编辑添加您的贡献。

Answer 1

事情是这样的：近年来，恶意软件变得既狡猾又狡猾：

Sneakier，不仅因为它更擅长躲避 rootkit 或 EEPROM 黑客攻击，还因为它可以打包携带。微妙的恶意软件可以隐藏在更明显的感染后面。此处的答案中列出了许多不错的工具，它们可以找到 99% 的恶意软件，但总有 1% 的工具还没有找到。大多数情况下，那 1% 是新的东西：恶意软件工具无法找到它，因为它刚刚出现并且正在使用一些新的漏洞或技术来隐藏工具尚不知道的自己。

恶意软件的保质期也很短。如果您被感染，那么新的 1% 中的某些东西很可能是您感染的一部分。它不会是整个感染：只是其中的一部分。安全工具将帮助您找到并删除更明显和众所周知的恶意软件，并且很可能会删除所有可见的症状（因为您可以继续挖掘直到达到那个程度），但它们可能会留下一些小碎片，例如键盘记录器或者 rootkit 隐藏在安全工具尚不知道如何检查的一些新漏洞后面。反恶意软件工具仍然占有一席之地，但我稍后会谈到。

Nastier，因为它不再只是显示广告、安装工具栏或将您的计算机用作僵尸。现代恶意软件很可能适合银行或信用卡信息。构建这些东西的人不再只是寻找名气的脚本小子；他们现在是受利益驱使的有组织的专业人士，如果他们不能直接从你那里偷东西，他们就会寻找可以转身出售的东西。这可能是您计算机中的处理或网络资源，但也可能是您的社会保险号或加密您的文件并扣押它们以索取赎金。

将这两个因素放在一起，即使尝试从已安装的操作系统中删除恶意软件也不再值得。我曾经非常擅长去除这些东西，以至于我以这种方式度过了我的大部分生活，我什至不再尝试。我不是说它不能完成，但我是说成本/收益和风险分析结果已经改变：它不再值得了。风险太大，获得看似有效的结果太容易了。

在这一点上，很多人会不同意我的观点，但我挑战他们没有足够强烈地权衡失败的后果。你愿意用你的毕生积蓄、你的良好信用，甚至你的身份打赌，你比每天赚数百万的骗子更擅长这个吗？ 如果您尝试删除恶意软件，然后继续运行旧系统，这正是您所做的。

我知道有人在读这个想法，“嘿，我已经从各种机器上清除了几个感染，没有发生任何不好的事情。” 我也是，朋友。我也是。在过去的几天里，我已经清理了我那部分受感染的系统。尽管如此，我建议我们现在需要在该声明的末尾添加“尚未”。你可能有 99% 的效率，但你只需要错一次，失败的后果比以前高得多；一次失败的代价很容易超过所有其他成功。您甚至可能已经有一台机器，里面仍然有一个定时炸弹，只是等待被激活或在报告之前收集正确的信息。即使你现在有一个 100% 有效的流程，这些东西也一直在变化。记住：你必须每次都做到完美；

总而言之，这是不幸的，但如果您确认感染了恶意软件，则您应该首先打开计算机而不是最后一次完全重新铺设计算机。

这是如何实现的：

在您被感染之前，请确保您有办法重新安装任何购买的软件，包括操作系统，它不依赖于存储在内部硬盘上的任何内容。为此，这通常意味着挂在 cd/dvds 或产品密钥上，但操作系统可能要求您自己创建恢复磁盘。¹不要为此依赖恢复分区。如果您等到感染后才确保您拥有需要重新安装的软件，您可能会发现自己再次为相同的软件付费。随着勒索软件的兴起，定期备份数据也非常重要（另外，您知道，定期备份非恶意的东西，例如硬盘驱动器故障）。

当您怀疑自己有恶意软件时，请在此处查看其他答案。有很多好的工具建议。我唯一的问题是使用它们的最佳方式：我只依赖它们进行检测。安装并运行该工具，但一旦发现真正感染的证据（不仅仅是“跟踪 cookie”），只需停止扫描：该工具已完成其工作并确认您的感染。²

在确认感染时，请执行以下步骤：

1. 检查您的信用和银行账户。当您发现感染时，可能已经造成了真正的损害。采取任何必要措施来保护您的卡、银行账户和身份。
2. 在您从受感染计算机访问的任何网站上更改密码。请勿使用受感染的计算机执行任何此类操作。
3. 备份您的数据（如果您已经有了，那就更好了）。
4. 使用直接从操作系统发行商处获得的原始介质重新安装操作系统。确保重新安装包括完全重新格式化您的磁盘；系统还原或系统恢复操作是不够的。
5. 重新安装您的应用程序。
6. 确保您的操作系统和软件已打完补丁并且是最新的。
7. 运行完整的防病毒扫描以清除第三步中的备份。
8. 恢复备份。

如果操作得当，这可能会花费您 2 到 6 个小时的时间，在您等待应用安装、Windows 更新下载或大型备份文件之类的事情时，会持续两到三天（甚至更长时间）转移……但总比后来发现骗子耗尽了你的银行账户要好。不幸的是，这是你应该自己做的事情，或者让一个技术朋友为你做。以大约 100 美元/小时的典型咨询费率计算，购买一台新机器可能比付钱给一家商店更便宜。如果你有朋友为你做这件事，做些好事来表达你的感激之情。即使是喜欢帮助您设置新事物或经常修复损坏硬件的极客讨厌单调乏味的清理工作。如果你自己备份也是最好的……你的朋友不会知道你把哪些文件放在哪里，或者哪些对你来说真的很重要。与他们相比，您处于更好的位置来进行良好的备份。

很快，即使所有这些都可能还不够，因为现在有能够感染固件的恶意软件。即使更换硬盘驱动器也可能无法消除感染，购买新电脑将是唯一的选择。谢天谢地，在我写这篇文章的时候，我们还没有到那个地步，但它肯定在地平线上并且很快就会到来。

如果你绝对坚持，毫无理由，你真的想清理你现有的安装而不是重新开始，那么为了上帝的爱，请确保你使用的任何方法都涉及以下两个过程之一：

• 卸下硬盘驱动器并将其作为访客磁盘连接到另一台（干净！）计算机中以运行扫描。

或者

• 使用自己的工具集运行自己的内核，从 CD/USB 密钥启动。确保获得此图像并在干净的计算机上刻录。如有必要，请一位朋友为您制作磁盘。

在任何情况下，您都不应尝试使用作为受感染操作系统的来宾进程运行的软件来清理受感染的操作系统。那简直是愚蠢至极。

当然，修复感染的最佳方法是首先避免感染，您可以采取一些措施来帮助解决此问题：

1. 保持您的系统打补丁。确保及时安装 Windows 更新、Adobe 更新、Java 更新、Apple 更新等。这甚至比防病毒软件重要得多，而且在大多数情况下，只要您保持最新状态，这并不难。大多数这些公司已经非正式地决定在每个月的同一天发布新补丁，所以如果你保持最新状态，它就不会经常打扰你。Windows 更新中断通常仅在您忽略它们太长时间时发生。如果这种情况经常发生在你身上，你就应该改变自己的行为。这些很重要，连续选择“稍后安装”选项是不行的，即使现在更容易。
2. 默认情况下不要以管理员身份运行。在最新版本的 Windows 中，只需打开 UAC 功能即可。
3. 使用一个好的防火墙工具。现在，Windows 中的默认防火墙实际上已经足够好了。您可能希望使用 WinPatrol 之类的东西来补充这一层，以帮助阻止前端的恶意活动。Windows Defender 在某种程度上也以这种能力工作。基本的 Ad-Blocker 浏览器插件在这一级别上也变得越来越有用，作为一种安全工具。
4. 将大多数浏览器插件（尤其是 Flash 和 Java）设置为“询问激活”。

5. 运行当前的防病毒软件。这是其他选项的五分之一，因为传统的 A/V 软件通常不再那么有效。强调“当前”也很重要。您可以拥有世界上最好的防病毒软件，但如果它不是最新的，您也可以卸载它。

   为此，我目前推荐 Microsoft Security Essentials。（从 Windows 8 开始，Microsoft Security Essentials 是 Windows Defender 的一部分。）那里可能有更好的扫描引擎，但 Security Essentials 将保持自己最新，而不会冒注册过期的风险。AVG 和 Avast 也以这种方式运行良好。我只是不能推荐您必须实际付费购买的任何防病毒软件，因为付费订阅失效并且您最终得到过时的定义的情况太普遍了。

   这里还值得注意的是，Mac 用户现在也需要运行防病毒软件。他们可以离开它的日子早已一去不复返了。顺便说一句，我认为这很有趣，我现在必须建议 Mac 用户购买防病毒软件，但建议 Windows 用户不要使用它。

6. 避免洪流网站、warez、盗版软件和盗版电影/视频。这些东西通常由破解或发布它的人注入恶意软件 - 并非总是如此，但通常足以避免整个混乱。这就是为什么饼干会这样做的部分原因：通常他们会从任何利润中分一杯羹。
7. 浏览网页时请动动脑子。您是安全链中最薄弱的环节。如果某件事听起来好得令人难以置信，那可能就是这样。下载新软件时，最明显的下载按钮很少是您想再使用的按钮，因此请务必在单击该链接之前阅读并理解网页上的所有内容。如果您看到一个弹出窗口或听到一条声音消息，要求您致电 Microsoft 或安装一些安全工具，那么这是假的。
   此外，更喜欢直接从供应商或开发商而不是第三方文件托管网站下载软件和更新/升级。

_{¹ Microsoft 现在发布了Windows 10 安装媒体，因此您可以合法地免费下载和写入 8GB 或更大的闪存驱动器。您仍然需要有效的许可证，但您不再需要用于基本操作系统的单独恢复磁盘。}

_{²现在是指出我已经稍微软化了我的方法的好时机。今天，大多数“感染”都属于 PUP（潜在有害程序）和其他下载中包含的浏览器扩展的类别。通常，这些 PUP/扩展程序可以通过传统方式安全地删除，而且它们现在占恶意软件的比例足够大，我可能会在此时停止，只需尝试添加/删除程序功能或普通浏览器选项即可删除扩展程序。然而，在更深层次的第一个迹象——任何暗示软件都不会正常卸载——并且它又回到了重新铺设机器。}

Answer 2

如何判断我的电脑是否被感染？

恶意软件的一般症状可以是任何东西。通常的有：

• 机器比正常慢。
• 随机故障和不应该发生的事情（例如，一些新病毒在您的机器上设置组策略限制以阻止任务管理器或其他诊断程序运行）。
• 当您认为您的机器应该空闲（例如 <5%）时，任务管理器会显示高 CPU。
• 广告随机弹出。
• 从您不记得安装的防病毒软件中弹出病毒警告（防病毒程序是假的，并试图声称您拥有名称为“bankpasswordstealer.vir”的可怕病毒。我们鼓励您为此程序付费以清除它们）。
• 弹出窗口/假蓝屏死机 (BSOD) 要求您拨打一个号码来修复感染。
• 重定向或阻止的 Internet 页面，例如，AV 产品或支持站点（www.symantec.com、www.avg.com、www.microsoft.com）的主页被重定向到充满广告的站点，或宣传虚假反渗透的虚假站点病毒/“有用”的清除工具，或者完全被阻止。
• 增加了启动时间，当你还没有安装任何应用程序（或补丁）时……这很尴尬。
• 您的个人文件已加密，您会看到赎金记录。
• 任何出乎意料的事情，如果您“了解”您的系统，您通常会知道什么时候出现问题。

我该如何摆脱这个？

使用 Live CD

由于受感染 PC 的病毒扫描程序可能会受到威胁，因此从 Live CD 扫描驱动器可能更安全。CD 将在您的计算机上启动一个专门的操作系统，然后它将扫描硬盘驱动器。

例如，有Avira Antivir Rescue System或ubcd4win。更多建议可以在免费启动防病毒救援 CD 下载列表中找到，例如：

• 卡巴斯基救援光盘
• BitDefender 救援 CD
• F-安全救援CD
• Avira Antivir 救援盘
• 三位一体救援套件 CD
• AVG救援CD

将硬盘驱动器连接到另一台 PC

如果您将受感染的硬盘驱动器连接到干净的系统以进行扫描，请确保更新将用于扫描受感染驱动器的所有产品的病毒定义。等待一周让防病毒提供商发布新的病毒定义可以提高您检测到所有病毒的机会。

确保您的受感染系统在发现它被感染后立即与 Internet 断开连接。这将阻止它下载新版本的病毒（除其他外）。

从一个好的工具开始，例如Spybot Search and Destroy或Malwarebytes 的 Anti-Malware，然后执行全面扫描。还可以尝试ComboFix和SuperAntiSpyware。没有一个防病毒产品具有所有病毒定义。使用多种产品是关键（不是为了实时保护）。如果系统中只剩下一种病毒，它或许能够下载并安装所有最新版本的新病毒，而迄今为止的所有努力都将是白费。

从启动中删除可疑程序

1. 以安全模式启动。
2. 使用msconfig以确定哪些程序和服务在开机启动（或在Windows 8下的任务管理器启动）。
3. 如果有可疑的程序/服务，请将它们从引导中删除。否则跳到使用 Live CD。
4. 重新开始。
5. 如果症状没有消失和/或程序在启动时自行替换，请尝试使用名为Autoruns的程序查找该程序，然后将其从那里删除。如果您的计算机无法启动，Autoruns 有一项功能，可以在名为“分析离线 PC”的第二台 PC 上运行它。尤其要注意Logon和Scheduled tasks选项卡。
6. 如果删除程序仍然没有成功，并且您确定它是导致问题的原因，请启动到常规模式，并安装一个名为Unlocker的工具
7. 导航到该病毒所在文件的位置，并尝试使用解锁程序将其杀死。可能会发生一些事情：
   1. 该文件被删除，并且不会在重新启动时重新出现。这是最好的情况。
   2. 该文件被删除，但立即重新出现。在这种情况下，使用名为Process Monitor的程序找出重新创建文件的程序。您还需要删除该程序。
   3. 该文件无法删除，解锁器会在重新启动时提示您将其删除。这样做，看看它是否再次出现。如果是这样，您必须在启动时有一个导致这种情况发生的程序，并重新检查在启动时运行的程序列表。

恢复后做什么

现在应该可以安全（希望）引导到（以前）受感染的系统中。尽管如此，请睁大眼睛观察感染迹象。病毒可能会在计算机上留下一些更改，即使在病毒已被删除后，这些更改也会使其更容易重新感染。

例如，如果病毒更改了 DNS 或代理设置，您的计算机会将您重定向到合法网站的假冒版本，因此下载看似众所周知且受信任的程序实际上可能是在下载病毒。

他们还可以通过将您重定向到虚假银行账户网站或虚假电子邮件网站来获取您的密码。请务必检查您的 DNS 和代理设置。在大多数情况下，您的 DNS 应该由您的 ISP 提供或由 DHCP 自动获取。您的代理设置应该被禁用。

检查您的hosts文件 ( \%systemroot%\system32\drivers\etc\hosts) 是否有任何可疑条目并立即将其删除。还要确保您的防火墙已启用并且您拥有所有最新的 Windows 更新。

接下来，使用良好的防病毒软件保护您的系统，并使用防恶意软件产品对其进行补充。Microsoft Security Essentials通常与其他产品一起推荐使用。

如果一切都失败了怎么办

应该注意的是，某些恶意软件非常擅长避开扫描程序。一旦您被感染，它可能会安装rootkit或类似程序以保持隐身。如果情况真的很糟糕，唯一的选择是擦除磁盘并从头开始重新安装操作系统。有时，使用GMER或卡巴斯基的TDSS Killer进行扫描可以显示您是否有 rootkit。

您可能想要运行几次 Spybot Search 和 Destroy。如果运行 3 次后仍无法消除感染（并且您无法手动完成），请考虑重新安装。

另一个建议：当 rootkit 阻止其他东西运行或安装时，Combofix是一个非常强大的删除工具。

使用多个扫描引擎当然可以帮助找到最好隐藏的恶意软件，但这是一项繁重的任务，一个好的备份/恢复策略将更加高效和安全。

奖励：Sysinternals ProcessExplorer & Autoruns 的创建者 Mark Russinovich有一个有趣的视频系列，以“了解和打击恶意软件：病毒、间谍软件”开头，内容是关于恶意软件清理的。

Answer 3

Jeff Atwood 的“如何清理 Windows 间谍软件感染”中有一些很好的恶意软件对抗技巧。这是基本过程（请务必通读博文以获取此摘要所掩盖的屏幕截图和其他详细信息）：

1. 停止当前运行的任何间谍软件。Windows 的内置任务管理器不会削减它；获取Sysinternals 进程资源管理器。
   1. 运行进程资源管理器。
   2. 按公司名称对流程列表进行排序。
   3. 杀死任何没有公司名称的进程（不包括 DPC、中断、系统和系统空闲进程），或具有您不认识的公司名称的进程。
2. 下次系统启动时阻止间谍软件重新启动。同样，Windows 的内置工具 MSconfig 是部分解决方案，但Sysinternals AutoRuns是要使用的工具。
   1. 运行自动运行。
   2. 浏览整个列表。取消选中可疑条目 - 那些带有空白发布者名称或任何您不认识的发布者名称的条目。
3. 现在重新启动。
4. 重新启动后，使用 Process Explorer 和 AutoRuns 重新检查。如果有什么东西“回来了”，你就必须深入挖掘。
   • 在 Jeff 的示例中，返回的一项内容是 AutoRuns 中的可疑驱动程序条目。他通过跟踪在进程资源管理器中加载它的进程、关闭句柄和物理删除流氓驱动程序来讨论。
   • 他还发现了一个挂在 Winlogon 进程中的名字奇怪的 DLL 文件，并演示了如何查找并杀死加载该 DLL 的进程线程，以便 AutoRuns 最终可以删除这些条目。

Answer 4

我删除恶意软件的方法是有效的，而且我从未见过它失败：

1. 下载Autoruns，如果您仍然运行 32 位，请下载一个 rootkit 扫描程序。
2. 如果可以，启动到安全模式并启动自动运行，然后转到步骤 5。
3. 如果您无法进入安全模式，请将磁盘连接到另一台计算机。
4. 在该计算机上启动 Autoruns，转到 File -> Analyze Offline System 并填写它。
5. 等待扫描完成。
6. 在选项菜单中，选择所有内容。
7. 按 F5 让它再次扫描。随着事物被缓存，这将很快。
8. 查看列表并取消选中任何明显或没有经过验证的公司。
9. 可选：运行 rootkit 扫描程序。
10. 让顶级病毒扫描程序删除留下的所有文件。
11. 可选：运行反恶意软件和反间谍软件扫描程序以清除垃圾。
12. 可选：运行 HijackThis/OTL/ComboFix 等工具来清除垃圾。
13. 重新启动并享受干净的系统。
14. 可选：再次运行 rootkit 扫描程序。
15. 确保您的计算机受到充分保护！

一些备注：

• Autoruns 由 Microsoft 编写，因此显示自动启动的任何位置...
• 一旦从 Autoruns 中取消选中软件，它就不会启动，也无法阻止您将其删除...
• 不存在适用于 64 位操作系统的 rootkit，因为它们需要签名...

它是有效的，因为它会从启动开始禁用恶意软件/间谍软件/病毒，
您可以自由运行可选工具来清除系统上留下的任何垃圾。

Answer 5

按照下面给出的顺序对您的 PC 进行消毒

1. 在未受感染的 PC 上，制作引导 AV 光盘，然后从受感染 PC 上的光盘引导并扫描硬盘驱动器，删除发现的所有感染。我更喜欢Windows Defender 离线引导 CD/USB，因为它可以删除引导扇区病毒，请参阅下面的“注意”。

   或者，您可以尝试一些其他 AV 启动光盘。

2. 使用启动盘扫描并删除恶意软件后，安装免费的MBAM，运行程序并转到更新选项卡并更新它，然后转到扫描程序选项卡并进行快速扫描，选择并删除它找到的任何内容。

3. 当MBAM 完成安装SAS免费版本后，运行快速扫描，删除它自动选择的内容。

4. 如果 Windows 系统文件被感染，您可能需要运行 SFC来替换文件，如果由于被感染的系统文件被删除而无法启动，您可能必须脱机执行此操作。我建议您在完成任何感染清除后运行 SFC。

5. 在某些情况下，您可能需要运行启动修复（仅限 Windows Vista 和 Windows7）才能使其再次正常启动。在极端情况下，可能需要连续进行 3 次启动维修。

MBAM 和 SAS 不是像 Norton 那样的 AV 软件，它们是按需扫描程序，只在您运行程序时扫描恶意软件，并且不会干扰您安装的 AV，它们可以每天或每周运行一次以确保您没有受到感染。确保在每天每周扫描之前更新它们。

注意：Windows Defender Offline 产品非常擅长消除目前常见的持续性 MBR 感染。

.

对于高级用户：

如果您有一个表现为软件的单一感染，即“系统修复”“AV 安全 2012”等， 请参阅此页面以获取特定的删除指南

.

Answer 6

如果您发现任何症状，那么需要检查的一件事是网络连接上的 DNS 设置。

如果这些已从“自动获取 DNS 服务器地址”更改为与应为的服务器不同的服务器，那么这是您受到感染的好兆头。这将是重定向远离反恶意软件站点的原因，或者根本无法访问该站点。

在感染发生之前记下您的 DNS 设置可能是个好主意，这样您就知道它们应该是什么。此外，详细信息将在您的 ISP 网站的帮助页面上提供。

如果您没有 DNS 服务器的备注并且无法在您的 ISP 站点上找到信息，那么使用 Google DNS 服务器是一个不错的选择。它们分别位于主服务器和辅助服务器的 8.8.8.8 和 8.8.4.4。

虽然重置 DNS 不会解决问题，但它可以让您 a) 访问反恶意软件站点以获取清理 PC 所需的软件，以及 b) 发现感染是否再次发生，因为 DNS 设置将再次更改。

Answer 7

勒索软件

一种更新的、特别可怕的恶意软件是勒索软件。这种程序通常带有特洛伊木马程序（例如电子邮件附件）或浏览器漏洞利用程序，它会遍历您计算机的文件，对其进行加密（使它们完全无法识别和无法使用），并要求赎金以将它们恢复为可用的状态。

勒索软件通常使用非对称密钥加密，它涉及两个密钥：公钥和私钥。当您受到勒索软件的攻击时，您计算机上运行的恶意程序会连接到坏人的服务器（命令与控制或 C&C），后者会生成两个密钥。它只将公钥发送到您计算机上的恶意软件，因为这就是加密文件所需的全部内容。不幸的是，这些文件只能用私钥解密，如果勒索软件编写得很好，私钥甚至不会进入您的计算机内存。坏人通常会说，如果您付款，他们会给您私钥（从而让您解密文件），但当然您必须信任他们这样做。

你可以做什么

最好的选择是重新安装操作系统（以删除所有恶意软件的痕迹）并从您之前所做的备份中恢复您的个人文件。如果您现在没有备份，这将更具挑战性。养成备份重要文件的习惯。

付费可能会让您恢复您的文件，但请不要这样做。这样做支持他们的商业模式。另外，我说“可能会让你恢复”，因为我知道至少有两种写得很糟糕，以至于它们无法修复地破坏了你的文件；即使相应的解密程序实际上也不起作用。

备择方案

幸运的是，还有第三种选择。许多勒索软件开发人员犯了错误，让优秀的安全专业人员开发出消除损害的流程。这样做的过程完全取决于勒索软件的压力，并且该列表在不断变化。一些优秀的人整理了一大串勒索软件变种列表，包括应用于锁定文件的扩展名和勒索信名称，它们可以帮助您识别您拥有的是哪个版本。对于相当多的菌株，该列表还包含指向免费解密器的链接！按照适当的说明（链接位于 Decryptor 列中）恢复您的文件。在开始之前，请使用此问题的其他答案来确保勒索软件程序已从您的计算机中删除。

如果您无法仅从扩展名和赎金票据名称中识别出您受到的攻击，请尝试在 Internet 上搜索赎金票据中的一些独特短语。拼写或语法错误通常是相当独特的，您可能会遇到识别勒索软件的论坛帖子。

如果您的版本未知，或者没有免费解密文件的方法，请不要放弃希望！安全研究人员正在努力消除勒索软件，执法部门正在追捕开发人员。解密器最终可能会出现。如果赎金是有时间限制的，则可以想象，在开发修复程序时，您的文件仍然可以恢复。即使没有，请不要付款，除非您绝对必须这样做。在等待期间，请确保您的计算机没有恶意软件，再次使用此问题的其他答案。考虑备份文件的加密版本以确保它们的安全，直到修复程序出现。

一旦您尽可能多地恢复（并将其备份到外部媒体！），强烈考虑从头开始安装操作系统。同样，这将吹走任何深入系统内部的恶意软件。

其他特定于变体的提示

一些尚未出现在大型电子表格中的特定于勒索软件变体的提示：

• 如果解密工具为LeChiffre不起作用，你可以恢复所有，但使用十六进制编辑器每个文件的数据的第一个和最后一个8KB。跳转到地址 0x2000 并复制除最后 0x2000 字节之外的所有字节。小文件将被完全破坏，但通过一些摆弄，您可能能够从较大的文件中获得一些有用的东西。
• 如果您被WannaCrypt攻击，并且您运行的是 Windows XP，自感染以来尚未重新启动，并且幸运的话，您可能能够使用Wannakey提取私钥。
• Bitdefender有许多免费工具来帮助识别变体并解密某些特定变体。
• （其他人会在发现时添加）

结论

勒索软件令人讨厌，可悲的现实是，它并不总是可以从中恢复。为了在未来确保自己的安全：

• 使您的操作系统、Web 浏览器和防病毒软件保持最新状态
• 不要打开您不期望的电子邮件附件，尤其是在您不认识发件人的情况下
• 避免粗略的网站（即那些包含非法或道德可疑内容的网站）
• 确保您的帐户只能访问您个人需要处理的文件
• 始终在外部媒体（未连接到您的计算机）上进行工作备份！

Answer 8

有各种各样的恶意软件。查找和删除其中一些是微不足道的。其中一些比较棘手。其中一些真的很难找到，也很难去除。

但即使您有轻微的恶意软件，您也应该强烈考虑重新安装和重新安装操作系统。这是因为您的安全措施已经失败，如果它因为一个简单的恶意软件而失败，那么您可能已经感染了恶意软件。

处理敏感数据或保存敏感数据的内部网络的人员应强烈考虑擦除并重新安装。时间宝贵的人应该强烈考虑擦除并重新安装（这是最快，最简单和最可靠的方法）。对高级工具不满意的人应该强烈考虑擦除并重新安装。

但是有时间，喜欢闲逛的人可以尝试其他帖子中列出的方法。

Answer 9

病毒感染的可能解决方案依次为：(1) 防病毒扫描，(2) 系统修复，(3) 完全重新安装。

首先确保备份所有数据。

加载并安装一些防病毒软件，确保它们是最新的，并深入扫描您的硬盘。我建议至少使用Malwarebytes 的 Anti-Malware。我也喜欢 Avast。

如果由于任何原因不起作用，您可以使用救援 live-CD 病毒扫描程序：我最喜欢Avira AntiVir Rescue System，因为它每天更新几次，因此下载 CD 是最新的。作为引导 CD，它是自主的，不能使用您的 Windows 系统。

如果未发现病毒，请使用“sfc /scannow”修复重要的 Windows 文件。
请参阅这篇文章。

如果这也不起作用，您应该执行修复安装。

如果没有任何效果，您应该格式化硬盘并重新安装 Windows。

Answer 10

我想添加到讨论中的另一个工具是Microsoft 安全扫描程序。它在几个月前刚刚发布。它有点像恶意软件删除工具，但专为离线使用而设计。它将在您下载时具有最新定义，并且只能使用 10 天，因为它会认为其定义文件“太旧而无法使用”。用另一台计算机下载它并在安全模式下运行它。它工作得很好。

Answer 11

先说一点理论：请意识到理解是无可替代的。

最终的防病毒软件是了解您在做什么，以及您的系统、您自己的想法和所谓的现实中正在发生的事情。

再多的软件或硬件都无法完全保护您免受您自己和您自己的行为的侵害，这在大多数情况下是恶意软件首先进入系统的方式。

大多数现代“生产级”恶意软件、广告软件和间谍软件都依靠各种“社会工程”技巧来欺骗您安装“有用”的应用程序、附加组件、浏览器工具栏、“病毒扫描程序”或单击Download将在其上安装恶意软件的大绿色按钮你的机器。

即使是一个被认为是可信的应用程序的安装程序，例如 uTorrent，如果您只需单击Next按钮，默认情况下就会安装广告软件和可能的间谍软件，并且不要花时间阅读所有复选框的含义。

对抗黑客使用的社会工程技巧的最佳方法是逆向社会工程——如果您掌握了这项技术，即使没有防病毒软件或防火墙，您也将设法避免大多数类型的威胁并保持系统清洁和健康。

如果您注意到系统中存在恶意/未经请求的生命形式的迹象，唯一干净的解决方案是完全重新格式化并重新安装您的系统。按照此处其他答案中的说明进行备份，快速格式化光盘并重新安装系统，或者更好的是，将有用数据移动到某个外部存储设备，并从您之前制作的干净分区转储中重新映像系统分区。

某些计算机具有 BIOS 选项，可将系统恢复为原始出厂设置。即使这看起来有点矫枉过正，但它永远不会受到伤害，更重要的是，这将解决所有其他最终问题，无论您是否意识到它们，而无需逐一处理每个问题。

“修复”受损系统的最佳方法是根本不修复它，而是使用某种分区映像软件（例如 Paragon Disk Manager、Paragon HDD Manager、Acronys Disk Manager）恢复到已知的“良好”快照，或者例如，dd如果您从 Linux 进行备份。

Answer 12

参考上面的威廉希尔苏姆“我如何摆脱这个：使用 Live CD”：

病毒将无法在 Live CD 环境中运行，因此您可以临时使用您的计算机而不必担心进一步感染。最重要的是，您可以访问所有文件。2011 年 6 月 20 日，贾斯汀·波特写了一本名为“Live CD 的 50 个酷用途”的小册子。这本小册子的开头解释了如何从 CD、闪存驱动器或 SD 卡启动，第 19-20 页解释了使用不同的“反恶意软件”进行扫描，其中一些已经提到过。给出的建议对于这种情况非常宝贵，并以易于理解的英语解释。当然，小册子的其余部分对于您的其他计算需求非常宝贵。（下载链接（PDF 格式）从下面的链接中提供。在使用互联网时永远记住要理智，不要被诱惑误入“地方” 恶意软件很可能潜伏在那里，您应该没事。您可能使用的任何防病毒软件、Internet 安全套件等都应具有最新更新，并且您可能使用的任何操作系统也应保持最新。

http://www.makeuseof.com/tag/download-50-cool-live-cds/

单击或复制并粘贴上述链接后，请单击

下载 Live CD 的 50 个酷用途（以蓝色书写）

请注意我试图在评论部分写这个，但无法适应。所以我在官方答案中给出了它，因为它是无价的。

Answer 13

两个重要的点：

1. 首先不要被感染。使用良好的防火墙和防病毒软件，并练习“安全计算”——远离有问题的站点，避免在不知道来自何处的内容时下载内容。
2. 请注意，网络上的许多站点会告诉您您已“被感染”，而实际上您并没有——他们想诱骗您购买他们的垃圾反间谍软件，或者更糟的是，他们希望您下载以下内容，事实上，间谍软件伪装成“免费的反间谍软件应用程序”。同样，请注意，该站点上的许多人（主要是出于愚蠢）将诊断任何“奇怪”错误，尤其是 Windows 著名的那种注册表损坏，作为间谍软件的迹象。

Answer 14

正如本主题之前所建议的，如果您确定自己已被感染，请使用 linux live CD 启动您的计算机并立即备份所有敏感数据。

将敏感文件存储在与操作系统启动驱动器不同的硬盘驱动器中也是一个好习惯。通过这种方式，您可以安全地格式化受感染的系统并对您的敏感数据进行全面扫描，以确保安全。

事实上，除了格式化系统分区以确保您运行无病毒和恶意软件的环境之外，没有最好的解决方案。即使你运行了一个很好的工具（毫无疑问，那里有很多），总会有遗留的东西，你的系统目前看起来很干净，但它肯定会变成一个等待稍后爆炸的定时炸弹。

Answer 15

2012 年 12 月 8 日，Remove-Malware 发布了一个名为“Remove Malware Free 2013 Edition”的视频教程以及概述如何免费从受感染的 PC 中清除恶意软件的补充指南。

他们概述了

• 备份 – 如何备份您的重要个人文件，以防您的 PC 无法访问。
• 收集本指南所需的软件。
• 可启动防病毒软件 - 为什么可启动防病毒软件是删除恶意软件的最佳方式。
• 可启动防病毒光盘 - 如何创建可启动防病毒光盘。
• 可启动防病毒光盘 - 如何使用可启动防病毒光盘扫描您的 PC。
• 清理 - 将残余物收集起来并将其移除。
• 防止它再次发生

视频教程时长超过1 小时，与书面指南一起是极好的资源。

视频教程：链接

书面指南：链接

更新：

今天由 J. Brodkin 于 2013 年 2 月 1 日撰写的一篇内容丰富的文章，题为“病毒、特洛伊木马和蠕虫，我的天：恶意软件的基础知识 移动恶意软件可能很流行，但 PC 恶意软件仍然是大问题。” 来自 arstechnica.com 的文章强调了恶意软件和不同类型恶意软件的持续问题，并对每个问题进行了解释，突出显示：

• 后门
• 远程访问木马
• 信息窃取者
• 勒索软件

文章还重点介绍了恶意软件的传播、僵尸网络操作和受到攻击的企业。