我的电脑被 Petya 勒索软件加密了。经过长时间的搜索，除了使用文件恢复软件之外，我找不到其他解决方案。

这有点帮助，但我想知道是否有办法完全恢复我的磁盘。我不打算付钱。

可能的重复：
如何从我的 PC 中清除恶意间谍软件、恶意软件、病毒或 rootkit？

我正在为朋友排除 Windows 7 PC 的故障。几天前，它开始运行“缓慢”。事实证明，“慢”是第一次看到桌面大约需要 15 分钟，另外 30 分钟才能显示图标。它是可以打开任务管理器，似乎没有任何出错，CPU占用率在1-5％，大量的内存免费的。

不过，这台机器显然感染了恶意软件，特别是一个名为“Optimizer Pro”的程序要钱来“删除降低我计算机速度的 5102 个文件”。这似乎非常可疑。

不过，我的问题是，我无法访问msconfig（我希望将它输入到“开始”菜单并按 Enter 键后，我将其放置了几个小时 - 似乎没有加载任何内容），或者根本无法访问任何内容。我可以从 Linux Live CD 启动，但我真的可以从那里做任何有用的事情吗？

系统还原也没有修复它，安全模式表现出相同的行为。

我叔叔接到假装是 TalkTalk 的黑客的电话，由于他年事已高，而且很累，他们说服他在他的笔记本电脑上做事。当他们开始谈论银行业务等时，他挂断了电话，但他们在他的笔记本电脑上设置了密码，我们无法通过。

他原本是Windows 7，后来升级到了Windows 10，不过是加了本地密码。我试过从 USB 启动，但它想重新安装 Windows，他真的不想丢失他的文件。我试过将它输入到我在另一个站点上找到的 DOS 中：

  Net user administrator /active:yes
  Net user administrator p@ssw0rD

但是我没有任何地方，请有人帮忙吗？

更新

感谢你的帮助。使用 Ubuntu 和 chntpw 并设法删除密码。似乎没有什么不妥，没有安装软件，恶意软件字节也没有发现威胁。我猜我叔叔在他们做任何事情之前就把他们砍掉了。

今天我安装了Windows 7。安装完所有东西后，我查看了任务管理器，发现有些进程NT AUTHORITY\SYSTEM的用户名是。我搜索了一下，看看是什么。

我在一些网站上发现病毒导致了这个（msblaster），在其他网站上我发现它是某种用户，我不知道该相信什么。

在运行最新防病毒套件 (Kaspersky) 的 Windows 7 工作站上，我发现了几个可疑进程。为了查看流程活动，我使用了来自 SysInternals 的出色 ProcessMonitor。

其中之一的可执行文件名称wauctla.exe位于C:\Windows. 更新：该名称可能是故意选择以与wuauclt.exe- Windows 更新代理控制实用程序混淆。

此进程作为系统服务运行。使用管理控制台服务管理单元，我能够将此过程的启动设置从“自动”更改为“已禁用”。但是，我无法通过 MMC 管理单元停止正在运行的进程。

我仍然设法用taskkill /f /PID命令停止了这个过程。我重新启动了操作系统，进程列表中不再显示该进程。

关于从运行 Windows 的计算机中删除通用恶意软件所需的程序，超级用户有一个很好的线程。当可疑进程停止并将其可执行文件移至远离可执行文件搜索路径的安全位置时，我想了解有关新恶意软件的更多信息。

什么样的威胁来自这个文件？有没有可以检测到这种病毒的杀毒软件？它是如何传播的，在这个工作站被感染后，我应该检查同一用户访问过的其他计算机吗？

更新 2：根据关于virustotal 的答案，这里是该恶意软件的virustotal 摘要的链接。

在过去的几周里，我家庭网络上的所有机器在浏览互联网时都遇到了同样的问题。当用户在浏览器地址栏中输入无效 URL 时，请求将发送到http://www1.dlinksearch.com/，而不是默认浏览器行为。据我所知，这是所有机器和所有浏览器。

它是如此一致，我想知道它是否与我们的路由器有关。我们使用 DLink DIR-655 路由器，所以可能线索就在名称中 :)

无论如何，我无法弄清楚如何禁用/删除违规行为。我检查过主机文件、间谍软件、AV 等。有人有任何想法吗？

保罗

PS 抱歉，如果这不是问此类问题的正确地方。我有点卡住了

关于此主题的大多数问题都与人们在自己的无线网络可用时连接到其他人的无线网络有关，并且可以通过转到他们的连接并取消选中“自动连接”框来纠正这种情况。请参阅：“避免在 Windows 7 上自动连接到无线网络”作为示例。

在我的情况下，我注意到 Win 7 会自动连接到任何不安全的 wifi 网络 - 即使我过去从未连接过它。如果我正在旅行并启动 Win 7，它将启动并连接到信号最好的不安全网络，而不会提示我进行确认（注意：在上面的链接中，“Naveen”似乎有同样的问题）。显然，这对我来说是一个安全问题。

此外，当我打开“网络和共享”和“管理无线网络”时，网络不会显示（可能是因为我将其标记为公共网络）。同样，这些是新的，以前从未连接过的无线网络。我总是立即与他们断开连接，但不想一直保持警惕以自动连接到恶意网络。

这大约是一个月前开始的，我记得，Win 7 过去没有这样的行为，我没有乱搞 wifi 设置，也没有使用 3rd 方连接管理器。我确实必须下载一些互联网安全证书才能访问军队网站，但我认为这不会影响网络设置。

我有什么想法可以告诉 Win7 停止自动连接到网络，或者至少在连接前提示我进行确认？

我无法弄清楚这一点。我注意到我的搜索结果最近有点“不同”。

• 我在谷歌搜索时没有登录，但如果我点击“图片”或“视频”，我会显示为已登录。
• 搜索页面的侧边栏中没有维基百科信息。
• 如果我禁用 Ghostery 和 uBlock，很多结果都是广告。

我决定检查开发人员工具并注意到页面中有一个 SyntaxError，我点击了它，它实际上会导致一个 javascript 函数替换谷歌网址。

问题似乎只发生在 Chrome 中，这里是与 firefox 并排的：

我尝试附加 Fiddler Web Debugger 来捕获流量，以便我可以看到我被重定向到的位置。但是一旦我附加了一个网络调试器，它就会消失，我得到了实际的搜索页面......当 Fiddler 捕获时，页面源是完全不同的。

下面是显示它的屏幕截图 gifv。它从被劫持的页面开始，我将光标围在一些粗略的附加 javascript 源文件周围。然后我告诉 Fiddler 捕获流量并刷新我的搜索结果。我所服务的页面完全不同。最后，我再次禁用流量捕获并刷新页面以显示被劫持的页面，并将您带到应该替换网址的带有语法错误的功能。

http://i.imgur.com/gbWkkLp.gifv

我运行了 Malwarebytes 并没有得到任何结果。Spybot 提出了一些点击，但删除它们并没有解决问题。我还使用 Google 提供的工具完全重置了 chrome。如果我使用不同的 Web 配置文件，例如我用来结算帐单的 Web 配置文件，则不会获得任何搜索结果。如果我启用提琴手，我会突然得到结果。

我最近安装了 Windows 7。这是一个全新安装（即不是从另一个版本的 Windows 升级），但我确实安装了许多其他程序。所有主流应用程序 - 没什么古怪的。

从那时起，我的 CPU 使用率一直保持在 50% 左右。

任务管理器显示 ngen.exe 是罪魁祸首。这不是一项长期运行的任务：我可以看到它至少每秒获得一次新的 PID，所以我猜是有什么东西在不断地触发它。

它一直这样做，即使我没有运行任何应用程序。

有没有其他人看到这个？我如何找出导致这种情况的原因？

我是系统管理新手，有一台服务器运行一个带有 HTTP（端口 80）、HTTPS（端口 443）和 SSH（端口 22）的网站。

我正在运行 Ubuntu 11.04。

我使用我的个人笔记本电脑进行了 Nmap 端口扫描，除了这 3 个端口之外，端口 1111 也已打开。这是输出：

1111/tcp open tcpwrapped

然后我做了：

sudo netstat -lntp | grep -F 1111

...并得到以下输出：

tcp 0 0 0.0.0.0:1111 0.0.0.0:* LISTEN 21596/monit

Monit 似乎是 Ubuntu 中的一个监控工具。

• 我应该担心这个吗？

• 如何确定端口 1111 的用途？

• 如果需要，我该如何关闭它？