Wkuno

Hvordan du fjerner spionprogrammer manuelt (windows)

Du har gått gjennom alle de tradisjonelle trinn, forsøkte Ad-Aware og Spybot og HijackThis, og du fortsatt har spyware. Hva nå? Vel, kan du prøve å følge denne manuell fjerning guide. Det er ikke for svak til hjertet, og det kan faktisk være mindre krefter å bare sikkerhetskopiere filene dine, må du formatere harddisken og reinstallere Windows. Ved hjelp av denne metoden, må du ha full tilgang til en ren datamaskin for å reparere den infiserte maskinen.

Trinn

Hvordan du fjerner spionprogrammer manuelt (windows). Slå av den infiserte datamaskinen.
Hvordan du fjerner spionprogrammer manuelt (windows). Slå av den infiserte datamaskinen.
  1. 1
    Slå av den infiserte datamaskinen. Åpne saken og ta sin viktigste harddisk (den inneholder OS-partisjon).
  2. 2
    Hvis du har en usb/ieee1394 ekstern harddisk kabinett, kan du koble den infiserte stasjonen til at i stedet for å fullføre de to neste trinnene.
  3. 3
    Slå av ren datamaskin. Åpne saken og koble den infiserte stasjonen.
  4. 4
    Slå på ren datamaskin. Vær helt sikker på at den starter i den rene OS, ikke fra den infiserte stasjonen! De fleste PCer har en boot valg-menyen som kan nås via F11 eller ESC snart etter slått på.
  5. 5
    Kontroller at du kan se alle filene. Når den rene datamaskinens operativsystem er startet, skal du ønsker å rense ut midlertidige filer fra den infiserte stasjonen, for å gjøre det lettere å søke. Men først vil du se alle filer, selv skjulte filer og systemfiler. Gå til "Control Panel" -> "Mappealternativer" og klikk på "View"-fanen på toppen av "Folder Options"-vinduet. Du kommer til å ønske å endre følgende valg:
    • Slå PÅ: Vise innholdet i system mapper
    • Slå PÅ: Vis skjulte filer og mapper
    • Slå AV: Skjul filetternavn for kjente filtyper.
    • Slå AV: Skjul beskyttede operativsystem filer (anbefales)
  6. 6
    Legg merke til stasjonsbokstaven for infiserte stasjonen. Det er trolig kommer til å være E: eller F:, avhengig av antall harddisker, skillevegger, og CD / DVD-stasjoner du har i din ren datamaskin. La oss anta at vi har å gjøre med F: stasjonen for denne artikkelen.
  7. 7
    Tømme midlertidige mapper. Når du midlertidige filer mapper er fjernet, er det mange færre filer å søke gjennom. Dette bør gjøre de neste trinnene litt mindre kjedelig. Noen av disse stedene er kanskje ikke eksisterer, kan noen være på litt forskjellige steder. Det er viktig at du finner og tømme bufferen for alle nettlesere (IE / Netscape / Firefox / Opera), og at du tømmer den for hver enkelt bruker! Sjekk følgende mapper og slette innholdet, men ikke de katalogene selv.
    • F: \ TEMP
    • F: \ Windows \ TEMP eller F: \ WINNT \ Temp (Kun NT4 og Windows 2000 bruker "WinNT")
    • F: \ WINNT \ Profiles \ Brukernavn \ Lokale innstillinger \ Temp
    • F: \ WINNT \ Profiles \ Brukernavn \ Lokale innstillinger \ Temporary Internet Files
    • F: \ WINNT \ Profiles \ Brukernavn \ Lokale innstillinger \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
    • F: \ Documents and Settings \ Brukernavn \ Lokale innstillinger \ Temp
    • F: \ Documents and Settings \ Brukernavn \ Lokale innstillinger \ Temporary Internet Files
    • F: \ Documents and Settings \ Brukernavn \ Lokale innstillinger \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
  8. 8
    Sørg for at papirkurven er tømt for alle filer.
  9. 9
    Prøv å sikkerhetskopiere den infiserte stasjon til en mappe på den rene datamaskinen, hvis du har plass. Hvis du kan muligens sikkerhetskopiere hele stasjonen, gjør det. Ellers bør du være i stand til å komme unna med bare "Documents and Settings"-mappen ("Profiler" under NT4) og kanskje noen av spillene mapper (noen spill lagrer sine lagrede spill, kart, toppscore, etc i sitt program mappe).
  10. 10
    Utfør en full antivirus og spyware gjennomsøking av datamaskinen din. Dette vil forhåpentligvis finne noen ting på den infiserte F: drive og fjerne dem.
    • Last ned og installer både Spybot Search and Destroy og Lavasoft AdAware. Det er viktig at du bruker begge disse verktøyene, som de vil ofte finne mer malware sammen.
    • Oppdater definisjonsfiler når du blir bedt.
    • Skanne maskinen (dette kan ta en stund).
    • Fjern eventuelle spionprogrammer som er funnet.
    • Kontroller at du har et antivirusprogram installert og up-to-date. Utfør en full system scan og fjerne eventuelle virus, trojanere og ormer den finner.
  11. 11
    Når alle skanninger er fullført, gå til "C: \ Program Files" (på ditt rene PC-stasjon) og kopiere hele program kataloger for Spybot, Ad-Aware, og din anti-virus til en ny katalog på din infisert stasjon, kalt "F: \ Cleaners". Også kopiere montører for disse programmene til "F: \ Cleaners"-mappen. Du kan trenge dem senere.
  12. 12
    Hit windowskey + f for å få opp finne filer-vinduet. Hvis du ser en dum liten animert hund, kan det være lurt å slå ham, fordi han gjør søker mye mer irriterende. Søkealternativene du vil ønske å bruke for søkene vi skal utføre er "Søk etter Alle filer og mapper" med følgende "Avanserte alternativer" slått PÅ:
    • Søk system mapper
    • Søk i skjulte filer og mapper
    • Søk i undermapper
  13. 13
    Se bare på F: \-stasjonen for filnavn matchende "* exe.", Og som har blitt endret i den siste uken. Bare skriv "* exe.": "Asterisk periode exe", og angi "i forrige uke." Det kan være lurt å prøve å søke etter "siste måneden" i tillegg, avhengig av hvor lenge du har blitt infisert.
    • Kjør søket. La den gå til den er ferdig.
    • Undersøke filene den finner. Noen av dem kan du kjenne igjen, spesielt hvis du nylig har installert noen programmer. For eksempel, hvis du nylig har oppgradert eller installert Lavasoft Ad-Aware, kan du se "F: \ Programfiler \ Lavasoft \ Ad-Aware SE Personal \ Ad-Aware.exe" i denne listen. Ignorer denne typen filer. Den slags fil du leter etter er vanligvis i F: \ Windows \ system32, mindre enn 100KB i størrelse, og har et morsomt navn som "lkaljya.exe"
    • Eventuelle filer du finner bør flyttes inn i en midlertidig katalog før du kan bekrefte at de er legit. For eksempel kan du lage en mappe "F: \ karantene" og flytte dem inn i en undermappe "F: \ karantene \ Windows \ system32" der inne.
    • Noen ondsinnede filer er også skjult i F: \ Windows \ system32 \ drivers katalogen vil de også har morsomme navn som "lkaljya.sys".
    • Eventuelle filer du finner bør flyttes inn i en midlertidig katalog før du kan bekrefte at de er legit. For eksempel kan du lage en mappe "F: \ karantene" og flytte dem inn i en undermappe "F: \ karantene \ Windows \ system32 \ drivers" i det.
    • Hvis du har en on-tilgang anti-virus program, kan det faktisk begynne å klage på at det finnes en trojan det andre du velge den mistenkte filen. Hvis den gjør det, så ikke bry karantene det, bare la antivirus slette den.
    • Vær spesielt oppmerksom på *. Exe filer med enten tilfeldig eller pretensiøs navn. Pretensiøse navn prøve å fremstå som viktig av å være svært nær faktiske nyttige programmer. For eksempel, er et nyttig program "svchost.exe", mens en mistenkt program ville være "scvhost.exe"
    • En annen god måte å identifisere gode produkter fra dårlige er ved å høyreklikke den kjørbare og velge "Egenskaper", deretter ved å velge "Version"-fanen (hvis den finnes). Hvis filen er digitalt signert av et selskap, vil det ha en "Firmanavn" eiendom i denne kategorien, for eksempel "Microsoft Corporation" eller "Apple Computer Inc" eller "Logitech", osv. Disse filene er sannsynligvis bra. Hvis filen ikke er signert, så bør du undersøke nærmere.
    • Når du er i tvil, gå til Google og skriv fullt navn på den mistenkte kjørbar: "scvhost.exe", for eksempel. Undersøke søkeresultatene. Ofte vil du se linker som "scvhost.exe, bra eller dårlig?" eller "Hva gjør denne filen?" og du kan se om det er en nødvendig fil eller en trojan.
    • Vær spesielt oppmerksom på noen * exe filer du finner i F:. \ Windows \ system32 og (spesielt) hvor som helst i F: \ Documents and Settings. Det burde ikke være mange / noen kjørbare filer i "Documents and Settings"-mappen.
  14. 14
    Gjenta det forrige trinnet, men søk etter filnavn som samsvarer med mønsteret "*. Dll" i stedet.
  15. 15
    Gjenta det forrige trinnet, men søk etter filnavn som samsvarer med mønsteret "*. Sys" i stedet.
  16. 16
    Det siste trinnet er ganske komplisert, men er vanligvis vellykket på å bli kvitt de fleste av de mest gjenstridige ormer og trojanere. Følg nøye med og ikke skru opp.
    • Gå til Start-> Kjør og skriv inn "regedit" og trykk enter.
    • Last ned vår "SOFTWARE" hive fra den infiserte datamaskinen og fjerne eventuelle dårlige "run on innlogging"-oppføringene.
      • Velg HKEY_LOCAL_MACHINE ved å venstre-klikke på det.
      • Gå til Fil-menyen og velg "Last inn struktur".
      • Naviger til F: \ Windows \ System32 \ Config og velg filen "SOFTWARE".
      • Det vil spørre deg om et sentralt navn. Type "INFECTED_SOFTWARE" og trykk enter.
      • Klikk på plusstegnet ved siden av HKEY_LOCAL_MACHINE for å avsløre nøkkelen "INFECTED_SOFTWARE".
      • Naviger til HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
      • Sikkerhetskopiere det! Høyreklikk på "Kjør" og velg "Eksporter data" og lagre filen som "INFECTED_SOFTWARE, RUN.reg" i karantene mappen. Merk at hvis du må gjenopprette denne sikkerhetskopien senere, mens den infiserte datamaskinen kjører, må du åpne REG-filen i en teksteditor og litt endre nøkkelen banen. HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE måtte endres til HKEY_LOCAL_MACHINE \ SOFTWARE, for eksempel. Hvis du bare ønsker å umiddelbart gjenopprette REG-filen mens du kjører på ren datamaskin, trenger du ikke å redigere filen, bare sørg for at strukturen er fortsatt lastet og dobbeltklikk på REG-filen for å re-sette sine nøkler / verdier i de riktige stedene.
      • I den høyre ruten bør du se en liste over oppføringer. Noen av disse kan inkludere Java Update, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, nVidia / ATI drivere, lyd drivere, tastatur / mus drivere, antivirus, brannmur, osv. Igjen, bruke beste skjønn og metodene som er beskrevet tidligere for å skille gode fra dårlige. Hvis du finner ut at noe er dårlig, ta tak i EXE-filen påpekt av nøkkelen og kaste den i karantene mappen og slette nøkkelen. Du kan alltid gjenopprette det senere ved hjelp av registret backup.
      • Utføre de samme trinnene i "RunOnce" og "RunOnceEx", rett ved siden av "Run"-tasten. De kan eller ikke kan ha oppføringer i dem.
      • Når du er ferdig, er det viktig at du klikker på "INFECTED_SOFTWARE" og deretter gå til Fil-menyen og velg "Fjern struktur".
    • Last ned vår "default" hive fra den infiserte datamaskinen (F: \ Windows \ System32 \ Config \ STANDARD) og fjerne eventuelle dårlige "run on innlogging"-oppføringene. Bruk samme fremgangsmåte som i "SOFTWARE" step. Merk: "Standard" hive kanskje ikke engang har en "Run"-tasten. Hvis det er tilfelle, hoppe over det. Pass på å losse "INFECTED_DEFAULT" når du er ferdig.
    • Laste hver brukers hive fra den infiserte stasjonen. Du vil finne strukturen på F: \ Documents and Settings \ Brukernavn \ NTUSER.DAT - last den som "INFECTED_USERNAME" og deretter gå gjennom sine "Run / RunOnce / RunOnceEx" tastene for dårlige oppføringer. Du vet drillen nå, ikke sant? Pass på å losse hver bikube når du er ferdig.
  17. 17
    Hvis du bruker en ekstern harddisk kabinett, bruke "Trygg fjerning av maskinvare" for å fjerne det fra din PC, slå den av og ta den (forhåpentligvis, nå) rengjøres stasjonen. Ellers må du slå din ren PC og fjerne den rengjorte kjøretur fra saken.
  18. 18
    Installere renset stasjonen i sin egen sak og makt på renset PC.
    • Hvis PCen absolutt nekter å starte på dette punktet, kan du ha noe annet valg enn å tørke av stasjonen rengjøre og installere Windows på nytt. Sørg for at du har alt sikkerhetskopiert og alle dine installere CDer og lisensnøkler hendig før du gjør dette.
  19. 19
    Hvis PC-støvler, bør du umiddelbart kjøre anti-spyware-programmer i "rengjøringsmidler"-mappen. Hvis det er noen spyware igjen på PC-en din, er det sannsynligvis i en svekket tilstand på dette punktet og kan bukke under nå. Også kjøre installert anti-virus program, eller prøve å kjøre din anti-virus program fra "Cleaners"-mappen, det kan eller ikke kan fungere.
  20. 20
    Hvis du er sikker på at du har fjernet all malware, kan du fortsette å bruke Windows-installasjon. Men hvis ytelsen er uakseptabel, kan du ha noe annet valg enn å installere. Noen malware er så vedvarende at det er mindre arbeid å bare starte på nytt med blanke ark.

Tips

  • En mye enklere metode er å starte den infiserte Windows-datamaskin med Linux på en CD eller USB-stasjon. Deretter kjører en Windows Anti-virus program mens du bruker datamaskinen ved hjelp av et Linux-operativsystem. Mange eldre datamaskiner kan enkelt kjøre Linux som er sikker og kan gjøre de fleste oppgaver. http://www.ubuntu.com er en populær Linux-system.
  • Når du får en ny datamaskin sette den opp være dual boot. Det betyr installere to operativsystemer på samme datamaskin. Når Windows blir infisert med et virus, kan du velge å starte datamaskinen med den andre operativsystem og gjøre reparasjonen. Ubuntu er en av de typer av Linux som gjør dette enkelt å sette opp. http://www.ubuntu.com
  • Windows NT og Windows 2000 bruker en "WINNT"-mappen i stedet for en "WINDOWS"-mappen.
  • Windows 95/98/ME er trolig ikke verdt å reparere. Bare backup, rense dem ut og installere.
  • Ikke last ned programvare annonsert i skinnende, Blinky bannerannonser.
  • Helt unngå warez, crack, og porno nettsteder (med mindre du kjører et Unix-basert OS som Linux eller Solaris) - de er hotbeds for ting å infisere datamaskinen. Hvis du må bruke Firefox med Adblock og Noscript slått på.

Advarsler

  • Ikke slett filer med mindre du er sikker på at de er dårlige. Sett dem i en spesiell karantene mappen.
  • Vær forsiktig når du klikker på filene. Ikke dobbeltklikke, trenger du ikke ønsker å infisere din ren PC! Hvis du har ett-klikks-fil åpning skrudd på, skru det av!
  • Du kan bli infisert med en MBR rootkit. Disse relativt lett å reparere, men læringskurven kan være bratt. MBR rootkits bor i Master Boot Record av harddisken din. De lanserer malware selv før Windows starter opp. De er svært stealthy.

Ting du trenger

  • En annen datamaskin. Denne prosessen vil egentlig ikke fungere med mindre du kan drepe spyware mens det er inaktive.