Wkunl

Hoe om spyware handmatig verwijderen (Windows)

U loopt door alle traditionele stappen, probeerden Ad-Aware en Spybot en HijackThis, en je nog steeds spyware. Wat nu? Nou ja, kunt u proberen na deze handmatig verwijderen gids. Het is niet voor de zwakkeren van hart, en het kan eigenlijk minder moeite om gewoon een back-up van uw bestanden, uw drive opnieuw en opnieuw installeren van Windows zijn. Met behulp van deze methode, zul je volledige toegang tot een behoefte schone computer om uw geïnfecteerde computer te repareren.

Stappen

Hoe om spyware handmatig verwijderen (Windows). Schakel de geïnfecteerde computer.
Hoe om spyware handmatig verwijderen (Windows). Schakel de geïnfecteerde computer.
  1. 1
    Schakel de geïnfecteerde computer. Open de behuizing en verwijder de primaire harde schijf (de ene met de OS-partitie).
  2. 2
    Als je een usb/ieee1394 externe schijf behuizing, kunt u de geïnfecteerde schijf aansluit op dat in plaats van het invullen van de volgende twee stappen.
  3. 3
    Schakel de computer schoon. Open de kast en sluit de geïnfecteerde schijf.
  4. 4
    Zet de schone computer. Zorg er absoluut zeker van dat het laarzen in de schone OS, niet vanaf de geïnfecteerde schijf! De meeste pc's hebben een boot keuze menu dat kan worden geraadpleegd via de F11 of ESC-toets snel na het inschakelen.
  5. 5
    Zorg ervoor dat u alle bestanden zien. Zodra OS de schone computer is opgestart, gaat u wilt reinigen van tijdelijke bestanden uit de geïnfecteerde schijf, met het oog op het gemakkelijker maken om te zoeken te maken. Maar eerst, wil je alle bestanden, ook verborgen en systeembestanden te zien. Ga naar "Configuratiescherm" -> "Mapopties", en klik dan op het tabblad "Beeld" aan de bovenkant van het venster "Mapopties". Je gaat te willen om de volgende opties te wijzigen:
    • Schakel: Geef de inhoud van System Folders
    • AAN: Verborgen bestanden en mappen
    • Schakel: Extensies voor bekende bestandstypen verbergen.
    • Schakel: Verbergen beveiligde besturingssysteembestanden (aanbevolen)
  6. 6
    Kennis te nemen van de stationsletter van uw geïnfecteerde schijf. Het gaat waarschijnlijk E zijn: of F:, afhankelijk van het aantal harde schijven, partities, en een cd / dvd-stations die u in uw computer schoon. Laten we aannemen dat we te maken hebben met de F: schijf voor dit artikel.
  7. 7
    Wis je tijdelijke mappen. Zodra uw tijdelijke bestanden mappen zijn gewist, zijn er veel minder bestanden te doorzoeken. Dit moet de volgende paar stappen een beetje minder vermoeiend. Enkele van de volgende locaties niet bestaan, kunnen sommigen op enigszins verschillende plaatsen. Het is belangrijk dat u en het cachegeheugen voor al uw browsers (IE / Netscape / Firefox / Opera) en dat u duidelijk voor elke gebruiker! Controleer de volgende mappen en verwijder de inhoud, maar niet de mappen zelf.
    • F: \ TEMP
    • F: \ Windows \ TEMP of F: \ WINNT \ Temp (alleen NT4 en Windows 2000 gebruiken "WinNT")
    • F: \ WINNT \ Profiles \ Gebruikersnaam \ Local Settings \ Temp
    • F: \ WINNT \ Profiles \ Gebruikersnaam \ Local Settings \ Temporary Internet Files
    • F: \ WINNT \ Profiles \ Gebruikersnaam \ Local Settings \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
    • F: \ Documents and Settings \ Gebruikersnaam \ Local Settings \ Temp
    • F: \ Documents and Settings \ Gebruikersnaam \ Local Settings \ Temporary Internet Files
    • F: \ Documents and Settings \ Gebruikersnaam \ Local Settings \ Application Data \ Mozilla \ Firefox \ Profiles \ SomeRandomName.default \ Cache
  8. 8
    Zorg ervoor dat uw prullenbak leeg is van alle bestanden.
  9. 9
    Probeer back-up van de geïnfecteerde schijf naar een map op de schone computer, als je kamer. Als u eventueel kunt een back-up van de gehele harde schijf, doe het. Anders moet je in staat zijn om weg te komen met alleen de map "Documents and Settings" ("Profielen" onder NT4) en misschien een paar van de games mappen (een paar games slaan hun opgeslagen spellen, kaarten, hoge scores, etc in hun programma map).
  10. 10
    Voeren volledige antivirus-en spyware scans van uw computer. Dit zal hopelijk vinden sommige dingen op de geïnfecteerde F: drijven en ze te verwijderen.
    • Download en installeer zowel Spybot Search and Destroy en Lavasoft Adaware. Het is belangrijk dat u zowel van deze hulpprogramma's te gebruiken, omdat ze zullen vaak meer malware samen.
    • Updaten definition bestanden wanneer daarom wordt gevraagd.
    • Scan uw machine (dit kan even duren).
    • Verwijder alle spyware die is gevonden.
    • Zorg ervoor dat u een antivirusprogramma geïnstalleerd en up-to-date. Voer een volledige systeemscan uitvoeren en eventuele virussen, trojans en wormen het vindt verwijderen.
  11. 11
    Wanneer alle scans zijn voltooid, gaat u naar "c: \ Program Files" (op uw schone pc's rijden) en kopieer het hele programma directories voor Spybot, Ad-Aware en uw anti-virus naar een nieuwe map op uw geïnfecteerde schijf, genaamd "F: \ Cleaners". Kopieer ook de installatieprogramma's voor deze programma's aan de: map "F \ Cleaners". U kunt ze later nodig hebben.
  12. 12
    Hit Windowstoets + f om het venster Bestanden vinden. Als je een stomme kleine geanimeerde hond, kunt u hem uit te schakelen, want hij maakt het zoeken een stuk vervelender. De zoekopties u wilt gebruiken voor de zoekopdrachten zullen we uitvoeren zijn "Zoeken naar Alle bestanden en mappen" de volgende "Advanced Options" ingeschakeld:
    • Zoek systeemmappen
    • Zoek verborgen bestanden en mappen
    • Zoek submappen
  13. 13
    Kijk alleen maar in de F: \ schijf voor bestandsnamen matching "* exe." En die zijn gewijzigd in de afgelopen week. Voer "* exe.": "Asterisk periode exe" en vermeld "in de laatste week." Misschien wilt u proberen te zoeken naar "laatste maand" ook, afhankelijk van hoe lang je al besmet.
    • Start de zoekactie. Laten lopen tot voltooiing.
    • Onderzoekt de bestanden die het vond. Sommigen van hen u kan herkennen, vooral als u onlangs hebt geïnstalleerd sommige programma's. Bijvoorbeeld, als u onlangs een upgrade of geïnstalleerd Lavasoft Ad-Aware, ziet u "F: \ Program Files \ Lavasoft \ Ad-Aware SE Personal \ Ad-Aware.exe" in deze lijst. Negeer dit soort bestand. Het soort bestand dat u zoekt is meestal in F: \ Windows \ system32, minder dan 100KB, en heeft een grappige naam als "lkaljya.exe"
    • Alle bestanden die u dient te worden verplaatst naar een tijdelijke map totdat u kunt controleren of ze zijn legit. Bijvoorbeeld, kunt u een map "F: \ quarantaine" te maken en zet ze in een submap "F: \ quarantaine \ Windows \ system32" in daar.
    • Aantal kwaadaardige bestanden worden ook verborgen in de F: \ Windows \ system32 \ drivers directory zullen zij ook grappige namen zoals "lkaljya.sys".
    • Alle bestanden die u dient te worden verplaatst naar een tijdelijke map totdat u kunt controleren of ze zijn legit. Bijvoorbeeld, kunt u een map "F: \ quarantaine" te maken en zet ze in een submap "F: \ quarantaine \ Windows \ system32 \ drivers" in daar.
    • Als u een on-access anti-virus programma, kan het eigenlijk beginnen te klagen dat het gevonden een trojan de tweede u het verdachte bestand te selecteren. Als het niet, dan is het niet de moeite quarantining het, laat de antivirus verwijderen.
    • Bijzondere aandacht besteden aan *. Exe-bestanden met ofwel willekeurig of pretentieus namen. Pretentieuze namen proberen te verschijnen belangrijke door zeer dicht bij de werkelijke nuttige programma's. Bijvoorbeeld, een nuttig programma "svchost.exe", terwijl een verdachte programma "scvhost.exe" zou
    • Een andere goede manier van identificeren van goede producten van de slechte is door met de rechtermuisknop te klikken op het uitvoerbare bestand en te kiezen voor 'Eigenschappen', dan door te kiezen voor het tabblad "Version" (als er een is). Als het bestand digitaal is ondertekend door een bedrijf, zal het een "Bedrijfsnaam" eigenschap hebben op dit tabblad, zoals "Microsoft Corporation" of "Apple Computer Inc" of "Logitech", enz. Deze bestanden zijn waarschijnlijk goed. Als het bestand niet wordt ondertekend, dan moet je verder te onderzoeken.
    • Bij twijfel, ga naar google en typ de volledige naam van de verdachte executable: "scvhost.exe", bijvoorbeeld. Onderzoekt de zoekresultaten. Vaak zul je links, zoals te zien "scvhost.exe, goed of slecht?" of "Wat heeft dit bestand doen?" en je kunt zien of het is een noodzakelijk bestand of een trojan.
    • Bijzondere aandacht besteden aan alle * exe bestanden die je kunt vinden in F:. \ Windows \ system32 en (vooral) overal in F: \ Documents and Settings. Er moet echt niet veel / alle executables in de map "Documents and Settings".
  14. 14
    Herhaal de vorige stap, maar zoeken naar bestandsnamen overeenkomen met het patroon "*. Dll" plaats.
  15. 15
    Herhaal de vorige stap, maar zoeken naar bestandsnamen overeenkomen met het patroon "*. Sys" plaats.
  16. 16
    Deze laatste stap is vrij ingewikkeld, maar is meestal succesvol bij het ​​wegwerken van de meeste van de meest hardnekkige wormen en trojans. Aandacht schenken en niet verpesten.
    • Ga naar Start-> Uitvoeren en typ "regedit" en druk op enter.
    • Laad de "SOFTWARE" bijenkorf van de geïnfecteerde computer en verwijder alle slechte "run on inloggen" inzendingen.
      • Selecteer HKEY_LOCAL_MACHINE door met de linkermuisknop te klikken.
      • Ga naar het menu Bestand en kies "Load Hive".
      • Navigeer naar F: \ Windows \ System32 \ Config en kies het bestand met de naam "SOFTWARE".
      • Het zal u vragen om een ​​sleutel naam. Type "INFECTED_SOFTWARE" en druk op enter.
      • Klik op het plusteken naast HKEY_LOCAL_MACHINE om de sleutel "INFECTED_SOFTWARE" onthullen.
      • Navigeer naar HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
      • Achteruit! Klik met de rechtermuisknop op "Run" en kies "Gegevens exporteren" en sla het bestand op als "INFECTED_SOFTWARE, RUN.reg" in de quarantaine-map. Merk op dat als u deze back-up later op herstel, terwijl de geïnfecteerde computer is ingeschakeld, dan moet je het REG-bestand in een teksteditor te openen en de sleutel weg iets te veranderen. HKEY_LOCAL_MACHINE \ INFECTED_SOFTWARE zou veranderd moeten worden naar HKEY_LOCAL_MACHINE \ SOFTWARE, bijvoorbeeld. Als je alleen maar wilt het REG-bestand direct te herstellen terwijl het lopen op de schone computer, hoeft u niet om het bestand te bewerken, maar zorg ervoor dat de korf nog is geladen en dubbelklik op het REG-bestand opnieuw te plaatsen zijn toetsen / waarden in de juiste plaatsen.
      • In het rechter venster moet u een lijst van de inzendingen te zien. Sommige van deze kunnen bestaan ​​uit Java Update, AOL Instant Messenger, MSN Messenger / Windows Live Messenger, ICQ, Trillian, nVidia / ATI drivers, Sound drivers, toetsenbord / muis drivers, Antivirus, Firewall-software, etc. Nogmaals, gebruik uw gezonde verstand en de methoden eerder beschreven voor de differentiatie tussen goed en slecht. Als u vaststelt dat er iets slecht is, pak het EXE-bestand waarnaar wordt verwezen door de sleutel en gooi het in de quarantaine-map, en de sleutel te verwijderen. U kunt altijd opnieuw later met behulp van het register back-up.
      • Voer dezelfde stappen uit in "RunOnce" en "RunOnceEx", vlak naast de toets "Run". Ze kunnen al dan niet gegevens in hen.
      • Wanneer u klaar bent, is het belangrijk dat u op de "INFECTED_SOFTWARE" en ga vervolgens naar het menu Bestand en kies "Component verwijderen".
    • Laad de "STANDAARD" korf van de geïnfecteerde computer (F: \ Windows \ System32 \ Config \ DEFAULT) en verwijder eventuele slechte "run on inloggen" inzendingen. Gebruik dezelfde stappen als in de stap "SOFTWARE". Opmerking: de "DEFAULT" bijenkorf kan niet eens een sleutel "Run". Als dat het geval is, overslaan. Zorg ervoor dat u "INFECTED_DEFAULT 'als je klaar bent uitladen.
    • Laad bijenkorf van elke gebruiker van de geïnfecteerde schijf. U zult de korf vinden op F: \ Documents and Settings \ Gebruikersnaam \ NTUSER.DAT - laadt het als "INFECTED_USERNAME" en ga dan door de "Run / RunOnce / RunOnceEx" toetsen voor slechte inzendingen. Je kent het wel door nu, toch? Zorg ervoor dat u elke korf lossen als je klaar bent.
  17. 17
    Als u gebruik maakt van een externe harde schijf behuizing, gebruikt "hardware veilig verwijderen" om het van uw pc te verwijderen, zet het uit, en verwijder de (hopelijk inmiddels) gereinigd rijden. Anders moet u de macht van uw pc schoon en verwijder de schoongemaakte rijden van de zaak.
  18. 18
    Installeer de schoongemaakte rijden in zijn eigen zaak en kracht op uw pc schoongemaakt.
    • Als uw pc absoluut weigert op te starten op dit punt, kan je geen andere keuze dan te vegen de drive te reinigen en opnieuw installeren van Windows. Zorg ervoor dat je alles een back-up en al uw cd's opnieuw installeren en licentiecodes handig voordat je dit doet.
  19. 19
    Als uw pc opstart, moet u onmiddellijk uitvoeren van de anti-spyware programma's in de map 'schoonmakers'. Als er geen spyware links op uw pc, is het waarschijnlijk in een verzwakte toestand op dit punt en kan nu bezwijken. Lopen ook uw geïnstalleerde anti-virus programma, of probeer het runnen van uw anti-virus programma uit de map "Cleaners", kan het wel of niet werken.
  20. 20
    Als je er zeker van bent dat u alle malware heeft verwijderd, kunt u doorgaan met uw windows install. Echter, als de prestaties onaanvaardbaar is, mag u geen andere keuze dan opnieuw te installeren. Sommige malware is zo hardnekkig dat het minder moeite om gewoon te beginnen met een schone lei.

Tips

  • Een veel eenvoudiger methode is om de geïnfecteerde Windows-computer op te starten met Linux op een CD of USB-drive. Dan start je een Windows Anti-virus programma tijdens het gebruik van de computer met een Linux-besturingssysteem. Veel oudere computers kan gemakkelijk draaien Linux, die is veilig en kan de meeste taken doen. http://www.ubuntu.com is een populaire Linux-systeem.
  • Wanneer u een nieuwe computer het op te zetten zijn dual boot. Dat betekent installeert twee besturingssystemen op dezelfde computer. Wanneer Windows wordt geïnfecteerd met een virus kunt u kiezen om de computer op te starten met het andere besturingssysteem en doen de reparatie. Ubuntu is een van de soorten van Linux, dat maakt dit eenvoudig in te stellen. http://www.ubuntu.com
  • Windows NT en Windows 2000 gebruikt een map "WINNT" in plaats van een map "WINDOWS".
  • Windows 95/98/ME zijn waarschijnlijk niet de moeite repareren. Enkel reserve, reinig ze uit en opnieuw te installeren.
  • Weet software geadverteerd in glanzend, blinky banneradvertenties niet downloaden.
  • Volledig te vermijden warez, crack, en porno websites (tenzij je een Unix gebaseerde OS draaien zoals Linux of Solaris) - ze zijn broeinesten voor dingen om je computer te infecteren. Als je moet, gebruik Firefox met Adblock en Noscript ingeschakeld.

Waarschuwingen

  • Verwijder geen bestanden, tenzij u zeker weet dat ze slecht zijn. Doe ze in een speciale quarantaine-map.
  • Wees voorzichtig bij het klikken op bestanden. Niet dubbelklikken, u niet wilt dat uw schone pc te infecteren! Als u enkele klik file opening ingeschakeld, schakel deze dan uit!
  • U kunt besmet raken met een MBR ROOTKIT. Deze relatief eenvoudig te repareren, maar je leercurve steil kan zijn. MBR rootkits wonen in de Master Boot Record van de harde schijf. Ze lanceren malware nog voordat windows opstart. Ze zijn erg stealthy.

Dingen die je nodig hebt

  • Een andere computer. Dit proces zal niet echt werken, tenzij je de spyware kan doden terwijl het inactief.