Question Comment puis-je réparer un ordinateur qui est infesté de logiciels malveillants et qui ne répond pas du tout? [dupliquer]


Duplication possible:
Comment se débarrasser des logiciels espions, logiciels malveillants, virus ou rootkits malveillants de mon PC? 

Je dépanne un PC Windows 7 pour un ami. Il y a quelques jours, il a commencé à fonctionner lentement. Il s'avère que «lent» est à environ 15 minutes du premier aperçu du bureau, et 30 autres pour afficher les icônes. Il est possible d'ouvrir le Gestionnaire des tâches, et rien ne semble mal, l'utilisation du processeur à 1-5%, beaucoup de mémoire libre.

La machine est clairement infestée de logiciels malveillants, en particulier un programme appelé «Optimizer Pro» exige de l'argent pour «supprimer les fichiers 5102 ralentissant mon ordinateur». Cela semble très suspect.

Mon problème est que je ne peux pas accéder à msconfig (Je l’ai laissé quelques heures après l’avoir tapé dans le menu Démarrer et appuyé sur Entrée - rien ne semble avoir été chargé), ou rien du tout. Je peux démarrer depuis un Linux Live CD, mais puis-je réellement faire quelque chose d'utile à partir de là?

La restauration du système ne l'a pas non plus résolue et le mode sans échec présente le même comportement.


102


origine


Après avoir tapé dans le menu Démarrer, vous devez attendre que les éléments apparaissent. J'ai déjà vécu ça auparavant. Le délai que vous voyez avec, disons, cmd est le lancement de l'application elle-même - Cole Johnson
J'ai eu cela sur l'ordinateur portable d'un membre de la famille récemment. Une fois que j'ai pu y entrer, j'ai programmé un chkdsk, qui ne serait pas terminé après trois tentatives, indiquant que le disque était tellement en panne qu'il ne pouvait rien réparer. Le disque est remplacé et je vais le monter sur un périphérique USB vers SATA pour voir si je peux en extraire des fichiers. Cela peut ne pas être lié à votre problème, mais cela ne nuirait pas à "vérifier". - Bratch
security.stackexchange.com/questions/24195/... - Boris Treukhov
"Nuke the site from orbit, c'est le seul moyen d'être sûr." - Comme dans tous les cas d’infection par des logiciels malveillants graves, je suggère de récupérer les données que vous pouvez en utilisant un disque Linux, puis de réinstaller Windows. Sinon, il y a de fortes chances que vous ne supprimiez pas très peu de logiciels malveillants et que vous deviez recommencer à le réparer plus tard OU (et potentiellement dévastateur) quelqu'un continuera à utiliser la machine en supposant qu'elle est propre bien que ce ne soit pas le cas. - fgysin
essayer format c:/ - Phillip Schmidt


Réponses:


Je recommande de réinstaller Windows

Si vous essayez de sauver l'installation existante, vous finirez par passer des heures ou, probablement, des jours à travailler dessus et vous n'aurez rien à montrer. Et même si vous avez réussi à exécuter tous les outils de suppression de logiciels malveillants, je ne crois pas que tout En réalité, les logiciels malveillants avaient été supprimés car, par définition, les auteurs de logiciels malveillants avaient toujours une longueur d’avance sur les auteurs de suppression de logiciels malveillants. Une fois qu'une machine est infectée, elle est probablement chargée de toutes sortes de mauvaises choses.

Alors...

  1. Formatage du disque dur
  2. Installer Windows

Et, comme l’a suggéré l’un des commentateurs, vous devez supposer que tous les fichiers et données de l’ancienne installation sont infectés et ne doivent pas être approuvés.


245



Bien que je décourage normalement les réponses courtes avec un manque de détails, ces quatre mots disent tout. Ce sera probablement plus facile. - Shinrai
"Nuke it from orbit, c'est le seul moyen de savoir avec certitude" - De ce qui a été dit, cela semble être plus rapide. - Journeyman Geek♦
C'est le droite approche, indépendamment de la vitesse. Au cours des dernières années, les logiciels malveillants sont devenus plus sournois et plus méchants. Plus sournois en ce sens qu'il voyage dans des packs, et en utilisant quelque chose comme Malwarebytes ou d'autres outils pour éliminer les symptômes évidents peut toujours laisser un keylogger ou un rootkit moins évident. Plus grave encore, au lieu de simplement diffuser des annonces ou une barre d’outils, il est probable que les informations de carte de crédit ou d’information bancaire soient correctes. Rassemblez ces deux éléments et cela ne vaut tout simplement pas le risque d'essayer de nettoyer une machine. Aller à droite pour la technique de sauvegarde / réinstallation / restauration à la première infection confirmée. - Joel Coehoorn
J'ai posté ceci ci-dessous comme une réponse, mais avant de faire cette étape, je vous conseille de voir d'abord s'il s'agit d'un problème matériel. Si c'est un disque dur défaillant, la réinstallation de Windows ne fera rien. Comme indiqué dans l'OP, il ne fonctionne qu'à 1-5% et utilise peu de mémoire. Il fait la même chose en mode sans échec. Ce sont des symptômes de matériel défectueux également, donc il ne peut pas faire de mal à être en sécurité et vérifier si le vrai problème est une panne de disque dur avant de se moquer de la chose pour découvrir que son mouvement toujours super lent! - Bob
Je suis d'accord avec Bob avant de prendre cette mesure. Démarrez un live linux CD / USB et voyez s'il est utilisable là. Si tout va bien, alors ce n'est probablement pas un problème de matériel. L'utilisation d'un linux live CD / USB vous permet également de copier toutes les données pouvant être enregistrées (photos, musique, etc.) dans un lecteur externe avant de les réinstaller. - Mart


Différents fournisseurs d'antivirus proposent des CDROM de secours / d'analyse amorçables. Deux libres sont:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 est conçu pour analyser et désinfecter les systèmes x86 et   Ordinateurs compatibles x64 infectés.

L'application doit être utilisée lorsque l'infection est si grave qu'elle   est impossible de désinfecter l'ordinateur en utilisant des applications antivirus   ou utilitaires de suppression de logiciels malveillants (tel que Kaspersky Virus Removal Tool)   en cours d'exécution sous le système d'exploitation.

CD de secours AVG

AVG Rescue CD Rétablissez rapidement votre activité en cas de   le système plante.

Supprime les infections, répare les fichiers et récupère les systèmes.


57



Je recommande fortement l'antivirus amorçable de Kaspersky. Idéalement, ayez un câblé Connexion Internet disponible pour mettre à jour les définitions de virus sans avoir à vous soucier de la configuration de la connexion WiFi. - David Schwartz
Bonne suggestion! Essayez d'abord de nettoyer le système avec les outils gratuits décrits ci-dessus. Si cela ne vous aide pas, la réinstallation du système Windows peut être le seul choix restant. N'oubliez pas de sauvegarder, il y a fort à parier de démonter le disque dur et de le connecter en tant que disque externe sur un autre ordinateur. - GregD
@GregD Vous ne voulez certainement pas essayer de démonter le disque dur si vous ne disposez pas d'une salle blanche et d'outils appropriés. Vous voudrez peut-être le retirer de l'ordinateur et l'installer dans un autre (ou dans un boîtier externe), mais c'est loin de la même chose. - Michael Kjörling
Kaspersky oui. AVG Non! - pratnala
Lorsque j'ai essayé dans une situation similaire, AVG a déclaré que le système était propre. Même pas un virus. Mais Kaspersky a attrapé le coupable. La confiance perdue dans AVG après cela. Utilisé depuis plus de 2 ans. Maintenant sur Kaspersky des 3 dernières années. KIS pas KAV - pratnala


Je vais entrer ici et demander plus à ce sujet d'abord, puis poster mes hypothèses sur l'ordinateur. Vous avez dit que son utilisation ne représentait que 1 à 5% du processeur, mais que le mouvement continuait lentement? Bien que je ne dis pas qu'il n'est pas criblé de virus ou de quoi que ce soit parce qu'il pourrait l'être, je tiens à signaler que cela me crie du matériel défectueux. La prochaine fois que vous ouvrirez le gestionnaire de tâches, consultez le moniteur de ressources. Voici un guide simple d'utilisation du moniteur de ressources.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Ouvrez le gestionnaire de tâches et accédez à l'onglet Performances. Au bas se trouve un bouton pour le moniteur de ressources. Une fois ouvert, consultez l'onglet Disque en haut et regardez combien de temps les demandes prennent. En regardant mon ordinateur et l'image de l'ordinateur trouvée sur ce site, je devine que pour un lecteur non SSD, des temps de réponse inférieurs à 100 millisecondes semblent être ce que vous recherchez. Si l'ordinateur a des temps de réponse supérieurs à 1 seconde pour tout, votre ordinateur va être lent, peu importe comment vous le démarrez. Faites un commentaire ici et dites-nous si le temps de réponse du disque est lent. Si c'est le cas, vous pouvez essayer d'exécuter un disque de vérification sur le disque et d'attendre pour toujours qu'il se termine et voir si cela résout le problème.

N'oubliez pas que ce n'est peut-être pas le problème, mais si c'est le cas, la réinstallation de Windows ou l'exécution d'une analyse antivirus ne résoudra pas le problème.


31



C'est en supposant qu'il puisse l'ouvrir. Son ordinateur semble trop lent pour ... quelque chose de ce qu'il rapporte, et il devrait attendre une semaine ou deux quand il répond. - Journeyman Geek♦
Un bon indicateur dans le moniteur de ressources est la profondeur de la file d'attente de disques - si celle-ci est constamment élevée, le disque dur est en train d'être détruit (c.-à-d. Le «goulot d'étranglement» de la vitesse du bus). Cela entraînera des ralentissements sans impact sur la RAM ou l'utilisation du processeur (vérifiez-le lors d'une analyse de virus sur un bon PC). - HaydnWVN
Cela peut être plus facile à vérifier dans un Live CD, car l'installation actuelle est si lente. Je ne suis pas sûr de quel programme vous feriez bien. - Brendan Long
Ce sont tous de bons points. J'ai mentionné l'utilisation du moniteur de ressources car il a dit qu'il était capable d'ouvrir le gestionnaire de tâches, alors je supposais qu'il pouvait aussi obtenir le moniteur de ressources. - Bob


Ajouter mes idées au mélange ...

Essayez de retirer le disque dur incriminé et de le brancher sur un boîtier externe, puis branchez-le sur un PC en état de fonctionnement. Vous pouvez ensuite vérifier le disque, exécuter des contrôles anti-virus / programmes malveillants, défragmenter, etc.

Aussi, récupérez ce que vous pouvez des fichiers dont vous avez besoin (en prenant soin de ne pas copier tout ce qui pourrait potentiellement infecter un autre PC. Évidemment, assurez-vous que le PC hôte a une bonne protection avant de le faire).

Si, après avoir replacé le disque dur et que le disque tourne toujours mal, je pense à réinstaller Windows. Le temps nécessaire pour essayer de résoudre d'autres problèmes ne vaudra pas la peine.


30



Cela m'a bien fait avant, je le modifierais pour suggérer d'utiliser un disque live Linux et exécuter des analyses tout au long du processus à travers les données. En utilisant le disque en direct, vous pouvez tout faire sur le périphérique infecté. - nerdwaller
Pourquoi n'est-ce pas la meilleure réponse ici? Cela l'emporte clairement sur l'approche d'une réinstallation simple. - stefan
Parce que l’approche serait de sauvegarder vos documents et vos photos, puis de les réinstaller. - WindowsEscapist
Cela est dangereux car le lecteur peut facilement infecter le nouvel ordinateur. Il est préférable de démarrer à partir d’un Linux Live CD et de sauvegarder les choses de cette façon, puis de l’agglomérer et de le réinstaller. - Omnifarious


Si vous pouviez démarrer en mode sans échec, je le ferais.

  • Malwarebytes Anti-Malware est un excellent programme gratuit comme mentionné ci-dessus et ils viennent de sortir un programme Antirootkit aussi bien que dans la version bêta

  • Je suis aussi fan de Antivirus Gratuit DR Web Cureit (scanner à la demande)

  • CD de démarrage de Hiren est probablement l'un des CD les plus complets de logiciels malveillants de démarrage disponibles

  • Il se peut que votre ordinateur soit très fragmenté et que vous ayez besoin de le défragmenter. Dans ce cas, je vous recommande Ultradefrag Free Edition

  • Ccleaner nettoyer toutes les ordures sur votre système

Tout ce qui précède ne vous coûtera pas un sou non plus.

Il y a un excellent article écrit récemment le 6 novembre 2012 par Whinston Gordon pour Lifehacker qui, je pense, serait bénéfique pour tous, intitulé "Les hypothèses que vous faites sur votre PC lent (et pourquoi elles sont probablement incorrectes)". J'espère que vous trouverez cette lecture intéressante!


12



L'OP indique que le mode sans échec est toujours aussi lent que la normale, ce qui ne serait pas vraiment utile. - ChrisF
Les CD de démarrage tels que le CD de démarrage de Hiren ne démarreront pas à partir de Windows, la vitesse du mode sans échec n’est donc pas pertinente pour cette option. - Zoot


Téléchargez et démarrez n'importe quelle distribution Linux pour vérifier si la machine est en quelque sorte handicapée (RAM défectueuse, disque dur défectueux, etc.) ou si elle est trop ancienne (peut-être une attaque de virus). En cas d'attaque de virus, vous pouvez télécharger http://free.drweb.com/ cd live bootable avec un scanner de virus pour être sûr que votre PC est propre. Le scanner gratuit drweb a été mis à jour plusieurs fois par jour, ce qui lui permet de détecter et de traiter même les codes malveillants les plus récents.


11





Le meilleur outil que j'ai utilisé est Malwarebytes. Je l'ai utilisé lorsque j'ai travaillé dans l'informatique il y a quelques années. En outre, Kaspersky est bon comme AVG (comme suggéré ci-dessus), ou une combinaison de tous.

Une autre excellente option, qui inclut l'image de Malwarebytes en direct, est Hiren's BootCD (lien direct Télécharger).


8



Et comment sont-ils censés installer, et encore moins l'exécuter s'il faut plus de 45 minutes pour démarrer? - Synetech
Disque en direct. Il existe une version autonome ou une version sur BootCD de Hiren. - nerdwaller
Tu aurais dû a dit ça avant; à présent c'est trop tard. - Synetech
D'où je l'ai ajouté pour aider. - nerdwaller
@ paulsm4 Selon mon expérience, 90% des suites AV manquent presque toutes les infections (en dehors des cookies de suivi stupides, qui sont inoffensifs lorsque vous réalisez comment les gens utilisent Facebook pour se connecter partout). Malheureusement, les payeurs sont les pires contrevenants ... Incroyable! En de rares occasions, je lance Windows - c'est MSE pour moi. - nerdwaller


En fin de compte, je pense toujours que la réponse de @hair of the dog est probablement la «meilleure» solution.

D'un autre côté, laisser un problème tel qu'il est, n'est probablement pas la façon de faire les choses.

Ceci est vraiment une version condensée de certaines des réponses précédentes, avec quelques observations supplémentaires.

Dans mon expérience, les disques durs sont une raison majeure pour que les ordinateurs ralentissent. Ils sont des dispositifs bizarres avec beaucoup de modes d'échec et d'erreur. Il y a d'autres raisons valent la peine d'être examinées

Démarrer dans un cd linux générique est très utile dans ce cas. Il y a deux choses que vous voulez faire lorsque vous examinez d'éventuels problèmes de disque. Tout d'abord, vous voulez demander au lecteur si c'est ok - smartmontools (ou son frontal graphique, gsmartcontrol) est très bien ici. Vous voulez généralement des résultats «sains». Pendant que vous y êtes, vous pouvez aussi vouloir courir hdparm -Tt /dev/sdXx quelques fois pour obtenir un résultat de référence de la vitesse du disque. Exécutez la même commande sur un disque suffisamment sain et similaire pour voir si vraiment Ralentissez.

Je suggère également de faire la récupération au niveau fichier à ce stade. Un lecteur qui était mal monté ne sera pas monté automatiquement sous linux - vous devrez faire un mount -f /dev/SDXx /mount/point pour le forcer à monter. Si le disque est visiblement endommagé selon smartmontools, utilisez une variante DD centrée sur la récupération pour effectuer une sauvegarde - Gnu Ddrescue est un bon pari. Cela va créer une image en sautant des secteurs défectueux

En supposant que le disque est ok, il devient difficile. Vous pourriez probablement exécuter une analyse AV hors ligne pour essayer de la nettoyer, puis insérez-la dans un autre système pour effectuer une maintenance.

Vous pouvez également monter la ruche de registre d'un autre système Windows pour modifier manuellement les entrées de démarrage (excellent moment pour effectuer une vérification de virus depuis un système Windows et une défragmentation) ou utiliser l'éditeur de registre hors connexion. Changeur de mot de passe du disque en supposant que vous savez ce que vous recherchez.

Si nous effectuons des activités liées à la récupération / réparation à l'aide des outils Windows, vous pouvez envisager de créer un disque PE (bartpe si vous ne vous souciez pas d'un disque dur basé sur XP) ou d'utiliser une installation distincte pour ces tâches. pour réduire le risque de contamination croisée par des logiciels malveillants.

À ce stade, vous devriez avoir déterminé si le disque est lent, que ce soit son malware ou si vous estimez que cela vaut la peine de le corriger. Vous devriez aussi avoir sorti vos données. Si ses logiciels malveillants, les analyses hors ligne et les enregistrements échoués ont échoué, vous pouvez exécuter la destruction à partir du fichier livecd pour effacer le disque. Si sa défaillance matérielle, vous pouvez restaurer à partir de cette sauvegarde dd. Si ce n'est rien de ce qui précède, les choses deviennent intéressantes


8





Hiren est ton ami.

http://www.hirensbootcd.org/download/

Téléchargez-le, gravez-le, démarrez-le à partir de l'ordinateur lent.

Il existe une série d’outils pour vérifier les erreurs, y compris le disque dur, le processeur, la mémoire, etc.

Lancez-en quelques-unes pour voir ce que vous trouvez.

Il dispose également de certains programmes de sécurité pour vous permettre d'effectuer une analyse AV / Malware.

Hautement recommandé.


5





Avez-vous vérifié vos disques durs? Peut-être a-t-il des secteurs défectueux, provoquant un long délai à chaque accès à certains fichiers. Essayer de courir chkdsk /r en mode sans échec (ou utilisez un autre outil de réparation de disque).


2