マルウェアに感染していて、非常に反応しないコンピューターを修正するにはどうすればよいですか？[複製]

重複の可能性：
悪意のあるスパイウェア、マルウェア、ウイルス、またはルートキットをPCから削除するにはどうすればよいですか？

友人のためにWindows 7 PCのトラブルシューティングを行っています。数日前に「スロー」で実行され始めました。「遅い」とは、デスクトップが最初に見えるまで約15分、アイコンを表示するのにさらに30分かかることです。タスクマネージャーを開くことはできますが、CPU使用率が1〜5％であり、十分な空きメモリがあるため、問題はないようです。

マシンには明らかにマルウェアがmalware延していますが、特に「Optimizer Pro」と呼ばれるプログラムは、「コンピューターを遅くする5102ファイルを削除する」ためにお金を要求しています。これは非常に疑わしいようです。

私の問題は、アクセスできないことですmsconfig（スタートメニューに入力してEnterキーを押した後、数時間放置しました-何もロードされていないようです）。Linux Live CDから起動できますが、実際にはそこから何か便利なことができますか？

システムの復元でも修正されておらず、セーフモードでも同じ動作が見られます。

Windowsの再インストールをお勧めします

既存のインストールを救おうとすると、最終的には何時間も費やすことになり、おそらく何日もその作業に費やし、努力のために何も示すことができません。また、すべてのマルウェア削除ツールを正常に実行できたとしても、定義上、マルウェア作成者は常にマルウェア削除作成者の一歩先を行っているため、すべてのマルウェアが実際に削除されたとは信じていません。マシンがこれほどひどく感染すると、あらゆる種類の悪いものがロードされる可能性があります。

そう...

1. ハードドライブをフォーマットする
2. Windowsをインストールする

また、コメンターの1人が示唆したように、古いインストールのすべてのファイルとデータが感染しており、信頼すべきではないと想定する必要があります。

さまざまなウイルス対策ベンダーが、ブート可能なレスキュー/スキャンCDROMを提供しています。2つの無料のものは：

カスペルスキーレスキューディスク10

Kaspersky Rescue Disk 10は、感染したx86およびx64互換コンピューターをスキャンして駆除するように設計されています。

感染が深刻で、オペレーティングシステムで実行されているウイルス対策アプリケーションまたはマルウェア削除ユーティリティ（Kaspersky Virus Removal Toolなど）を使用してコンピューターを駆除できない場合は、アプリケーションを使用する必要があります。

AVG Rescue CD

AVG Rescue CDシステムがクラッシュした場合にビジネスを迅速にバックアップして実行します。

感染を除去し、ファイルを修復し、システムを回復します。

ここに飛び込んで、このことについて最初に質問し、次にコンピューターに関する私の仮定を投稿します。CPUの1〜5％しか使用していないと言いましたが、まだゆっくりと動いていますか？ウイルスやその他の問題が発生している可能性があるためだとは言っていませんが、これは障害のあるハードウェアを叫んでいることを指摘したいと思います。次回タスクマネージャーを開いたら、リソースモニターを確認してください。以下は、リソースモニターの使用に関する簡単なガイドです。

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

タスクマネージャーを開き、[パフォーマンス]タブに移動します。下部には、リソースモニターのボタンがあります。開いたら、上部の[ディスク]タブを確認し、リクエストにかかっている時間を確認します。私のコンピューターとそのサイトで見つかったコンピューターのイメージを見ると、SSD以外のドライブの場合、100ミリ秒未満の応答時間があなたが探しているもののように思えます。コンピューターがすべてに対して1秒以上の応答時間を持っている場合、どのように起動しても、コンピューターは遅くなります。ここにコメントして、ディスクの応答時間が遅い場合はお知らせください。その場合は、ドライブでチェックディスクを実行し、ディスクが終了するまで待ち、問題が解決するかどうかを確認できます。

これは問題ではない可能性がありますが、問題がある場合は、Windowsを再インストールするか、ウイルススキャンを実行しても問題は解決しません。

アイデアをミックスに追加するには...

問題のあるハードドライブを取り出し、外部キャディに接続してから、これを動作中のPCに接続してみてください。その後、ディスクをチェックし、アンチウイルス/マルウェアチェックを実行し、デフラグなどを行うことができます。

また、必要なファイルをできるだけ残します（別のPCに感染する可能性のあるものをコピーしないように注意してください。明らかに、これを行う前にホストPCが十分に保護されていることを確認してください。

ハードドライブを元の場所に戻した後、それでも動作が不良な場合は、Windowsの再インストールを検討します。他の問題を解決しようとするのにかかる時間は価値がありません。

セーフモードで起動できる場合は、それを行います。

• Malwarebytesマルウェア対策は上記の優れた無料のプログラムであり、ベータリリースではありますが、Antirootkitプログラムもリリースしたばかりです。

• また、DR Web Cureit Free Antivirus（オンデマンドスキャナー）のファンでもあります。

• HirenのブートCDは、おそらく利用可能な最も包括的なブートマルウェアCDの1つです。

• お使いのコンピューターがひどく断片化されており、デフラグが必要な場合があります。この場合、Ultradefrag Free Editionをお勧めします

• システム上のすべてのゴミを一掃するクリーナー

上記のすべてはあなたに1ペニーかかかりません。

LifehackerのWhinston Gordonによって2012年11月6日に書かれたすばらしい記事があります。あなたがそれが面白い読み物であるとわかることを望みます！

Linuxライブディストリビューションをダウンロードして起動し、マシンに何らかの障害がある（RAMの障害、ハードドライブの不良など）か、それとも古いウィンドウズのインストール（ウイルス攻撃の可能性がある）かを確認します。ウイルス攻撃の場合は、ウイルススキャナを使用してhttp://free.drweb.com/ブータブルライブCDをダウンロードし、PCがクリーンであることを確認できます。無料のdrwebスキャナーは1日に数回更新されているため、最新の悪意のあるコードも検出して修復できます。

私が使用した最高のツールはMalwarebytesです。数年前にIT部門で働いていたときに使用しました。さらに、カスペルスキーは、AVG（上記で提案）と同様に優れているか、すべての組み合わせです。

ライブMalwarebytesイメージを含むもう1つの素晴らしいオプションは、HirenのBootCD（ダウンロードへの直接リンク）です。

結局のところ、犬の答えの@hairはおそらく「最良の」解決策だと思います。

一方、問題をそのままにしておくことは、おそらく物事を行う方法ではありません。

これは、以前の回答のいくつかを実際に凝縮したものであり、さらにいくつかの観察があります。

私の経験では、ハードドライブはコンピューターが遅くなる大きな理由です。彼らは多くの障害とエラーモードを持つ風変わりなデバイスです。見る価値のある他の理由もあります

この場合、一般的なLinuxライブCDから起動することは非常に便利です。考えられるドライブの問題を調べるときに、2つのことを行います。最初に、ここでそのok smartmontools（またはグラフィカルなフロントエンドgsmartcontrol）がかなり良いかどうかをドライブに尋ねます。一般的に「健全な」結果が必要です。またhdparm -Tt /dev/sdXx、数回実行してディスク速度のベンチマーク結果を取得することもできます。正常で同様の十分なディスクで同じコマンドを実行して、本当に遅いかどうかを確認します。

この時点でファイルレベルの回復を行うこともお勧めします。クリーンにマウントされなかったドライブは、Linuxで自動的にマウントされません- mount -f /dev/SDXx /mount/point強制的にマウントする必要があります。ディスクが明らかにsmartmontoolsのに応じて損傷している場合は、バックアップを実行するために、回復中心のDD varientのを使用する- ヌーのddrescueは良い賭けです。これにより、不良セクタをスキップするイメージが作成されます

ディスクが正常であると仮定すると、トリッキーになります。おそらく、オフラインAVスキャンを実行してクリーンアップを試み、別のシステムにポップして保守を行うことができます。

また、別のWindowsシステムのレジストリハイブをマウントして、スタートアップエントリを手動で編集するか（Windowsシステムからウイルスチェックを実行し、デフラグするのに非常に時間がかかります）、オフラインパスワードチェンジャーディスクからレジストリエディターを使用して、何を知っているかを確認することもできます再探しています。

Windowsツールを使用してリカバリ/修復関連のアクティビティを実行している場合-PEディスク（XPベースのライブディスクを気にしない場合はbartpe）を構築するか、これらのタスクに個別の「使い捨て」インストールを使用することを検討してくださいマルウェアの相互汚染のリスクを軽減します。

この時点で、ディスクが遅い場合、マルウェアであるかどうか、そしてそれを修正するのに時間を費やす価値があると思う場合は、解決する必要があります。また、データを取得する必要があります。そのマルウェア、およびオフラインスキャンと再編集が失敗した場合、livecdからshredを実行してディスクを消去できます。ハードウェアに障害が発生した場合、そのddバックアップから復元できます。上記のいずれでもない場合、物事は面白くなります

ハイレンはあなたの友達です。

http://www.hirensbootcd.org/download/

ダウンロードして、書き込み、低速のコンピューターから起動します。

そこには、ハードドライブ、CPU、メモリなどのエラーをチェックするための一連のツールがあります。

それらをいくつか実行して、見つけたものを確認します。

また、AV /マルウェアスキャンを実行できるセキュリティプログラムもあります。

強くお勧めします。

ハードドライブを確認しましたか？たぶん、いくつかの不良セクタがあり、特定のファイルにアクセスするたびに長い遅延が発生します。chkdsk /rセーフモードで実行してみてください（または他のディスク修復ツールを使用してください）。

再インストールすることをお勧めします。ただし、失うことのできないデバイスにデータがある場合は、Microsoft Defender Offlineを試してみるとよいでしょう。

基本的には、オペレーティングシステムをバイパスしてから、ハードドライブのスキャンを実行できます。最新のウイルス対策定義を入手できるように、必ず最新のコピーをダウンロードしてください。

それでもPCが遅い場合は、Linux CD / USBで起動してデータをコピーし、Windowsを再インストールしてみてください。ただし、別の（保護された）マシンでバックアップハードドライブをスキャンしてから、古いマシンにコピーしてください。

少なくともこのマルウェアは、環境に優しい方法でPCの速度を低下させ、CPUを最大化しません。

元の質問に対する簡単な答えは、前述のように再インストールすることです。しかし最近では、マルウェアの作成者は、ほとんどの人が削除を試みるのではなく単に再インストールすることを知っているため、ほとんどの人は端末の知識のある人ではなく、自動ツールに対する対策を講じています。したがって、再インストールが望ましくなく、数時間（またはそれ以上）無駄にしたくない場合、通常、ほとんどのマルウェアを削除するのはそれほど難しくありません。

ただし、コマンドプロンプトに精通し、マルウェアと正当なソフトウェアを区別できる必要があります。ここでは経験に代わるものはありませんが、以下のアプローチが効果的であることがわかりました。

最初に環境を準備します。

1. 別のクリーンなPCからSysinternalsスイートのコピーをダウンロードし、USBスティック（または、可能であればPCのハードドライブ）にコピーします。
2. 2つのユーティリティprocexp.exeとautoruns.exeの名前をランダムなファイル名に変更します（ただし、それらを認識できるようにメモしてください！）
3. ネットワーク接続をすべて切断します。
4. コンピューターをセーフモードで起動し、デスクトップに移動します。セーフモードは必須ではありませんが、実行するプロセスが少なくなり、マルウェアがより簡単に目立つようになります。クリーンなユーザープロファイルを使用することも同じ理由で役立ちますが、ユーザーのレジストリにエントリが存在する可能性があるため、感染がわかりにくくなる可能性があります。
5. 管理者としてコマンドプロンプトを開き、実行taskkill /F /IM explorer.exeしてエクスプローラを終了します。これにより、かなりの量のマルウェアが追跡されなくなり、削除が容易になります。コマンドプロンプトを実行できない場合は、別のPCから名前を変更したコピーを使用すると効果的です（同じマシンでコピーを作成するだけで済みます）。
6. コマンドプロンプトからprocexpを起動し、名前を変更した実行可能ファイルを介して自動実行します。マルウェアがハッシュまたはその他の特性を検出し、これらのツールを起動できない可能性がありますが、少なくともハッシュはかなり頻繁に更新されるため、信頼できるアプローチではないことに注意してください。通常、これらのツールに対する対策はファイル名を探します。

ここから、自動実行とprocexpを使用してマルウェアを削除できますが、それは科学と同じくらい芸術です。Procexpは現在実行中の内容を表示し、autorunsは起動方法を示します。検索するパターンは次のとおりです。

• ランダムに生成されるファイル名
• 一時ディレクトリから実行されるソフトウェア
• ユーザーのプロファイルで実行されているソフトウェア。Vista以降のバージョンでは、昇格のプロンプトを回避するために、プロファイルからソフトウェアを実行することがより一般的になりましたが、ほとんどの正当なソフトウェアは引き続きProgram Filesにインストールされます。これには明らかにルートアクセス権があるため、システムディレクトリでそれを探していますが、そこにウォッチャーがいる可能性があり、通常、感染はユーザープロファイルのどこかで発生します（ダウンロード、インターネット一時ファイル）。
• C：\ WindowsおよびSystem32で最近変更されたファイル
• cmd.exe、services.exeなどの正規のWindowsバイナリに近い名前（または同じファイル名であるが、間違った場所にある）。cnd.exe、service.exeを見ました。私の時間のexplore.exe。
• Rundll32.exeエントリ。多くは合法ですが、プロセスを検査して、ロードされているDLLを確認します。

取り外しのヒント：

• プロセスを強制終了してエントリを削除する前に、情報を収集するだけで役立つ場合があります-これにより、より全体的な概要が得られます。手順1に戻ります。
• 明らかなことなら、procexpのkill and delete関数を使用してください。これが失敗した場合、echo > "c:\path\to\malware.exe"コマンドプロンプトで使用してファイルを空白にしてから、killおよびdeleteを実行すると動作する場合があります。
• 自動実行を使用して、それがフックされている場所を見つけます。ルートキットやシステム実行可能ファイルの修正が不足しているように見えるため、このツールを使用します。時間を節約するには、デフォルトで無効になっている「Microsoftエントリを非表示にする」オプションを使用します。
• すべてのexeでDLLをロードする自動実行でフックを見つけた場合、実行中のプロセス（検出ツールを含む）はマルウェアを生かし続けます。この場合、上記のエコーで問題のあるDLLを空白にし、すべてのソフトウェアを強制終了して再起動し（プログラムを実行するたびにDLLエラーが発生します）、再起動する必要があります。ただし、最初に他のフックをすべて削除したことを確認してください。
• マルウェアの変更を探し、それを復元する監視プロセスが存在する場合があります。この場合、複数のアクションを同時に実行する必要があり、これを行う唯一の信頼できる方法は、バッチスクリプトを使用することです。ただし、チェック間隔によっては、ステップを順番にすばやく実行するだけで十分な場合があります。
• 何も見つからず、ルートキットであることが判明した場合、それを見つけて削除するのははるかに困難になります。より高いレベルのウィンドウAPIをバイパスするツールが必要です。これはおそらくスーパーユーザーの回答でカバーできる範囲を少し超えていますが、RootkitRevealerに続いてLinuxブートCDを使用して実際のファイルを削除することは効果的です（exeの名前を忘れないでください）。
• 完全に削除すると確信する前に再起動する必要がある場合は、通常の再起動を行う代わりに電源を切ると、再感染の機会がもう1つなくなります。最初にデータをバックアップしたことを確認してください。

この特定のマルウェアがコンピューターを修正するためにお金を必要とし、速度が低下することを考えると、DLLロードアプローチは可能性が高いです。システムファイルを変更したり、ルートキットをインストールしたりすることはおそらくありません。これにより、システムが完全に破損するリスクが大きくなります。したがって、上記の一般的なアプローチを使用して削除できますが、1つのフックだけを見逃した場合は、次のブートでスクエアに戻る可能性があります。

これが多くの努力のように思えるなら、そうです。通常、再インストールは簡単で、マルウェアがインストールされたコンピューターを再び完全に信頼することはできません。しかし、個人的には、それは一種の楽しみです-それはあなたとマルウェアの作者であり、あなたはコンソールで人間であることの明確な利点を持っています！

Windows Defender Offlineを見て、マルウェアをスキャンし、修正するオプションを提供できます。

簡単にするために、ハードウェアに問題があるか、ソフトウェアに問題があるか、またはその両方があります。

コンピューターのCDからの起動またはUSBからの起動が有効になっているかどうか、およびデフォルトで無効になっている外部メディアからの起動手順を確認します。多くの場合、Googleですばやく検索すると、このプロセスが高速化されます。

Ultimate Boot CDなどのライブCDを使用して、RAMとハードドライブのエラーをチェックします。Memtest86 +でRAMをテストし、WDハードドライブのDLGなど、ハードドライブの製造元のテストスイートを使用します。これにより、メモリおよびハードドライブの問題に関するほとんどの問題が除外されます。温度の問題を除外したい場合は、システムの温度を確認することもできます。

次に、LinuxライブCDを実行するか、USBからLinuxディストリビューションを起動します。これに問題がなく、安定性の問題がなく、インストールされたシステムよりもはるかに高速に動作する場合は、起動と核の時間です。この時点で、「失わない」アイテムをハードドライブから何らかの外部メディアに転送します。クリーンなPCの近くでそれらを取得する前に、これらのファイルをスキャンしてマルウェアを検出する必要があります。これらを何らかのライブ環境でスキャンすることをお勧めします。

復元パーティションをまだ試していない場合は、ここから「破壊的な復元」を実行することを選択できますが、通常のパーティションと同様にマルウェアに感染する可能性があるため、復元パーティションにはあまり信仰がありません。これは、Linuxユーザーであることの利点です。ライセンスキーを気にせず、メディアをインストールする必要がないからです。

Windowsにとどまることに心が決まっている場合の手順は次のとおりです。

システム復元ディスク、またはインストールするオペレーティングシステムの正規バージョンを見つけます。それが「フル」バージョンであり、インストールするために存在する以前のバージョンのOSを必要とする「アップグレード」バージョンではないことを確認します。ライセンスキーがあることを確認し、正しく入力してください。復元が正しく機能しない場合は製造元、OSのインストールがうまくいかない場合はMicrosoftに連絡する準備をしてください。

前述の「Ultimate Boot CD」を取り、Darik's Boot and Nukeを実行します。ドライブの消去にはしばらく時間がかかります。再インストールを計画しているため、より高速な形式モードのいずれかを使用できます。「すばやい消去」または「DoDショート」でうまくいくはずです。

（現在は空の）ハードドライブにオペレーティングシステムを最初からインストールします。

必要に応じて、ウイルスについて複数回スキャンされた古いファイルを、新しいオペレーティングシステムのインストールに転送します。ソフトウェアおよびシステムアップデートのインストールプロセスをお楽しみください。

最新のバックアップを持たないことや、システムイメージのバックアップルーチンを実装しないことを呪ってください。それを上手にしようと誓い、そして次回はないことを願っています。おそらく次回があるでしょう。

適切な解決策は、それを破棄してウィンドウを再インストールすることです。それが単に解決策ではない場合、他の適切な解決策は、ライブcd / usb Linuxセットアップを使用して、Windowsインストールの外部からウイルス対策ソフトウェアパッケージを実行することです。

私は与えられた答えを調べましたが、Trinity Rescue Kitがまだ言及されていないことに驚いています！

このソフトウェアスイートは、感染したコンピューターからマルウェア/ウイルス/ルートキットを削除しようとしているときのgotoソリューションです。スキャン/クリーニングプロセスを開始する前に、ネットに出て最新の定義を取得する3〜4種類のソフトウェアソリューションがあります。