如何手動清除假冒殺毒軟件感染

本文將為您提供逐步指導,幫助您快速手動清除假冒殺毒軟件感染。我們還將幫助你瞭解假冒殺毒軟件的工作原理以及如何識別它。

 

 

如何識別假冒殺毒軟件

流氓安全軟件設計者會創建看起來合法的彈出窗口,宣傳安全更新軟件。這類窗口可能會在你上網時出現在你的屏幕上。它們可能以 "警告信息 "的形式出現在網頁上,通知用户其系統已被 "感染"。

下面是一些假冒反病毒軟件的例子:

A fake antivirus

彈出窗口中的 "更新 "或 "警告 "要求你採取某種行動,如點擊安裝軟件、接受推薦更新或刪除不需要的病毒或間諜軟件。當你點擊後,流氓安全程序就會下載到你的電腦上。

大多數程序都帶有木馬組件,用户會被誤導安裝。特洛伊木馬是一種從內部對電腦造成危害的惡意軟件,可能偽裝成以下樣子

    • 瀏覽器插件或擴展程序(通常是工具欄)
    • 電子郵件中附帶的圖像、屏保或存檔文件
    • 播放特定視頻片段所需的多媒體編解碼器
    • 在點對點網絡上共享的軟件
    • 免費在線惡意軟件掃描服務

所有這些文件的擴展名都是 .exe,這意味着它們是可執行文件。一旦執行,感染就會自動部署。

我們制定了一套精確的説明,可幫助您在電腦感染假冒殺毒軟件的情況下清除電腦中的惡意軟件。

 

 

第 1 步:在 "安全模式與聯網 "下重啓計算機

在此模式下,Windows 只加載基本服務,大多數情況下惡意軟件不會激活。記住,這是操作系統的診斷模式,因此大多數程序都無法運行,包括你的安全解決方案。

 

如何使用 Windows 7 在 "聯網安全模式 "下重啓系統

    1. 重新啓動計算機。
    2. 在 Microsoft Windows 開始加載之前按幾次 F8 鍵;以一秒鐘的間隔輕按 F8 直到顯示文本菜單(高級啓動選項)。
    3. 選擇 "聯網安全模式",如下圖所示。

Safe Mode with Networking - Windows 7

 

如何使用 Windows 8、10、11 在 "聯網安全模式 "下重啓系統

    1. 按鍵盤上的 Windows 鍵  + C 鍵。
    2. 屏幕右側將顯示一個新菜單;單擊 "設置"。
    3. 單擊電源,按住鍵盤上的 Shift 鍵,然後單擊重新啓動。
    4. 單擊故障排除。
    5. 單擊高級選項。
    6. 單擊 "啓動設置"。
    7. 單擊重新啓動。
    8. 按鍵盤上的 5 鍵啓用 "聯網安全模式"。現在 Windows 將以 "聯網安全模式 "啓動。

Startup Settings

有關如何在 Windows 10 和 11 的 "聯網安全模式 "下重新啓動計算機的詳細信息,請點擊以下鏈接:
https://support.microsoft.com/en-us/windows/start-your-pc-in-safe-mode-in-windows-92c27cff-db89-8644-1ce4-b3e5e56fe234

出現登錄屏幕時,選擇管理員帳户。這時會彈出一個信息框,讓你選擇繼續使用安全模式或使用系統還原。單擊 "是 "以繼續使用 "聯網安全模式"。

 

 

2. 手動檢查受感染文件並將其刪除

正確登錄 Windows 用户賬户後,請下載以下程序: Autoruns for Windows - 該工具將幫助您定位計算機上的惡意軟件。

保存文件,然後解壓存檔內容(右鍵單擊 Autoruns.zip 文件夾並選擇 "在此解壓",或直接雙擊文件夾打開)。

在文件夾中,你會發現兩個 .exe 文件:Autoruns 和 Autorunsc。右鍵單擊名為 Autoruns 的文件,選擇 "以管理員身份運行"。

程序將打開並顯示系統上正在運行的程序列表,如下圖所示。

Autoruns can help you remove the fake antivirus

在 Antoruns 中,找到並點擊窗口頂部第二個選項卡 "登錄"。

向下滾動頁面,檢查 Autoruns 項中的文件名。在大多數情況下,惡意軟件會以隨機名稱顯示,並且在 "描述 "或 "發佈者 "部分不會顯示任何信息。檢查 "映像路徑 "部分中位於以下位置的文件:

    • C:Users
    • C:Users|"隨機文件夾"
    • C:Users"Computer User" AppDataLocal
    • C:Users"Computer User" AppDataLocalTemp
    • C:Users"計算機用户" AppDataLocal"Random Folder" (隨機文件夾
    • C:用户("計算機用户")AppDataRoaming
    • C:用户("計算機用户") AppDataRoaming"Random Folder" (隨機文件夾
    • C:ProgramData
    • C:ProgramData"隨機文件夾"

在大多數情況下,惡意軟件會位於 Autoruns 中顯示的註冊表鍵值下:HKCUSoftwareMicrosoftWindowsCurrentVersionRun

在 "圖像路徑 "下,還要檢查文件的擴展名,它將是以下其中之一: .exe、.dll、.com、.bat、.dat、.lnk、.js

找到可疑文件後,右鍵單擊該文件並選擇 "跳轉到文件夾"。一個顯示惡意軟件在電腦上位置的窗口就會自動打開。

要刪除該文件,必須先右鍵單擊該文件並選擇 "刪除"。然後返回 Autoruns 窗口,右鍵單擊可疑文件並選擇跳轉到條目。這將打開註冊表編輯器窗口,並顯示加載惡意軟件的註冊表鍵值。

當你選擇打開特定條目時,該註冊表鍵值將被默認選中。此時,唯一要做的就是右鍵單擊註冊表鍵值並選擇 "刪除",將其刪除。

現在你可以關閉註冊表編輯器和 Autoruns,並清空回收站。

 

 

3. 刪除所有還原點

在電腦被感染期間,很可能至少創建了一個還原點,這意味着將電腦還原到以前的狀態會使惡意軟件捲土重來。

為了正確清除所有感染痕跡,您還需要清除所有還原點。

為此,請按照以下步驟操作:

    1. 打開 "控制面板",選擇 "系統和安全",然後單擊 "系統"。
    2. 在 "系統 "窗口左側,單擊並選擇 "系統保護"。
    3. 如果需要管理員權限,請單擊是。
    4. 系統保護窗口現在將被打開,你需要選擇窗口頂部的系統保護選項卡。
    5. 單擊窗口中的配置按鈕。
    6. 這將打開一個新窗口,窗口頂部是 "還原設置"--在窗口底部查找 "刪除所有還原點",然後單擊旁邊的 "刪除 "按鈕。
    7. 單擊 "繼續 "確認刪除,然後在出現提示時單擊 "關閉 "按鈕。
    8. 單擊 "確定 "關閉其他窗口。

Delete restore points to eliminate the risk of returning the fake antivirus.

至此,所有還原點都已刪除,這意味着你已經消除了電腦回到感染出現時的早期階段的風險。

 

4. 以正常模式重新啓動計算機

登錄用户賬户並觀察系統行為。在此階段,假冒殺毒軟件感染應已完全清除。