逐步移除惡意軟件:完整清除指南
如果您的設備受到惡意軟件感染,迅速而有條不紊地採取行動可將損害降到最低。本指南帶您完整了解 Windows、Mac 及 Android 的惡意軟件清除流程。
如果您的設備受到惡意軟件感染,迅速而有條不紊地採取行動可將損害降到最低。本指南帶您完整了解 Windows、Mac 及 Android 的惡意軟件清除流程。
在執行清除工具之前,請先確認您的症狀確實與惡意軟件相關,而非硬件故障、軟件衝突或硬碟空間不足引起的效能下降。真實的惡意軟件症狀常見包括:防毒警報無法解決,或防毒軟件不讓您處理;工作管理員中出現無法解釋的佔用 CPU、記憶體或網絡帶寬的進程;瀏覽器被重新導向至意料之外的網站、出現您未安裝的新擴充功能,或首頁/搜尋引擎被更改;出現帶有陌生副檔名的檔案,或無法打開的檔案;帳號顯示來自意外位置的登入活動;以及與受感染設備關聯的財務帳號出現可疑交易。單純效能下降並非可靠的惡意軟件指標——通常有其他平凡的解釋。
使用 Windows 工作管理員(Ctrl+Shift+Esc)查看正在運行的進程。按 CPU 和網絡使用量排序,識別異常的資源消耗者。右鍵點擊任何可疑進程並選擇「開啟檔案位置」——位於臨時目錄(%temp%、AppData\Local\Temp、AppData\Roaming)、C:\ 根目錄,或帶有隨機字元名稱的進程高度可疑。Microsoft Sysinternals Process Explorer 提供更詳細的視圖,包括每個進程的發行商簽名——未簽名的進程或與其聲稱的發行商不符的進程是惡意軟件的指標。若不確定,請在網上搜尋進程名稱——對確切進程名稱的網絡搜尋通常能迅速確認其是否合法或是已知惡意軟件。
針對瀏覽器,請打開每個已安裝瀏覽器的擴充功能頁面並查閱所有已安裝的擴充功能,移除任何您不認識的。檢查瀏覽器首頁設定、預設搜尋引擎設定及新分頁——這些常被瀏覽器劫持程序修改。如果您的瀏覽器開啟至意料之外的頁面,或搜尋結果被重定向至陌生搜尋引擎,瀏覽器劫持惡意軟件或惡意擴充功能很可能是原因。查看 Windows 設定 > 應用程式 > 啟動,尋找登入時運行的陌生項目,以及設定 > 應用程式 > 已安裝的應用程式中您不認識的軟件。安裝日期與症狀出現時間吻合的未知軟件,是感染來源的有力指標。
如果您懷疑有主動數據外洩或快速蔓延的感染(勒索軟件正在進行、銀行木馬正主動記錄憑證),請先中斷網絡連線,再開始 Windows 惡意軟件清除工作。對於非緊急情況,保持網絡連線以便掃描期間進行雲端查詢。進入帶有網絡功能的安全模式(Windows 設定 > 復原 > 進階啟動 > 立即重新啟動 > 疑難排解 > 進階選項 > 啟動設定 > 重新啟動 > F5)。安全模式只載入 Windows 基本元件,阻止大多數惡意軟件運行——這既改善了偵測效果(惡意軟件無法對掃描器隱藏),也降低了惡意軟件干擾清除工具的風險。
在安全模式中,執行 Malwarebytes Free 完整掃描——從 malwarebytes.com 全新下載(而非使用緩存副本),以確保您擁有最新版本和定義。Malwarebytes 擅長偵測並移除主要防毒軟件可能遺漏的廣告軟件、PUP 及許多木馬家族。Malwarebytes 完成並隔離所有偵測到的項目後,再以主要防毒產品執行完整掃描。按順序執行兩個掃描器(而非同時)可提供對已確認感染最有價值的互補性二次意見保護。如果您的主要防毒軟件已在運行但遺漏了感染,這表明它可能需要更新或更換——考慮另一款產品是否能偵測到它所遺漏的。
防毒清除後,執行手動清理:使用 Autoruns(Sysinternals)驗證啟動位置、計劃任務、瀏覽器輔助物件或服務中沒有殘留的惡意軟件持久化項目。透過設定 > 應用程式移除任何剩餘的未知軟件。將所有瀏覽器重設為預設設定(這將移除所有惡意擴充功能、首頁更改及搜尋引擎修改)。重新啟動至正常模式並確認感染似乎已清除後,從另一台乾淨的設備更改在受感染設備上使用過的所有密碼——在感染期間,任何憑證都應視為可能已被洩露。如果尚未啟用,請在電郵及財務帳號上啟用雙重驗證。
對於 Mac 惡意軟件清除,請使用 Malwarebytes for Mac(提供免費版本)作為首個掃描工具——它對 macOS 上最常見的廣告軟件和資料竊取軟件家族尤為有效。檢查應用程式資料夾,將任何陌生的應用程式拖至廢紙簍。打開系統設定 > 一般 > 登入項目,查閱啟動程式——移除任何您不認識的項目。查看 Safari 擴充功能(Safari > 設定 > 擴充功能),以及 Chrome 和 Firefox 的擴充功能。如果懷疑有更複雜的感染,請進入 macOS 復原模式(啟動時按住 Cmd+R)並使用磁碟工具程式檢查磁碟健康狀況,或考慮使用「重新安裝 macOS」選項,在保留用戶數據的同時重新安裝作業系統。
Android 惡意軟件清除從設定 > 應用程式 > 查看所有應用程式開始。尋找您未安裝的應用程式、具有異常權限的應用程式,或您認識但最近意外更新的應用程式。查看設定 > 安全 > 設備管理員應用程式,並撤銷不應擁有管理員權限的應用程式的管理員許可——間諜軟件和某些激進廣告軟件會授予自己設備管理員狀態以阻止被移除。從 Play 商店安裝 Malwarebytes for Android 並執行完整掃描。對於已存取財務應用程式的銀行木馬感染,請立即通知您的銀行,並考慮在清理設備期間暫時封鎖帳號。對於嚴重或不確定的感染,恢復原廠設定(設定 > 一般管理 > 重設)是最可靠的解決方案——事先將聯絡人和照片備份至 Google Drive。
對於 iPhone,「惡意軟件清除」在非越獄設備上基本上不適用——如 iOS 安全 ↗ 文章所述,可被偵測和移除的傳統惡意軟件通常不會影響非越獄的 iPhone。如果您的 iPhone 出現意外行為,請查看設定 > 私隱與安全性以查閱應用程式權限,刪除任何不認識的應用程式,並重新啟動設備。如果您認為 App Store 中的某個應用程式行為惡意(過度數據使用、意外帳號存取),請刪除它並向 Apple 舉報。對於無法解釋的持續異常行為,透過設定 > 一般 > 轉移或重設 iPhone > 清除所有內容和設定進行恢復原廠設定,可提供一個全新的開始。重設後,從 iCloud 備份還原(如可能,選擇可疑行為出現前的備份)。
成功清除惡意軟件後,按照結構化的感染後清單可防止最常見的後續損害。首先,按敏感程度順序更改在受感染設備上存取過的所有帳號密碼:先更改電郵帳號(因為電郵重設可啟用所有其他帳號接管),然後是銀行及財務帳號,再是工作帳號和 VPN 憑證,最後是其他服務。請從您確信乾淨的設備執行此操作——您的智能手機(如果未同時受感染)或另一台電腦。更改密碼時,評估日後是否使用密碼管理器——LastPass、1Password 或 Bitwarden 可為每項服務提供唯一的強密碼,免除導致人們重複使用密碼的記憶負擔。
查閱財務帳號在設備受感染期間有否任何未授權交易。對於香港銀行帳號,大多數本地銀行設有 24 小時詐騙熱線及報告疑似惡意軟件相關詐騙的具體程序。香港金融管理局對銀行詐騙案中的消費者權益有指引,在及時舉報的情況下,銀行通常被要求調查並常常就未授權交易作出賠償。香港的信用卡公司(Visa/Mastercard)對欺詐交易設有退款機制。請立即報告可疑交易——延誤會降低追回的可能性。對於企業,請查閱在感染期間是否有任何企業電郵帳號被存取,因為商業電郵詐騙(BEC)攻擊通常在企業惡意軟件感染後發生。
透過找出原始感染的根本原因來防止再次感染。回顧惡意軟件可能如何進入設備:是釣魚電郵附件?下載的破解程式?惡意網站的開車式下載?了解初始存取途徑可告訴您需要改變哪些行為。如果受感染設備沒有安裝防毒軟件,請安裝優質的防毒產品;如果它遺漏了主動感染,請重新考慮所使用的產品。如果被停用,請啟用自動作業系統更新。對於企業,考慮感染是否揭示了電郵過濾、端點保護覆蓋範圍或安全意識培訓方面的缺口,這些缺口可能需要在整個組織層面解決。單一惡意軟件事件通常是安全狀況缺口的診斷指標,這些缺口很可能影響不止一台設備。
