Použite Autoruns na manuálne čistenie infikovaného počítača
Existuje mnoho programov proti malwaru, ktoré vyčistia váš systém nasties, ale čo sa stane, ak nemôžete použiť takýto program? Autoruns, od SysInternals (nedávno získaný spoločnosťou Microsoft), je nevyhnutný pri manuálnom odstraňovaní škodlivého softvéru.
Existuje niekoľko dôvodov, prečo možno budete musieť ručne odstrániť vírusy a spyware:
- Možno nemôžete dodržiavať spustené programy s ľuďmi a invázne proti škodlivým softvérom na počítači
- Možno budete musieť vyčistiť počítač vašej matky (alebo niekto iný, kto nechápe, že veľký blikajúci znak na webovej lokalite s názvom "Váš počítač je infikovaný vírusom - kliknite TU ho odstrániť" nie je správa, ktorá môže byť nevyhnutne dôveryhodný)
- Škodlivý softvér je tak agresívny, že odoláva všetkým pokusom o jeho automatické odstránenie alebo dokonca vám nedovolí inštalovať softvér proti malwaru
- Súčasťou vášho geek kréda je presvedčenie, že anti-spyware nástroje sú pre wimps
Autoruns je neoceniteľným prídavkom k softvérovému balíku nástrojov geek. Umožňuje vám sledovať a kontrolovať všetky programy (a programové komponenty), ktoré sa spúšťajú automaticky so systémom Windows (alebo s programom Internet Explorer). Prakticky všetok škodlivý softvér je navrhnutý tak, aby sa spustil automaticky, takže existuje veľmi silná šanca, že ho možno odhaliť a odstrániť pomocou Autoruns.
Pokryli sme, ako používať Autoruns v predchádzajúcom článku, ktorý by ste si mali prečítať, ak sa potrebujete najprv oboznámiť s programom.
Autoruns je samostatný nástroj, ktorý sa nemusí nainštalovať do počítača. Môžete ho jednoducho stiahnuť, rozbaliť a spustiť (odkaz nižšie). To je ideálne pre pridanie do vašej prenosnej pomôcky na vašej flash disk.
Keď prvýkrát spustite Autoruns na počítači, dostanete licenčnú zmluvu:
Po súhlase s podmienkami sa otvorí hlavné okno Autoruns, ktoré vám ukáže kompletný zoznam všetkého softvéru, ktorý sa spustí po spustení počítača, po prihlásení alebo pri otvorení programu Internet Explorer:
Ak chcete dočasne vypnúť program od spustenia, zrušte začiarknutie políčka vedľa položky. Poznámka: Toto je nie ukončite program, ak je v danom čase bežiaci - zabráni tomu, aby sa spustil Ďalšie Čas. Ak chcete natrvalo zabrániť spusteniu programu, úplne ho odstráňte (použite vymazať alebo kliknite pravým tlačidlom myši a vyberte vymazať z kontextového menu)). Poznámka: Toto je nie odstráňte program z počítača - úplne ho odstráňte, musíte odinštalovať program (alebo ho inak odstrániť z pevného disku).
Podozrivý softvér
Môže to trvať veľa skúseností (čítať "pokus a chyba"), aby ste sa stali odborníkmi na identifikáciu toho, čo je škodlivý softvér a čo nie. Väčšina položiek uvedených v Autoruns sú legitímne programy, aj keď ich mená sú pre vás neznáme. Tu je niekoľko tipov, ktoré vám pomôžu rozlíšiť škodlivý softvér od legitímneho softvéru:
- Ak je záznam digitálne podpísaný vydavateľom softvéru (t. J. Existuje záznam v Vydavateľ stĺpec) alebo má "popis", potom je dobrá šanca, že je to legitímne
- Ak poznáte názov softvéru, je to zvyčajne v poriadku. Upozorňujeme, že v niektorých prípadoch sa malware "zosobáši" s legitímnym softvérom, ale prijme meno, ktoré je totožné alebo podobné ako softvér, ktorý poznáte (napríklad "AcrobatLauncher" alebo "PhotoshopBrowser"). Upozorňujeme tiež, že mnohé škodlivé programy prijímajú všeobecné alebo neškodné názvy, ako napríklad "Diskfix" alebo "SearchHelper" (obidva uvedené nižšie).
- Záznamy škodlivého softvéru sa zvyčajne zobrazujú na Prihlásiť sa tab Autoruns (ale nie vždy!)
- Ak otvoríte priečinok, ktorý obsahuje súbor EXE alebo DLL (viac o tomto nižšie), preskúmať dátum "posledné úpravy", dátumy sú často z posledných dní (za predpokladu, že vaša infekcia je pomerne nedávna)
- Škodlivý softvér sa často nachádza v priečinku C: \ Windows alebo priečinku C: \ Windows \ System32
- Malware má často len všeobecnú ikonu (vľavo od názvu záznamu)
Ak máte pochybnosti, kliknite pravým tlačidlom myši na položku a vyberte ju Hľadať online ...
Nižšie uvedený zoznam obsahuje dve podozrivé záznamy: Diskfix a SearchHelper
Tieto záznamy, ktoré sú uvedené vyššie, sú typické pre infekcie škodlivého softvéru:
- Nemajú ani popis ani vydavateľov
- Majú všeobecné názvy
- Súbory sú umiestnené v systéme C: \ Windows \ System32
- Majú všeobecné ikony
- Názvy súborov sú náhodné reťazce znakov
- Ak sa pozriete do priečinka C: \ Windows \ System32 a vyhľadáte súbory, uvidíte, že ide o niektoré z nedávno upravených súborov v priečinku (pozri nižšie)
Dvojitým kliknutím na položky sa dostanete na príslušné kľúče databázy Registry:
Odstránenie škodlivého softvéru
Keď ste identifikovali položky, o ktorých sa domnievate, že sú podozrivé, musíte sa rozhodnúť, čo s nimi chcete robiť. Medzi vaše voľby patria:
- Dočasne zakážte položku Autorun
- Trvalé odstránenie položky Autorun
- Nájdite bežiaci proces (pomocou Správcu úloh alebo podobne) a ukončite ho
- Odstráňte súbor EXE alebo DLL z disku (alebo ho aspoň presuňte do priečinka, kde sa automaticky nespustí)
alebo všetky vyššie uvedené, v závislosti od toho, či ste si istí, že program je škodlivý softvér.
Ak chcete zistiť, či sa vaše zmeny podarilo, budete musieť počítač reštartovať a skontrolovať niektoré alebo všetky z nasledujúcich možností:
- Autoruns - zistiť, či sa záznam vrátil
- Správca úloh (alebo podobný) - či sa program po opätovnom spustení znova spustil
- Skontrolujte správanie, ktoré viedlo k presvedčeniu, že váš počítač bol na prvom mieste infikovaný. Ak sa už nedeje, je pravdepodobné, že počítač je teraz čistý
záver
Toto riešenie nie je pre každého a je s najväčšou pravdepodobnosťou zamerané na pokročilých používateľov. Zvyčajne pomocou kvalitnej antivírusovej aplikácie to trik, ale ak nie Autoruns je cenným nástrojom vo vašej súprave Anti-Malware.
Majte na pamäti, že niektorý škodlivý softvér je ťažšie odstrániť ako iné. Niekedy potrebujete niekoľko iterácií vyššie uvedených krokov, pričom každá iterácia vyžaduje, aby ste pozornejšie sledovali každú položku Autorun. Niekedy v okamžiku, keď odstránite položku Autorun, spustený malware nahrádza záznam. Keď k tomu dôjde, musíme byť agresívnejší v atentáte na škodlivý softvér, vrátane ukončenia programov (dokonca aj legitímnych programov, ako je Explorer.exe), ktoré sú infikované škodlivými DLL.
Krátko budeme publikovať článok o tom, ako identifikovať, lokalizovať a ukončiť procesy, ktoré predstavujú legitímne programy, ale používajú infikované DLL, aby sa tieto DLL mohli vymazať zo systému.
Stiahnuť Autoruns zo SysInternals