Uporabite Autoruns za ročno čiščenje okuženega računalnika
Obstaja veliko anti-malware programov tam, da bo čist vaš sistem nasties, ampak kaj se zgodi, če niste mogli uporabiti tak program? Samodejni zagon iz SysInternals (ki ga je pred kratkim kupil Microsoft) je nepogrešljiv pri ročnem odstranjevanju zlonamerne programske opreme.
Obstaja nekaj razlogov, zakaj boste morda morali ročno odstraniti viruse in vohunsko programsko opremo:
- Morda ne morete držati vodenih virov in invazivnih protivirusnih programov na vašem računalniku
- Morda boste morali očistiti mamin računalnik (ali nekoga drugega, ki ne razume, da je velik utripajoč znak na spletnem mestu, ki pravi, da je vaš računalnik okužen z virusom - kliknite TUKAJ, da ga odstranite ”ni sporočilo, ki je nujno. zaupanja vreden)
- Zlonamerna programska oprema je tako agresivna, da se upira vsem poskusom samodejnega odstranjevanja ali pa vam celo ne dovoli namestitve protivirusne programske opreme.
- Del vašega geek kredo je prepričanje, da anti-spyware pripomočki so za wimps
Autoruns je neprecenljiv dodatek k programski opremi vsakega geeka. Omogoča sledenje in nadzor vseh programov (in komponent programa), ki se samodejno zaženejo v sistemu Windows (ali z Internet Explorerjem). Skoraj vsa zlonamerna programska oprema je zasnovana tako, da se samodejno zažene, tako da obstaja velika verjetnost, da jo bo mogoče odkriti in odstraniti s pomočjo možnosti Autoruns.
Preučili smo, kako uporabiti Autoruns v prejšnjem članku, ki bi ga morali prebrati, če se morate najprej seznaniti s programom.
Autoruns je samostojen pripomoček, ki ga ni treba namestiti v računalnik. Lahko ga preprosto prenesete, razpakirate in zaženete (spodnja povezava). Zaradi tega je idealna za dodajanje vaše prenosne zbirke pripomočkov na vaš bliskovni pogon.
Ko prvič zaženete samodejni zagon v računalniku, se vam prikaže licenčna pogodba:
Ko se strinjate s pogoji, se odpre glavno okno za samodejni zagon, ki prikazuje celoten seznam programske opreme, ki se bo zagnala ob zagonu računalnika, ko se prijavite ali ko odprete Internet Explorer:
Če želite začasno onemogočiti zagon programa, počistite polje ob njenem vnosu. Opomba: To se zgodi ne prekinitev programa, če se izvaja v času - zgolj preprečuje zagon Naslednji čas. Za trajno preprečitev zagona programa izbrišite celoten vnos (uporabite Izbriši ali desno tipko miške in izberite Izbriši iz kontekstnega menija)). Opomba: To se zgodi ne odstranite program iz računalnika - če ga želite v celoti odstraniti, morate odstraniti program (ali ga kako drugače izbrisati s trdega diska).
Sumljiva programska oprema
Precej izkušenj (prebiranje »poskusov in napak«) je lahko precej, da bi lahko spoznali, kaj je zlonamerna programska oprema in kaj ni. Večina vnosov, predstavljenih v možnostih Autoruns, so legitimni programi, čeprav vam imena niso znana. Tukaj je nekaj nasvetov, ki vam bodo pomagali razlikovati zlonamerno programsko opremo od zakonite programske opreme:
- Če je vnos digitalno podpisan z izdajateljem programske opreme (tj. V vnosu Založnik stolpec) ali ima opis, potem obstaja velika verjetnost, da je legitimen
- Če prepoznate ime programske opreme, je to običajno v redu. Upoštevajte, da občasno zlonamerna programska oprema »oponaša« zakonito programsko opremo, vendar sprejme ime, ki je enako ali podobno programski opremi, s katero ste seznanjeni (npr. »AcrobatLauncher« ali »PhotoshopBrowser«). Upoštevajte tudi, da številni zlonamerni programi sprejemajo generična ali neškodljiva imena, kot sta »Diskfix« ali »SearchHelper« (oba navedena spodaj)..
- Vnosi zlonamerne programske opreme se običajno prikažejo na Prijavi se zavihek Autoruns (vendar ne vedno!)
- Če odprete mapo, ki vsebuje datoteko EXE ali DLL (več o tem spodaj), preglejte datum zadnje spremembe, datumi so pogosto v zadnjih nekaj dneh (ob predpostavki, da je vaša okužba precej nova)
- Zlonamerna programska oprema se pogosto nahaja v mapi C: Windows ali v mapi C: Windows System32
- Zlonamerna programska oprema ima pogosto le generično ikono (levo od imena vnosa)
Če ste v dvomih, z desno miškino tipko kliknite vnos in izberite Išči po spletu…
Spodnji seznam prikazuje dve sumljivo iskani vnosi: Diskfix in SearchHelper
Ti vnosi, označeni zgoraj, so precej značilni za okužbe z zlonamerno programsko opremo:
- Nimajo niti opisov niti izdajateljev
- Imajo generična imena
- Datoteke se nahajajo v C: Windows System32
- Imajo generične ikone
- Imena datotek so naključni nizi znakov
- Če pogledate v mapo C: Windows System32 in poiščete datoteke, boste videli, da so to nedavno spremenjene datoteke v mapi (glejte spodaj).
Če dvokliknete elemente, se odprete ustrezni registrski ključ:
Odstranjevanje zlonamerne programske opreme
Ko prepoznate vnose, za katere menite, da so sumljivi, se morate zdaj odločiti, kaj želite z njimi. Vaše možnosti vključujejo:
- Začasno onemogočite vnos Autorun
- Trajno izbrišite vnos Autorun
- Poiščite tekoči proces (z uporabo upravitelja opravil ali podobno) in ga zaključite
- Izbrišite datoteko EXE ali DLL z diska (ali jo vsaj premaknite v mapo, kjer se ne bo samodejno zagnala)
ali vse zgoraj navedeno, odvisno od tega, koliko ste prepričani, da je program zlonamerna programska oprema.
Če želite videti, ali so vaše spremembe uspešne, morate znova zagnati računalnik in preveriti vse ali vse naslednje:
- Samodejni zagon - da vidite, ali se je vnos vrnil
- Upravitelj opravil (ali podobno) - da vidite, ali je bil program ponovno zagnan po ponovnem zagonu
- Preverite vedenje, zaradi katerega ste verjeli, da je vaš računalnik okužen. Če se ne dogaja več, so možnosti, da je vaš računalnik zdaj čist
Zaključek
Ta rešitev ni za vsakogar in je najverjetneje prilagojena naprednim uporabnikom. Običajno z uporabo kakovostne protivirusne aplikacije je vse v redu, če pa ne, je orodje Autoruns dragoceno orodje v vašem kompletu za preprečevanje zlonamerne programske opreme..
Ne pozabite, da je nekaj zlonamerne programske opreme težje odstraniti kot druge. Včasih potrebujete več ponovitev zgornjih korakov, pri čemer vsaka ponovitev zahteva natančnejše pregledovanje vsakega avtorskega vnosa. Včasih takoj, ko odstranite vnos Autorun, zagnana zlonamerna programska oprema nadomesti vnos. Ko se to zgodi, moramo postati bolj agresivni pri atentatu na zlonamerno programsko opremo, vključno s končnimi programi (tudi legitimnimi programi, kot je Explorer.exe), ki so okuženi z DLL-ji zlonamerne programske opreme.
Kmalu bomo objavili članek o tem, kako prepoznati, poiskati in zaključiti procese, ki predstavljajo zakonite programe, vendar tečejo okužene DLL-je, da bi lahko te DLL-je izbrisali iz sistema..
Prenesite Autoruns iz SysInternals