20Aug

Brug Autoruns til manuelt at rense en inficeret pc

click fraud protection

Der er mange anti-malware programmer derude, der vil rense dit system af nasties, men hvad sker der, hvis du ikke kan bruge et sådant program? Autoruns, fra SysInternals( nylig erhvervet af Microsoft), er uundværlig, når man fjerner malware manuelt.

Der er nogle få grunde til, at du måske skal fjerne vira og spyware manuelt:

  • Måske kan du ikke overholde ressourcehungende og invasive anti-malware-programmer på din pc
  • Du skal måske rense din mors computer( eller en andenhvem forstår ikke, at et stort blinkende tegn på et websted, der siger "Din computer er inficeret med en virus - klik HER for at fjerne den" er ikke en besked, der nødvendigvis er pålidelig)
  • Malware er så aggressiv, at den modstår alleforsøger automatisk at fjerne det eller vil ikke engang give dig mulighed for at installere anti-malware software
  • En del af din geek credo er overbevisningen om, at anti-spyware-værktøjer er til wimps

Autoruns er en uvurderlig tilføjelse til enhver geek software værktøjssæt. Det giver dig mulighed for at spore og styre alle programmer( og programkomponenter), der starter automatisk med Windows( eller med Internet Explorer).Næsten alle malware er designet til at starte automatisk, så der er en meget stor chance for, at den kan registreres og fjernes ved hjælp af Autoruns.

instagram viewer

Vi har dækket, hvordan du bruger Autoruns i en tidligere artikel, som du bør læse, hvis du først skal gøre dig bekendt med programmet.

Autoruns er et selvstændigt værktøj, der ikke skal installeres på din computer. Det kan simpelthen downloades, unzipped og køre( link nedenfor).Denne mærke er ideel til at tilføre til din bærbare nyttekollektion på dit flashdrev.

Når du starter Autoruns for første gang på en computer, bliver du præsenteret med licensaftalen:

Når du har accepteret betingelserne, åbnes vinduet Hovedautoruns, der viser dig den komplette liste over al software, der kører, når computeren starter, Når du logger ind, eller når du åbner Internet Explorer:

Hvis du vil deaktivere et program midlertidigt fra lanceringen, skal du fjerne markeringen i feltet ved siden af ​​det. Bemærk: Dette afbryder ikke programmet, hvis det kører på det tidspunkt - det forhindrer blot, at det starter næste -tid. For permanent at forhindre et program i at starte, skal du slette posten helt( brug Slet -tasten eller højreklik og vælg Slet fra kontekstmenuen)).Bemærk: Dette fjerner ikke programmet fra din computer - for at fjerne det helt skal du afinstallere programmet( eller slette det på din harddisk på anden måde).

Mistænkelig software

Det kan tage en rimelig oplevelse( læs "prøve og fejl") for at blive dygtig til at identificere, hvad der er malware og hvad der ikke er. De fleste af de indlæg, der præsenteres i Autoruns, er legitime programmer, selvom deres navne ikke er kendt for dig. Her er nogle tips til at hjælpe dig med at differentiere malware fra den legitime software:

  • Hvis en post er digitalt underskrevet af en softwareudgiver( dvs. der er en post i Publisher kolonnen) eller har en "Beskrivelse", så er der en god chanceat det er legitimt
  • Hvis du genkender softwarens navn, så er det normalt okay. Bemærk, at malware fra tid til anden vil "efterligne" legitim software, men ved at vedtage et navn, der er identisk med eller ligner software, du er bekendt med( fx "AcrobatLauncher" eller "PhotoshopBrowser").Vær også opmærksom på, at mange malware-programmer vedtager generiske eller uskyldige navne, f.eks. "Diskfix" eller "SearchHelper"( begge nævnt nedenfor).
  • Malware-indgange vises normalt på Logon -fanen i Autoruns( men ikke altid!)
  • Hvis du åbner den mappe, der indeholder EXE- eller DLL-filen( mere nedenfor), undersøger du den "sidst ændrede" dato, dendatoer er ofte fra de sidste par dage( forudsat at din infektion er ret nyligt)
  • Malware findes ofte i mappen C: \ Windows eller C: \ Windows \ System32-mappen
  • Malware har ofte kun et generisk ikon( til venstreaf navnet på posten)

Hvis du er i tvivl, højreklik på posten og vælg Søg online. ..

Listen nedenfor viser to mistænkelige udseende poster: Diskfix og SearchHelper

Disse indgange, der fremhæves ovenfor, er temmelig typiske for malware infektioner:

  • De har hverken beskrivelser eller udgivere
  • De har generiske navne
  • Filerne er placeret i C: \ Windows \ System32
  • De har generiske ikoner
  • Filnavnet er tilfældige strenge aftegn
  • Hvis du kigger i mappen C: \ Windows \ System32 og finder filerne, kan du se, at de er nogle af de senest ændrede filer i mappen( se nedenfor).

Dobbeltklik på emnerne tager digtil deres tilsvarende registreringsnøgler:

Fjernelse af malware

Når du har identificeret de poster, du mener er mistænkelige, skal du nu bestemme, hvad du vil gøre med dem. Dine valg omfatter:

  • Deaktiver midlertidigt Autorun-indtastningen
  • Slet permanent Autorun-indgangen
  • Find løbeprocessen( ved hjælp af Task Manager eller lignende) og afslut den
  • Slet EXE- eller DLL-filen fra din disk( eller i det mindste flytte den til en mappehvor det ikke vil blive startet automatisk)

eller alt ovenfor, afhængigt af hvor sikkert du er, at programmet er malware.

For at se, om dine ændringer lykkedes, skal du genstarte din maskine og kontrollere noget eller alle følgende:

  • Autoruns - for at se om indgangen er returneret
  • Task Manager( eller lignende) - for at se om programmet blev startetigen efter genstart
  • Kontroller den adfærd, der førte dig til at tro, at din pc blev inficeret i første omgang. Hvis det ikke længere sker, er chancerne for, at din pc nu er ren

Konklusion

Denne løsning er ikke for alle og er højst sandsynligt rettet mod avancerede brugere. Normalt ved hjælp af et kvalitets Antivirusprogram gør tricket, men hvis ikke Autoruns er et værdifuldt værktøj i dit Anti-Malware kit.

Husk på, at nogle malware er sværere at fjerne end andre. Nogle gange har du brug for flere gentagelser af trinene ovenfor, med hver iteration, der kræver, at du ser mere omhyggeligt på hver Autorun-post. Nogle gange er det øjeblikkeligt, at du fjerner Autorun-posten, den malware, der kører, erstatter posten. Når dette sker, skal vi blive mere aggressive i vores mord på malware, herunder afslutte programmer( endda legitime programmer som Explorer.exe), der er inficeret med malware DLL'er.

Vi vil snart udgive en artikel om, hvordan man identificerer, lokaliserer og afslutter processer, der repræsenterer legitime programmer, men kører inficerede DLL'er, for at disse DLL'er kan slettes fra systemet.

Download Autoruns fra SysInternals