20Aug
Existuje mnoho programů proti malwaru, které vyčistí systém nasties, ale co se stane, pokud nebudete moci používat takový program? Autoruns, od společnosti SysInternals( nedávno získané společností Microsoft), je nepostradatelná při manuálním odstraňování škodlivého softwaru.
Existuje několik důvodů, proč byste museli ručně odstranit viry a spyware:
-
- Možná nebudete moci na vašem počítači běhat běžné a invazivní programy proti škodlivému softwaru.
- Možná budete muset vyčistit počítač vaší matky( nebo někoho jinéhokdo nerozumí tomu, že velký blikající znak na webu, který říká "Váš počítač je infikován virem - klikněte ZDE na jeho odstranění", není zpráva, která může být nutně důvěryhodná)
- Malware je tak agresivní, že odolává všempokouší se automaticky odstranit nebo dokonce vám dovolí nainstalovat software proti malwaru
- Součástí vašeho geekového kréda je přesvědčení, že nástroje anti-spyware jsou pro wimps
Autoruns je neocenitelný přírůstek softwarových nástrojů pro všechny geeky. Umožňuje sledovat a řídit všechny programy( a programové komponenty), které se spouštějí automaticky s Windows( nebo s aplikací Internet Explorer).Ve skutečnosti je veškerý škodlivý software navržen tak, aby se automaticky spouštěl, a proto je velmi silná šance, že může být detekována a odstraněna pomocí Autoruns.
Pokryli jsme, jak používat Autoruns v předchozím článku, který byste si měli přečíst, pokud se nejprve musíte seznámit s programem. Program
Autoruns je samostatný nástroj, který nemusí být v počítači nainstalován. Lze jej jednoduše stáhnout, rozbalit a spustit( odkaz níže).To je ideální pro přidání do přenosné utility kolekce na vašem flash disku.
Při prvním spuštění aplikace Autoruns v počítači se zobrazí licenční ujednání:
Po souhlasu s podmínkami se otevře hlavní okno Autoruns, které vám ukáže kompletní seznam všech softwarů, které se spustí po spuštění počítače,při přihlášení nebo po otevření aplikace Internet Explorer:
Chcete-li dočasně zakázat spuštění programu, zrušte zaškrtnutí políčka vedle jeho položky. Poznámka: Toto provede program , nikoli , ukončí program, pokud je v daném okamžiku spuštěn - pouze zabrání spuštění dalšího času .Chcete-li trvale zabránit spuštění programu, odstraňte jej úplně( použijte klávesu Delete nebo klepněte pravým tlačítkem myši a vyberte Delete z kontextového menu)).Poznámka: Tímto způsobem ne odebere program z počítače - k jeho úplnému odebrání je třeba program odinstalovat( nebo jej jinak smazat z pevného disku).
Podezřelý software
Může trvat dost zkušeností( čtěte "zkušební verze a chyby"), abyste se mohli zdokonalit při zjišťování toho, co je malware a co není.Většina položek uvedených v Autoruns jsou legitimní programy, i když jejich jména jsou pro vás neznámá.Zde je několik tipů, které vám pomohou odlišit malware od legitimního softwaru:
- Pokud je záznam digitálně podepsán vydavatelem softwaru( tj. Existuje položka ve sloupci vydavatele ) nebo má "Popis", pak existuje dobrá šanceže je to legitimní
- Pokud poznáte název softwaru, je to obvykle v pořádku. Všimněte si, že příležitostně se malware "předstírá" legitimní software, ale přijme jméno, které je totožné nebo podobné jako software, který jste obeznámeni( např. "AcrobatLauncher" nebo "PhotoshopBrowser").Uvědomte si také, že mnoho škodlivých programů přijímá obecná nebo neškodná jména, například "Diskfix" nebo "SearchHelper"( oba jsou uvedeny níže).
- Záznamy škodlivého softwaru se obvykle objevují na kartě přihlášení autorunů( ale ne vždy!)
- Pokud otevřete složku obsahující soubor EXE nebo DLL( více na tomto níže), prohlédněte si datum "poslední modifikované"(
- Malware je často umístěn ve složce C: \ Windows nebo ve složce C: \ Windows \ System32
- Malware má často jen obecnou ikonu( vlevonázvu položky)
Pokud máte pochybnosti, klepněte pravým tlačítkem myši na položku a vyberte možnost Search Online. ..
Níže uvedený seznam zobrazuje dvě podezřelé záznamy: Diskfix a SearchHelper
Tyto položky uvedené výše jsou typické pro infekce malware:
- Nemají popis ani vydavatele
- Mají obecná jména
- Soubory jsou umístěny v C: \ Windows \ System32
- Mají obecné ikony
- Názvy souborů jsou náhodné řetězceznaky
- Pokud se podíváte do složky C: \ Windows \ System32 a najděte soubory, uvidíte, že se jedná o některé z nejnovějších změněných souborů ve složce( viz níže)
Dvojité kliknutí na položky vás provedena jejich příslušné klíče registru:
Odstranění škodlivého kódu
Jakmile zjistíte položky, které považujete za podezřelé, musíte se nyní rozhodnout, co s nimi chcete dělat. Vaše volby zahrnují:
- Dočasně zakázat položku Autorun
- Trvale odstranit položku Autorun
- Vyhledejte spuštěný proces( pomocí Správce úloh nebo podobně) a ukončete jej
- Odstraňte soubor EXE nebo DLL z disku( nebo přemístěte jej alespoň do složkykde to nebude automaticky spuštěno)
nebo všechny výše uvedené, v závislosti na tom, jak jistě jste, že program je malware.
Chcete-li zjistit, zda se vaše změny podařilo, budete muset počítač restartovat a zkontrolovat některá nebo všechna následující:
- Autoruns - zda se záznam vrátil
- Správce úloh( nebo podobný) - zjistil, zda byl program spuštěnznovu po restartu
- Zkontrolujte chování, které vedlo k domněnce, že vaše PC bylo nakaženo na prvním místě.Pokud se to již neděje, je pravděpodobné, že je váš počítač nyní čistý
Závěr
Toto řešení není pro každého a je s největší pravděpodobností zaměřeno na pokročilé uživatele. Obvykle používáte kvalitní antivirovou aplikaci, ale pokud ne Autoruns je cenným nástrojem v sadě Anti-Malware.
Uvědomte si, že některé malware je těžší odstranit než jiné.Někdy budete potřebovat několik iterací výše uvedených kroků, přičemž každá iterace vyžaduje, abyste pozorněji zvážili každou položku Autorun. Někdy v okamžiku, kdy odeberete položku Autorun, spuštěný malware nahrazuje položku. Když k tomu dojde, musíme být agresivnější při zavraždění malware, včetně ukončení programů( dokonce i legitimních programů jako Explorer.exe), které jsou nakaženy malwarovými DLL.
Krátce budeme publikovat článek o tom, jak identifikovat, lokalizovat a ukončit procesy, které představují legitimní programy, ale používají infikované knihovny DLL, aby tyto DLL mohly být odstraněny ze systému.
Stáhnout Autoruns od SysInternals