20Aug

Verwenden Sie Autoruns, um einen infizierten PC manuell zu reinigen

Es gibt viele Anti-Malware-Programme, die Ihr System von Fehlern befreien, aber was passiert, wenn Sie ein solches Programm nicht verwenden können? Autoruns, von SysInternals( kürzlich von Microsoft erworben), ist unentbehrlich beim manuellen Entfernen von Malware.

Es gibt einige Gründe, warum Sie Viren und Spyware möglicherweise manuell entfernen müssen:

  • Möglicherweise können Sie keine ressourcenhungrigen und invasiven Anti-Malware-Programme auf Ihrem PC ausführen.
  • Sie müssen möglicherweise den Computer Ihrer Mutter( oder jemand anderen) säubernWer versteht nicht, dass ein großes blinkendes Schild auf einer Website mit der Aufschrift "Ihr Computer ist mit einem Virus infiziert - klicken Sie HIER, um ihn zu entfernen" nicht unbedingt vertrauenswürdig ist.
  • Die Malware ist so aggressiv, dass sie allen widerstehtversucht, es automatisch zu entfernen, oder wird Ihnen sogar nicht erlauben, Anti-Malware-Software
  • zu installieren Teil Ihres Geek-Credo ist die Überzeugung, dass Anti-Spyware-Utilities für Wimps sind

Autoruns ist eine unschätzbare Ergänzung zu jedem Geeks Software-Toolkit. Es ermöglicht Ihnen, alle Programme( und Programmkomponenten) zu verfolgen und zu steuern, die automatisch mit Windows( oder mit Internet Explorer) gestartet werden. Praktisch alle Malware ist so konzipiert, dass sie automatisch gestartet wird. Daher besteht eine sehr hohe Wahrscheinlichkeit, dass sie mithilfe von Autoruns erkannt und entfernt werden kann.

Wir haben in einem früheren Artikel über die Verwendung von Autoruns berichtet, den Sie lesen sollten, wenn Sie sich zuerst mit dem Programm vertraut machen müssen.

Autoruns ist ein eigenständiges Dienstprogramm, das nicht auf Ihrem Computer installiert werden muss. Es kann einfach heruntergeladen, entpackt und ausgeführt werden( Link unten).Dies ist ideal geeignet, um Ihre portable Utility-Sammlung auf Ihrem Flash-Laufwerk hinzuzufügen.

Wenn Sie Autoruns zum ersten Mal auf einem Computer starten, wird Ihnen die Lizenzvereinbarung angezeigt:

Nachdem Sie den Bedingungen zugestimmt haben, wird das Hauptfenster von Autoruns geöffnet, das Ihnen die vollständige Liste aller Software anzeigt, die beim Start Ihres Computers ausgeführt wird. Wenn Sie sich anmelden oder wenn Sie den Internet Explorer öffnen:

Um das Starten eines Programms vorübergehend zu deaktivieren, deaktivieren Sie das Kontrollkästchen neben dem Eintrag. Hinweis: Dies beendet nicht das Programm, wenn es zu der Zeit ausgeführt wird - es verhindert lediglich, dass es nächste Zeit zu starten. Um den Programmstart dauerhaft zu verhindern, löschen Sie den Eintrag vollständig( verwenden Sie den löschen, oder klicken Sie mit der rechten Maustaste und wählen Sie löschen aus dem Kontextmenü)).Hinweis: Dadurch wird nicht das Programm von Ihrem Computer entfernen - um es vollständig zu entfernen, müssen Sie das Programm deinstallieren( oder sonst von der Festplatte löschen).

Verdächtige Software

Es kann ein wenig Erfahrung erfordern( lesen Sie "Versuch und Irrtum"), um zu erkennen, was Malware ist und was nicht. Die meisten Einträge in Autoruns sind legitime Programme, auch wenn ihre Namen Ihnen nicht bekannt sind. Hier sind einige Tipps, die Ihnen helfen, die Malware von der legitimen Software zu unterscheiden:

  • Wenn ein Eintrag von einem Softwarehersteller digital signiert wird( dh es gibt einen Eintrag in der Spalte Publisher ) oder eine "Beschreibung" hat, besteht eine gute Chancedass es legitim ist
  • Wenn Sie den Namen der Software erkennen, ist es normalerweise okay. Beachten Sie, dass Malware gelegentlich legitime Software "imitiert", aber einen Namen annimmt, der mit der Software, mit der Sie vertraut sind, identisch oder ähnlich ist( z. B. "AcrobatLauncher" oder "PhotoshopBrowser").Beachten Sie auch, dass viele Malware-Programme generische oder harmlos klingende Namen wie "Diskfix" oder "SearchHelper"( beide unten erwähnt) verwenden.
  • Malware Einträge erscheinen normalerweise auf der Logon Registerkarte von Autoruns( aber nicht immer!)
  • Wenn Sie den Ordner öffnen, der die EXE- oder DLL-Datei enthält( mehr dazu unten), untersuchen Sie das "letzte Änderungsdatum", dasDie Daten stammen oft von den letzten Tagen( angenommen, dass Ihre Infektion ziemlich neu ist).
  • Malware befindet sich oft im Ordner C: \ Windows oder im Ordner C: \ Windows \ System32.
  • Malware hat oft nur ein generisches Symbol( links)des Namens des Eintrags)

Im Zweifelsfall klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Search Online. ..

Die folgende Liste enthält zwei verdächtige Einträge: Diskfix und SearchHelper

Diese Einträge, oben hervorgehoben, sind ziemlich typisch für Malware-Infektionen:

  • Sie haben weder Beschreibungen noch Verlage
  • Sie haben generische Namen
  • Die Dateien befinden sich in C: \ Windows \ System32
  • Sie haben generische Symbole
  • Die Dateinamen sind zufällige Strings vonZeichen
  • Wenn Sie im Ordner C: \ Windows \ System32 nach den Dateien suchen, sehen Sie, dass es sich um einige der zuletzt geänderten Dateien in dem Ordner handelt( siehe unten).

Doppelklicken auf die Elemente führt Siezu den entsprechenden Registrierungsschlüsseln:

Entfernen der Malware

Sobald Sie die Einträge identifiziert haben, die Sie für verdächtig halten, müssen Sie nun entscheiden, was Sie damit machen möchten. Sie haben die Wahl zwischen:

  • Den Autorun-Eintrag vorübergehend deaktivieren
  • Den Autorun-Eintrag dauerhaft löschen
  • Den laufenden Prozess( mit dem Task-Manager oder ähnlichem) suchen und beenden
  • Die EXE- oder DLL-Datei von der Festplatte löschen( oder zumindest in einen Ordner verschieben)wo es nicht automatisch gestartet wird)

oder alle der oben genannten, je nachdem wie sicher Sie sind, dass das Programm Malware ist.

Um zu sehen, ob Ihre Änderungen erfolgreich waren, müssen Sie Ihren Rechner neu starten und einige oder alle der folgenden Punkte prüfen:

  • Autoruns - um zu sehen, ob der Eintrag
  • Task Manager( oder Ähnliches) zurückgegeben hat, um zu sehen, ob das Programm gestartet wurdeerneut nach dem Neustart
  • Überprüfen Sie das Verhalten, das Sie glauben ließ, dass Ihr PC überhaupt infiziert war. Wenn dies nicht mehr der Fall ist, besteht die Möglichkeit, dass Ihr PC jetzt sauber ist.

Fazit

Diese Lösung ist nicht für jedermann geeignet und richtet sich am ehesten an fortgeschrittene Benutzer. In der Regel eine qualitativ hochwertige Antivirus-Anwendung tut den Trick, aber wenn nicht Autoruns ist ein wertvolles Werkzeug in Ihrem Anti-Malware-Kit.

Beachten Sie, dass einige Malware schwerer zu entfernen ist als andere. Manchmal benötigen Sie mehrere Iterationen der oben genannten Schritte, wobei Sie für jede Iteration einen genaueren Blick auf jeden Autorun-Eintrag benötigen. Manchmal, wenn Sie den Autorun-Eintrag entfernen, ersetzt die laufende Malware den Eintrag. Wenn dies geschieht, müssen wir bei der Ermordung der Malware aggressiver werden, einschließlich der Beendigung von Programmen( sogar legitimen Programmen wie Explorer.exe), die mit Malware-DLLs infiziert sind.

In Kürze werden wir einen Artikel darüber veröffentlichen, wie Prozesse, die legitime Programme darstellen, aber infizierte DLLs ausführen, identifiziert, lokalisiert und beendet werden, damit diese DLLs aus dem System gelöscht werden können.

Laden Sie Autoruns von SysInternals

herunter