20Aug
Postoji mnogo anti-malware programa koji će očistiti vaš sustav nastija, ali što će se dogoditi ako niste u mogućnosti koristiti takav program? Autoruns, od SysInternals( nedavno dobiven od Microsofta), neophodan je kada ručno uklanjate zlonamjerni softver.
Postoji nekoliko razloga zašto ćete morati ručno ukloniti viruse i špijunske programe:
- Možda ne možete podnijeti trčanje resursa gladnih i invazivnih anti-malware programa na računalu
- Možda ćete trebati očistiti računalo mame( ili netko drugi)koji ne shvaća da je veliki blog na web stranici s upozorenjem "Vaše računalo je zaraženo virusom - kliknite OVDJE da ga uklonite" nije poruka koja se nužno može pouzdati)
- Zlonamjerni softver je tako agresivan da se odupire svimpokušava ga automatski ukloniti ili čak nećete dopustiti instalaciju softvera protiv zlonamjernih programa
- Dio vašeg geek vjerovanja je uvjerenje da su anti-spyware programi za wimps
Autoruns je neprocjenjiv dodatak bilo kojem geekovom softverskom alatu. Omogućuje vam praćenje i upravljanje svim programima( i programskim komponentama) koji automatski pokreću sustav Windows( ili s Internet Explorerom).Gotovo svi zlonamjerni programi osmišljeni su za automatsko pokretanje, tako da postoji vrlo velika vjerojatnost da se može otkriti i ukloniti uz pomoć programa Autoruns.
Pokazali smo kako koristiti Autoruns u ranijem članku, koji biste trebali pročitati ako se morate upoznati s programom.
Autoruns je samostalni program koji ne mora biti instaliran na vašem računalu. Može se jednostavno skinuti, skinuti i pokrenuti( link ispod).To čini idealno je za dodavanje u prijenosnu programsku kolekciju na vašem bljeskalicom.
Kada prvi put pokrenete Autoruns na računalu, prikazat će vam se ugovor o licenci:
Nakon što se pristajete na uvjete, otvara se glavni prozor Autoruns, koji vam prikazuje kompletan popis svih softvera koji će se pokrenuti kada se računalo pokrene,kada se prijavite ili kada otvorite Internet Explorer:
Da biste privremeno onemogućili program pokretanja, poništite potvrdni okvir pored njegovog unosa. Napomena: Ovo ne znači da ne znači program ako je pokrenut u to vrijeme - to samo sprječava početak sljedećeg vremena .Da biste trajno spriječili pokretanje programa, potpuno ga izbrisati( upotrijebite tipku Delete ili desnom tipkom miša i odaberite Obriši iz kontekstnog izbornika)).Napomena: Ovo ne znači da ne uklanja program s vašeg računala - da biste ga potpuno uklonili, morate deinstalirati program( ili ga na bilo koji drugi način izbrisati s tvrdog diska).
Sumnjivi softver
Može potrajati malo iskustva( pročitajte "pokušaj i pogreška") da biste postali sposobni prepoznati što je zlonamjerni softver i što nije. Većina zapisa predstavljenih u Autorunu su legitimni programi, čak i ako njihova imena nisu upoznata s vama. Evo nekoliko savjeta koji će vam pomoći razlikovati zlonamjerni softver od legitimnog softvera:
- Ako je unos digitalno potpisan od strane izdavača softvera( tj. Postoji unos u stupcu Publisher ) ili ima "Opis", onda postoji dobra šansada je legitimno
- Ako prepoznajete naziv softvera, onda je obično u redu. Napominjemo da će povremeno zlonamjerni softver "lažno predstavljati" legitiman softver, ali usvaja ime koje je identično ili slično softveru s kojim ste upoznati( npr., "AcrobatLauncher" ili "PhotoshopBrowser").Također, imajte na umu da mnogi programi zlonamjernog softvera prihvaćaju općenite ili neškodljive nazive, kao što su "Diskfix" ili "SearchHelper"( oba navedena u nastavku).
- Oznake zlonamjernog softvera obično se pojavljuju na kartici Logon Autoruns( ali ne uvijek!)
- Ako otvorite mapu koja sadrži EXE ili DLL datoteku( više o tome ispod), pregledajte "posljednji izmijenjeni" datum,datumi su često iz posljednjih nekoliko dana( uz pretpostavku da je vaša infekcija prilično nedavna)
- Zlonamjerni softver se često nalazi u mapi C: \ Windows ili mapi C: \ Windows \ System32
- Zlonamjerni softver često ima samo opću ikonu( lijevood naziva unosa)
Ako ste u nedoumici, kliknite desnom tipkom miša i odaberite Pretraži Online. ..
Dolje navedeni popis prikazuje dva unosa sumnjivog izgleda: Diskfix i SearchHelper
Ovi ulazi, istaknuti gore, prilično su tipični za zlonamjerne infekcije:
- Nemaju ni opise ni izdavače
- Imaju generička imena
- Datoteke se nalaze u C: \ Windows \ System32
- Imaju generičke ikone
- Nazivi datoteka su slučajni nizoviznakova
- Ako pogledate mapu C: \ Windows \ System32 i pronađete datoteke, vidjet ćete da su neke od nedavno izmijenjenih datoteka u mapi( pogledajte dolje)
Dvaput klikom na stavke će vas odvestina njihove odgovarajuće ključeve registra:
Uklanjanje zlonamjernog softvera
Nakon što utvrdite unose za koje smatrate da su sumnjičavi, morate odlučiti što želite učiniti s njima. Vaši odabiri uključuju:
- Privremeno onemogućiti stavku Autorun
- Trajno brisanje stavke Autorun
- Pronalaženje pokrenutog postupka( koristeći Task Manager ili slično) i ukidanje
- Brisanje datoteke EXE ili DLL s diska( ili barem premjestiti u mapugdje se neće automatski pokrenuti)
ili sve gore navedeno, ovisno o tome kako ste sigurni da je program zlonamjerni softver.
Da biste vidjeli jesu li vaše promjene uspjele, morat ćete ponovo pokrenuti uređaj i provjeriti sve ili sve od sljedećeg:
- Autoruns - provjerite je li unos vratio
- Task Manager( ili slično) - da vidi je li program pokrenutponovno nakon ponovnog pokretanja
- Provjerite ponašanje koje je navelo da vjerujete da je vaše računalo na prvom mjestu zaraženo. Ako se više ne događa, šanse su da je vaše računalo sada čisto
Zaključak
Ovo rješenje nije za svakoga i najvjerojatnije je usmjereno na napredne korisnike. Obično korištenje kvalitetne antivirusne aplikacije čini trik, ali ako ne i Autoruns je vrijedan alat u vašem Anti-Malware kompletu.
Imajte na umu da je neki zlonamjerni softver teže ukloniti od drugih. Ponekad vam je potrebno nekoliko iteracija gore navedenih koraka, pri čemu svaka iteracija zahtijeva da pažljivo pogledate svaki zapis Autorun. Ponekad u trenutku kada uklonite stavku Autorun, zlonamjerni softver koji se izvodi zamjenjuje unos. Kada se to dogodi, moramo postati agresivniji u našem atentatu zlonamjernog softvera, uključujući ukidanje programa( čak i legitimni programi poput Explorer.exe) koji su zaraženi zlonamjernim DLL-ovima.
Uskoro ćemo objaviti članak o tome kako prepoznati, locirati i prekinuti procese koji predstavljaju legitimne programe, ali pokreću zaražene DLL-ove, kako bi se ti DLL-ovi mogli izbrisati iz sustava.
Preuzmite Autoruns iz SysInternals