20Aug

Utilizzare Autoruns per pulire manualmente un PC infetto

Ci sono molti programmi anti-malware là fuori che puliranno il tuo sistema di fastidi, ma cosa succede se non sei in grado di usare un programma del genere? Autoruns, da SysInternals( recentemente acquisita da Microsoft), è indispensabile per rimuovere manualmente il malware.

Ci sono alcuni motivi per cui potrebbe essere necessario rimuovere manualmente virus e spyware:

  • Forse non si può tollerare l'esecuzione di programmi anti-malware affamati di risorse sul PC
  • Potrebbe essere necessario pulire il computer di tua madre( o qualcun altrochi non capisce che un grande cartello lampeggiante su un sito web che dice "Il tuo computer è infetto da un virus - clicca QUI per rimuoverlo" non è un messaggio che può essere considerato attendibile)
  • Il malware è così aggressivo da resistere a tuttitenta di rimuoverlo automaticamente, o non ti permetterà nemmeno di installare software anti-malware
  • Parte del tuo credo geek è la convinzione che le utilità anti-spyware siano per WIMP

Autoruns è un'aggiunta inestimabile agli strumenti software di qualsiasi geek. Ti consente di tracciare e controllare tutti i programmi( e i componenti del programma) che si avviano automaticamente con Windows( o con Internet Explorer).Praticamente tutti i malware sono progettati per l'avvio automatico, quindi c'è una fortissima possibilità che possa essere rilevato e rimosso con l'aiuto di Autoruns.

Abbiamo spiegato come usare Autoruns in un articolo precedente, che dovresti leggere se devi prima familiarizzare con il programma.

Autoruns è una utility autonoma che non ha bisogno di essere installata sul tuo computer. Può essere semplicemente scaricato, decompresso ed eseguito( link sotto).Questo rende ideale per aggiungere alla tua raccolta di utilità portatile sul tuo flash drive.

Quando avvii Autoruns per la prima volta su un computer, ti viene presentato il contratto di licenza:

Dopo aver accettato i termini, si apre la finestra principale di Autoruns, che mostra l'elenco completo di tutti i software che verranno eseguiti all'avvio del computer,quando si accede o quando si apre Internet Explorer:

Per disabilitare temporaneamente un programma all'avvio, deselezionare la casella accanto alla sua voce. Nota: non termina il programma se è in esecuzione al momento - impedisce semplicemente di avviare dopo il tempo .Per impedire in modo permanente l'avvio di un programma, eliminare completamente la voce( utilizzare la chiave Elimina oppure fare clic con il tasto destro e scegliere Cancellare dal menu di scelta rapida)).Nota: non rimuove il programma dal computer: per rimuoverlo completamente è necessario disinstallare il programma( o altrimenti cancellarlo dal disco rigido).Software sospettoso

Può richiedere un bel po 'di esperienza( leggi "prove ed errori") per diventare esperto nell'individuare cosa sia il malware e cosa no. La maggior parte delle voci presentate in Autoruns sono programmi legittimi, anche se i loro nomi non ti sono familiari. Ecco alcuni suggerimenti per aiutarti a differenziare il malware dal software legittimo:

  • Se una voce è firmata digitalmente da un editore di software( cioè c'è una voce nella colonna Publisher ) o ha una "Descrizione", allora c'è una buona possibilitàche è legittimo
  • Se si riconosce il nome del software, di solito è ok. Nota che occasionalmente il malware "impersonerà" software legittimo, ma adottando un nome identico o simile al software con cui hai familiarità( ad esempio "AcrobatLauncher" o "PhotoshopBrowser").Inoltre, tieni presente che molti programmi malware adottano nomi generici o innocui, come "Diskfix" o "SearchHelper"( entrambi menzionati di seguito).Le voci di malware
  • di solito compaiono nella scheda di accesso di Logon delle Autoruns( ma non sempre!)
  • Se apri la cartella che contiene il file EXE o DLL( più su questo sotto), esamini la data "ultima modifica", lale date sono spesso degli ultimi giorni( supponendo che l'infezione sia abbastanza recente)
  • Il malware si trova spesso nella cartella C: \ Windows o nella cartella C: \ Windows \ System32
  • Il malware spesso ha solo un'icona generica( a sinistradel nome della voce)

In caso di dubbi, fare clic con il tasto destro del mouse sulla voce e selezionare Ricerca online. ..

L'elenco seguente mostra due voci sospette: Diskfix e SearchHelper

Queste voci, evidenziate sopra, sono abbastanza tipiche delle infezioni da malware:

  • Non hanno né descrizioni né editori
  • Hanno nomi generici
  • I file si trovano in C: \ Windows \ System32
  • Hanno icone generiche
  • I nomi file sono stringhe casuali dicaratteri
  • Se si guarda nella cartella C: \ Windows \ System32 e si localizzano i file, si vedrà che sono alcuni dei file modificati più di recente nella cartella( vedi sotto)

Fare doppio clic sugli oggetti ti porteràalle relative chiavi di registro:

Rimozione del malware

Una volta identificate le voci che si ritiene sospette, è ora necessario decidere cosa si desidera fare con esse. Le tue scelte includono:

  • Disattiva temporaneamente la voce Autorun
  • Elimina definitivamente la voce Autorun
  • Individua il processo in esecuzione( utilizzando Task Manager o simile) e terminandolo
  • Elimina il file EXE o DLL dal tuo disco( o almeno spostalo in una cartelladove non verrà avviato automaticamente)

o tutto quanto sopra, a seconda di quanto sei sicuro che il programma sia malware.

Per vedere se le modifiche sono avvenute correttamente, è necessario riavviare il computer e controllare uno o tutti i seguenti elementi: Autoruns

  • - per vedere se la voce ha restituito
  • Task Manager( o simile) - per vedere se il programma è stato avviatodi nuovo dopo il riavvio
  • Controlla il comportamento che ti ha portato a credere che il tuo PC sia stato infettato in primo luogo. Se non succede più, è probabile che il tuo PC sia ora pulito

Conclusione

Questa soluzione non è per tutti ed è molto probabilmente destinata agli utenti avanzati. Solitamente l'uso di un'applicazione antivirus di qualità fa il trucco, ma in caso contrario, Autoruns è uno strumento prezioso nel tuo kit Anti-Malware.

Ricorda che alcuni malware sono più difficili da rimuovere rispetto ad altri. A volte hai bisogno di diverse iterazioni dei passaggi precedenti, con ogni iterazione che richiede di guardare più attentamente ogni voce di Autorun. A volte nell'istante in cui si rimuove la voce Autorun, il malware in esecuzione sostituisce la voce. Quando ciò accade, dobbiamo diventare più aggressivi nel nostro assassinio del malware, inclusi i programmi di terminazione( anche programmi legittimi come Explorer.exe) che sono infettati da DLL di malware.

A breve pubblicheremo un articolo su come identificare, localizzare e terminare i processi che rappresentano programmi legittimi ma che eseguono DLL infette, in modo che tali DLL possano essere eliminate dal sistema.

Scarica Autoruns da SysInternals