20Aug
Er zijn veel anti-malware programma's die je systeem van nasties zullen reinigen, maar wat gebeurt er als je een dergelijk programma niet kunt gebruiken? Autoruns, van SysInternals( onlangs overgenomen door Microsoft), is onmisbaar bij het handmatig verwijderen van malware.
Er zijn een paar redenen waarom je misschien handmatig virussen en spyware moet verwijderen:
- Misschien kun je niet vasthouden aan het starten van resource-hungry en invasieve anti-malware programma's op je pc
- Je moet misschien je moeders computer( of iemand anders) schoonmakenwie begrijpt niet dat een groot knipperend bord op een website dat zegt: "Uw computer is geïnfecteerd met een virus - klik HIER om het te verwijderen" geen bericht is dat noodzakelijkerwijs vertrouwd kan worden)
- De malware is zo agressief dat het bestand is tegen alleprobeert het automatisch te verwijderen, of staat je zelfs toe om anti-malware software te installeren
- Een deel van je geek credo is de overtuiging dat anti-spyware hulpprogramma's voor sullen zijn.
Autoruns is een onschatbare toevoeging aan de toolkit van elke nerdsoftware. Hiermee kunt u alle programma's( en programmacomponenten) die automatisch starten met Windows( of met Internet Explorer) volgen en besturen. Vrijwel alle malware is ontworpen om automatisch te starten, dus er is een zeer grote kans dat het kan worden gedetecteerd en verwijderd met behulp van Autoruns.
We hebben behandeld hoe Autoruns te gebruiken in een eerder artikel, dat u moet lezen als u eerst vertrouwd wilt raken met het programma.
Autoruns is een op zichzelf staand hulpprogramma dat niet op uw computer hoeft te worden geïnstalleerd. Het kan eenvoudig worden gedownload, uitgepakt en uitgevoerd( link hieronder).Dit maakt het uitermate geschikt om toe te voegen aan je draagbare utility-collectie op je flash drive.
Wanneer u Autoruns voor de eerste keer op een computer start, krijgt u de licentieovereenkomst te zien:
Nadat u akkoord bent gegaan met de voorwaarden, wordt het hoofdvenster van Autoruns geopend met de volledige lijst met alle software die wordt uitgevoerd wanneer uw computer opstart,wanneer u zich aanmeldt of wanneer u Internet Explorer opent:
Schakel het selectievakje naast het item uit om tijdelijk een programma uit te schakelen. Opmerking: dit doet niet het programma beëindigen als het op dat moment wordt uitgevoerd - het voorkomt alleen dat het start na -tijd. Om te voorkomen dat een programma wordt gestart, verwijdert u het item helemaal( gebruik de -sleutel verwijderen of klik met de rechtermuisknop en kies verwijderen uit het snelmenu)).Opmerking: dit doet niet het programma van uw computer verwijderen - om het volledig te verwijderen, moet u het programma verwijderen( of anders het van uw harde schijf verwijderen).
Suspicious Software
Het kan nogal wat ervaring kosten( lees "vallen en opstaan") om bedreven in te worden in het identificeren van wat malware is en wat niet. De meeste inzendingen in Autoruns zijn legitieme programma's, ook als hun namen onbekend voor u zijn. Hier zijn enkele tips om u te helpen de malware te onderscheiden van de legitieme software:
- Als een item digitaal is ondertekend door een software-uitgever( dwz er is een item in de Publisher kolom) of een "Beschrijving" heeft, dan is er een goede kansdat het legitiem is
- Als u de naam van de software herkent, dan is het meestal goed. Houd er rekening mee dat malware zich soms voordoet als "legitieme software", maar een naam gebruikt die identiek is aan of vergelijkbaar is met software die u kent( bijvoorbeeld "AcrobatLauncher" of "PhotoshopBrowser").Houd er ook rekening mee dat veel malware-programma's generieke of onschuldig klinkende namen aannemen, zoals "Diskfix" of "SearchHelper"( beide hieronder genoemd).
- Malware-vermeldingen verschijnen meestal op het -tabblad van Aanmelden van Autoruns( maar niet altijd!)
- Als u de map opent die het EXE- of DLL-bestand bevat( meer hierover hieronder), onderzoekt u de "laatst gewijzigde" datum, dedatums zijn vaak van de laatste paar dagen( ervan uitgaande dat uw infectie tamelijk recent is)
- Malware bevindt zich vaak in de map C: \ Windows of de map C: \ Windows \ System32
- Malware heeft vaak alleen een generiek pictogram( aan de linkerkantvan de naam van de invoer)
Klik in geval van twijfel met de rechtermuisknop op de invoer en selecteer Zoek online. ..
De onderstaande lijst toont twee verdacht lijkende vermeldingen: Diskfix en SearchHelper
Deze items, hierboven gemarkeerd, zijn vrij typerend voor malware-infecties:
- Ze hebben geen beschrijvingen noch uitgevers
- Ze hebben generieke namen
- De bestanden bevinden zich in C: \ Windows \ System32
- Ze hebben generieke pictogrammen
- De bestandsnamen zijn willekeurige reeksen vantekens
- Als u in de map C: \ Windows \ System32 kijkt en de bestanden zoekt, ziet u dat dit enkele van de laatst gewijzigde bestanden in de map zijn( zie hieronder)
Dubbelklikken op de items brengt u naarnaar de bijbehorende registersleutels:
De Malware verwijderen
Zodra u de items hebt geïdentificeerd die u als verdacht beschouwt, moet u nu beslissen wat u ermee wilt doen. Uw keuzes omvatten:
- Schakel het Autorun-item tijdelijk uit
- Verwijder het Autorun-item permanent
- Zoek het lopende proces( met Taakbeheer of iets dergelijks) en beëindig het
- Verwijder het EXE- of DLL-bestand van uw schijf( of verplaats het ten minste naar een mapwaar het niet automatisch zal worden gestart)
of al het bovenstaande, afhankelijk van hoe zeker je bent dat het programma malware is.
Om te zien of uw wijzigingen zijn gelukt, moet u uw machine opnieuw opstarten en een of meer van de volgende dingen controleren:
- Autoruns - om te zien of het item
- Task Manager( of iets dergelijks) heeft geretourneerd - om te zien of het programma is gestartopnieuw na het opnieuw opstarten
- Controleer het gedrag dat ertoe leidde dat u dacht dat uw pc in de eerste plaats was geïnfecteerd. Als het niet meer gebeurt, is de kans groot dat uw pc nu schoon is
Conclusie
Deze oplossing is niet voor iedereen en is waarschijnlijk bedoeld voor geavanceerde gebruikers. Meestal is het gebruik van een antivirus-applicatie van goede kwaliteit voldoende, maar zo niet, dan is Autoruns een waardevol hulpmiddel in uw anti-malwareset.
Houd er rekening mee dat sommige malware moeilijker te verwijderen is dan andere. Soms hebt u meerdere iteraties nodig van de bovenstaande stappen, waarbij elke iteratie vereist dat u elke Autorun-invoer nauwkeuriger bekijkt. Soms is het moment dat u het Autorun-item verwijdert, de malware die wordt uitgevoerd, de invoer vervangen. Wanneer dit gebeurt, moeten we agressiever worden in onze moord op de malware, inclusief het beëindigen van programma's( zelfs legitieme programma's zoals Explorer.exe) die zijn geïnfecteerd met malware-DLL's.
Binnenkort publiceren we een artikel over het identificeren, lokaliseren en beëindigen van processen die legitieme programma's vertegenwoordigen, maar waarin geïnfecteerde DLL's worden uitgevoerd, zodat die DLL's van het systeem kunnen worden verwijderd.
Autoruns downloaden van SysInternals
