20Aug
Det finnes mange anti-malware programmer der ute som vil rense systemet ditt, men hva skjer hvis du ikke kan bruke et slikt program? Autoruns, fra SysInternals( nylig kjøpt av Microsoft), er uunnværlig når man fjerner malware manuelt.
Det er noen grunner til at du må fjerne virus og spionprogrammer manuelt:
- Kanskje du ikke kan overholde ressurshungte og invasive anti-malware-programmer på PCen din
- Du må kanskje rense din mors datamaskin( eller noen andrehvem forstår ikke at et stort blinkende tegn på et nettsted som sier "Datamaskinen er infisert med et virus - klikk HER for å fjerne det" er ikke en melding som nødvendigvis må stole på)
- Malware er så aggressiv at den motstår alleforsøk på å automatisk fjerne den, eller vil ikke engang tillate deg å installere programvare mot skadelig programvare
- En del av din geek credo er troen på at anti-spyware-verktøy er for wimps
Autoruns er et uvurderlig tillegg til noen geeks programvareverktøy. Det lar deg spore og kontrollere alle programmer( og programkomponenter) som starter automatisk med Windows( eller med Internet Explorer).Nesten all malware er designet for å starte automatisk, så det er en meget sterk sjanse for at den kan oppdages og fjernes ved hjelp av Autoruns.
Vi har dekket hvordan du bruker Autoruns i en tidligere artikkel, som du bør lese om du først må gjøre deg kjent med programmet.
Autoruns er et frittstående verktøy som ikke må installeres på datamaskinen. Det kan enkelt lastes ned, unzipped og kjøre( link nedenfor).Dette gjør det ideelt for å legge til din bærbare verktøysamling på din flash-stasjon.
Når du starter Autoruns for første gang på en datamaskin, blir du presentert med lisensavtalen:
Etter at du har akseptert vilkårene, åpnes hovedvinduet Autoruns, som viser deg en fullstendig liste over all programvare som kjører når datamaskinen starter,når du logger på, eller når du åpner Internet Explorer:
Hvis du vil deaktivere et program midlertidig fra start, fjerner du avmerkingen ved siden av oppføringen. Merk: Dette avslutter ikke programmet hvis det kjører på det tidspunktet - det forhindrer bare at det starter neste -tid. For å hindre et program permanent fra å starte, slett du helt opp oppføringen( bruk Delete -tasten eller høyreklikk og velg Slett fra kontekstmenyen)).Merk: Dette fjerner ikke programmet fra datamaskinen din - for å fjerne det helt, må du avinstallere programmet( eller på annen måte slette det fra harddisken).
Mistenkelig programvare
Det kan ta en god del erfaring( les "prøve og feil") for å bli dygtig til å identifisere hva som er skadelig programvare og hva som ikke er det. De fleste oppføringene som presenteres i Autoruns er legitime programmer, selv om navnene deres ikke er kjent for deg. Her er noen tips for å hjelpe deg å skille mellom malware fra den legitime programvaren:
- Hvis en oppføring digitalt er signert av en programvareutgiver( det vil si en oppføring i Publisher -kolonnen) eller har en "beskrivelse", så er det en god sjanseat det er legitimt
- Hvis du gjenkjenner programvarens navn, er det vanligvis greit. Vær oppmerksom på at malware i og for tiden vil "etterligne" legitim programvare, men vedta et navn som er identisk med eller ligner på programvare du er kjent med( for eksempel "AcrobatLauncher" eller "PhotoshopBrowser").Vær også oppmerksom på at mange malwareprogrammer anvender generiske eller uskyldige navn, for eksempel "Diskfix" eller "SearchHelper"( begge nevnt nedenfor).
- Malwareoppføringer vises vanligvis på Logon -fanen i Autoruns( men ikke alltid!)
- Hvis du åpner mappen som inneholder EXE- eller DLL-filen( mer nedenfor), undersøke du "sist endret" dato, dendatoene er ofte fra de siste dagene( forutsatt at infeksjonen er ganske nylig)
- Malware er ofte plassert i mappen C: \ Windows eller C: \ Windows \ System32-mappen
- Malware har ofte bare et generisk ikon( til venstreav navnet på oppføringen)
Hvis du er i tvil, høyreklikk oppføringen og velg Søk på nettet. ..
Listen nedenfor viser to mistenkelige lette oppføringer: Diskfix og SearchHelper
Disse oppføringene, uthevet ovenfor, er ganske typiske for malwareinfeksjoner:
- De har hverken beskrivelser eller utgivere
- De har generiske navn
- Filene er plassert i C: \ Windows \ System32
- De har generiske ikoner
- Filnavnet er tilfeldige strenger avtegn
- Hvis du ser i mappen C: \ Windows \ System32 og finner filene, ser du at de er noen av de sist endrede filene i mappen( se nedenfor)
Dobbeltklikk på elementene vil ta degtil de tilhørende registernøklene:
Fjerne skadelig programvare
Når du har identifisert oppføringene du tror er mistenkelige, må du nå bestemme hva du vil gjøre med dem. Dine valg inkluderer:
- Deaktiver midlertidig Autorun-oppføringen
- Slett permanent Autorun-oppføringen
- Finn kjøringsprosessen( ved hjelp av Oppgavebehandling eller lignende) og avslutt den
- Slett EXE- eller DLL-filen fra disken din( eller flytt den i en mappe i det minstehvor det ikke vil bli startet automatisk)
eller alt ovenfor, avhengig av hvor sikkert du er at programmet er skadelig programvare.
Hvis du vil se om endringene lykkes, må du starte maskinen på nytt og kontrollere noen av eller alle følgende:
- Autoruns - for å se om oppføringen har returnert
- Oppgavebehandling( eller lignende) - for å se om programmet ble startetigjen etter omstart
- Sjekk oppførselen som førte deg til å tro at PCen din var infisert i utgangspunktet. Hvis det ikke lenger skjer, er det sannsynligvis at PCen din er ren
Konklusjon
Denne løsningen er ikke for alle og er mest sannsynlig rettet mot avanserte brukere. Vanligvis bruker et kvalifisert Antivirus-program trick, men hvis ikke Autoruns er et verdifullt verktøy i Anti-Malware-settet.
Vær oppmerksom på at noe skadelig programvare er vanskeligere å fjerne enn andre. Noen ganger trenger du flere iterasjoner av trinnene ovenfor, med hver iterasjon som krever at du ser nærmere ut på hver Autorun-oppføring. Noen ganger øyeblikkelig at du fjerner Autorun-oppføringen, erstatter skadelig programvare som kjører, oppføringen. Når dette skjer, må vi bli mer aggressive i vårt drap på malware, inkludert termineringsprogrammer( til og med legitime programmer som Explorer.exe) som er infisert med skadelig programvare DLLs.
Vi skal snart publisere en artikkel om hvordan du identifiserer, lokaliserer og avslutter prosesser som representerer legitime programmer, men kjører infiserte DLLer, slik at disse DLLene kan slettes fra systemet.
Last ned Autoruns fra SysInternals