20Aug
Istnieje wiele programów do zwalczania złośliwego oprogramowania, które wyczyszczą twój system złych nastrojów, ale co się stanie, jeśli nie będziesz w stanie korzystać z takiego programu? Autoruns z SysInternals( niedawno przejęty przez Microsoft) jest niezbędny podczas ręcznego usuwania złośliwego oprogramowania.
Istnieje kilka powodów, dla których może być konieczne ręczne usunięcie wirusów i oprogramowania szpiegującego:
- Być może nie można wykonywać uruchomionych zasobów i inwazyjnych programów anty-malware na komputerze
- Być może trzeba wyczyścić komputer swojej mamy( lub kogoś innegokto nie rozumie, że duży migający znak na stronie internetowej z napisem "Twój komputer jest zainfekowany wirusem - kliknij TUTAJ, aby go usunąć" to nie jest wiadomość, której można zaufać)
- Złośliwe oprogramowanie jest tak agresywne, że odporne jest na wszystkiepróbuje automatycznie go usunąć, lub nawet nie pozwoli ci zainstalować oprogramowania anty-malware
- Część twojego credo geek jest przekonanie, że narzędzia anty-spyware są dla WIMPS
Autoruns jest nieocenionym dodatkiem do zestawu narzędzi oprogramowania geek. Pozwala na śledzenie i kontrolowanie wszystkich programów( i komponentów programu) uruchamianych automatycznie w systemie Windows( lub Internet Explorer).Praktycznie całe złośliwe oprogramowanie zostało zaprojektowane tak, aby uruchamiało się automatycznie, więc istnieje bardzo duża szansa, że zostanie wykryte i usunięte za pomocą Autoruns.
Omówiliśmy sposób korzystania z autouruchamiania we wcześniejszym artykule, który należy przeczytać, aby najpierw zapoznać się z programem.
Autoruns to samodzielne narzędzie, którego nie trzeba instalować na komputerze. Można go po prostu pobrać, rozpakować i uruchomić( link poniżej).To sprawia, że idealnie nadaje się do dodawania do przenośnej kolekcji narzędzi na dysku flash.
Po uruchomieniu autouruchamiania po raz pierwszy na komputerze pojawia się umowa licencyjna:
Po zaakceptowaniu warunków otwiera się główne okno autouruchamiania, zawierające pełną listę wszystkich programów uruchamianych podczas uruchamiania komputera,po zalogowaniu lub po otwarciu przeglądarki Internet Explorer:
Aby tymczasowo wyłączyć program, odznacz pole obok jego wpisu. Uwaga: To powoduje, że nie nie kończy programu, jeśli działa on w tym czasie - jedynie uniemożliwia uruchomienie w następnym czasie .Aby trwale zapobiec uruchomieniu programu, usuń wpis w całości( użyj klucza Delete lub kliknij prawym przyciskiem myszy i wybierz Usuń z menu kontekstowego)).Uwaga: Dzięki temu nie nie usuwa programu z komputera - aby go całkowicie usunąć, musisz odinstalować program( lub w inny sposób usunąć go z dysku twardego).
Podejrzane oprogramowanie
Może wymagać sporo doświadczenia( przeczytaj "prób i błędów"), aby stać się ekspertem w rozpoznawaniu złośliwego oprogramowania, a co nie. Większość wpisów w Autoruns to legalne programy, nawet jeśli ich nazwy są dla ciebie nieznane. Oto kilka wskazówek, które pomogą odróżnić złośliwe oprogramowanie od legalnego oprogramowania:
- Jeśli wpis jest podpisany cyfrowo przez wydawcę oprogramowania( tj. Jest wpis w kolumnie Publisher ) lub ma "Opis", to istnieje spora szansaże jest to uzasadnione
- Jeśli rozpoznasz nazwę oprogramowania, zazwyczaj jest to w porządku. Należy zauważyć, że czasami złośliwe oprogramowanie "podszywa się pod" legalne oprogramowanie, ale przyjmuje nazwę identyczną lub podobną do znanego oprogramowania( np. "AcrobatLauncher" lub "PhotoshopBrowser").Należy również pamiętać, że wiele złośliwych programów przyjmuje nazwy generyczne lub niewinnie brzmiące, takie jak "Diskfix" lub "SearchHelper"( oba wymienione poniżej).
- Wpisy dotyczące złośliwego oprogramowania zwykle pojawiają się na karcie logowania ( ale nie zawsze!)
- Jeśli otworzysz folder zawierający plik EXE lub DLL( więcej informacji na ten temat poniżej), sprawdź datę "ostatniej modyfikacji",daty są często z ostatnich kilku dni( zakładając, że twoja infekcja jest dość niedawna)
- Malware często znajduje się w folderze C: \ Windows lub C: \ Windows \ System32
- Malware ma często tylko ogólną ikonę( po lewej stronie
W razie wątpliwości kliknij prawym przyciskiem myszy pozycję i wybierz Search Online. ..
Poniższa lista zawiera dwa podejrzane wpisy: Diskfix i SearchHelper
Powyższe wpisy, wyróżnione powyżej, są dość typowe dla infekcji złośliwym oprogramowaniem:
- Nie mają ani opisów ani wydawców
- Mają nazwy ogólne
- Pliki znajdują się w C: \ Windows \ System32
- Posiadają ogólne ikony
- Nazwy plików są losowymi ciągami znakówznaków
- Jeśli zajrzysz do folderu C: \ Windows \ System32 i zlokalizujesz pliki, zobaczysz, że są to jedne z ostatnio zmodyfikowanych plików w folderze( patrz poniżej)
Dwukrotne kliknięcie pozycji spowoduje wyświetleniedo odpowiednich kluczy rejestru:
Usuwanie złośliwego oprogramowania
Po zidentyfikowaniu wpisów, które uważasz za podejrzane, musisz zdecydować, co chcesz z nimi zrobić.Do wyboru masz:
- Tymczasowo wyłącz wpis Autorun
- Trwale usuń wpis Autorun
- Znajdź uruchomiony proces( używając Menedżera zadań lub podobnego) i zakończ go
- Usuń plik EXE lub DLL z dysku( lub przynajmniej przenieś go do folderugdzie nie zostanie automatycznie uruchomiony)
lub wszystkie powyższe, w zależności od pewności, że program jest złośliwym oprogramowaniem.
Aby sprawdzić, czy zmiany powiodły się, należy ponownie uruchomić komputer i sprawdzić jedną lub wszystkie poniższe opcje:
- Autoruns - aby sprawdzić, czy wpis zwrócił Menedżera zadań
- ( lub podobny) - aby sprawdzić, czy program został uruchomionyponownie po ponownym uruchomieniu
- Sprawdź zachowanie, które doprowadziło Cię do przekonania, że komputer został zainfekowany w pierwszej kolejności. Jeśli się to już nie zdarza, prawdopodobnie twój komputer jest teraz czysty
Wniosek
To rozwiązanie nie jest dla wszystkich i jest najprawdopodobniej skierowane do zaawansowanych użytkowników. Zwykle korzystanie z wysokiej jakości aplikacji antywirusowej działa, ale jeśli nie, narzędzie to jest cennym narzędziem w zestawie Anti-Malware.
Należy pamiętać, że niektóre złośliwe programy są trudniejsze do usunięcia niż inne. Czasami potrzebujesz kilku powtórzeń powyższych kroków, przy czym każda iteracja wymaga dokładniejszego spojrzenia na każdy wpis Autorun. Czasami, gdy usuniesz wpis Autorun, uruchomione oprogramowanie zastępuje wpis. Kiedy tak się stanie, musimy stać się bardziej agresywni w naszym zabijaniu złośliwego oprogramowania, w tym w przypadku kończenia programów( nawet legalnych programów, takich jak Explorer.exe), które są zainfekowane przez szkodliwe biblioteki DLL.
Wkrótce opublikujemy artykuł o tym, jak zidentyfikować, zlokalizować i zakończyć procesy, które reprezentują legalne programy, ale są uruchomione zainfekowane biblioteki DLL, aby te biblioteki DLL mogły zostać usunięte z systemu.
Pobierz Autoruns z SysInternals