20Aug
Existuje mnoho programov proti malwaru, ktoré vyčistia váš systém nasties, ale čo sa stane, ak nemôžete použiť takýto program? Autoruns, od SysInternals( nedávno získané spoločnosťou Microsoft), je nevyhnutná pri manuálnom odstraňovaní škodlivého softvéru.
Existuje niekoľko dôvodov, prečo možno budete musieť odstrániť vírusy a spyware ručne:
- Možno budete musieť vyčistiť počítač vašej matky( alebo niekoho inéhoktorý nerozumie tomu, že veľký blikajúci znak na webovej lokalite s názvom "Váš počítač je infikovaný vírusom - kliknite TU ho odstrániť" nie je správa, ktorá môže byť nutne dôveryhodná)
- Malware je tak agresívny, že odoláva všetkýmpokúsi sa ho automaticky odstrániť alebo dokonca vám neumožní inštalovať softvér proti škodlivému softvéru
- Súčasťou vášho geekového kréda je presvedčenie, že nástroje anti-spyware sú pre wimps
Autoruns je neoceniteľným doplnkom softvérových nástrojov geek. Umožňuje sledovať a kontrolovať všetky programy( a programové komponenty), ktoré sa spúšťajú automaticky v systéme Windows( alebo v programe Internet Explorer).Prakticky všetok škodlivý softvér je navrhnutý tak, aby sa spustil automaticky, takže existuje veľmi silná šanca, že ho možno detekovať a odstrániť pomocou autorunu.
Pokryli sme, ako používať Autoruns v predchádzajúcom článku, ktorý by ste si mali prečítať, ak potrebujete najprv zoznámiť sa s programom. Autorun
je samostatný nástroj, ktorý sa na váš počítač nemusí inštalovať.Môžete ho jednoducho stiahnuť, rozbaliť a spustiť( odkaz nižšie).To je ideálne pre pridanie do vašej prenosnej pomôcky kolekcie na flash disk.
Po prvom spustení programu Autoruns v počítači sa zobrazí licenčná zmluva:
Po súhlase s podmienkami sa otvorí hlavné okno Autoruns, ktoré vám ukáže úplný zoznam všetkých softvérov, ktoré sa spustia po spustení počítača,pri prihlásení alebo po otvorení programu Internet Explorer:
Ak chcete dočasne vypnúť spustenie programu, zrušte začiarknutie políčka vedľa položky. Poznámka: To robí nie ukončenie programu, ak je v danom čase spustený - to len zabraňuje spustiť ďalší čas. Ak chcete natrvalo zabrániť spusteniu programu, úplne ho odstráňte( použite kláves Delete alebo kliknite pravým tlačidlom myši a zvoľte Delete z kontextového menu)).Poznámka: Toto robí nie program odstrániť z počítača - úplne ho odstrániť, musíte odinštalovať program( alebo ho inak odstrániť z pevného disku).
Podezrelný softvér
Môže to trvať veľa skúseností( prečítajte si "skúšobné a chybné"), aby ste sa stali odborníkmi na identifikáciu toho, čo je malware a čo nie. Väčšina položiek uvedených v Autoruns sú legitímne programy, aj keď ich mená sú pre vás neznáme. Tu je niekoľko tipov, ktoré vám pomôžu rozlíšiť škodlivý softvér od legitímneho softvéru:
- Ak je položka digitálne podpísaná vydavateľom softvéru( tj je záznam v stĺpci Publisher ) alebo má "Popis", potom existuje dobrá šancaže je to legitímne
- Ak rozpoznáte názov softvéru, je to zvyčajne v poriadku. Upozorňujeme, že v niektorých prípadoch sa malware "zosobáši" s legitímnym softvérom, ale prijme meno, ktoré je totožné alebo podobné ako softvér, ktorý poznáte( napríklad "AcrobatLauncher" alebo "PhotoshopBrowser").Uvedomte si tiež, že mnohé škodlivé programy prijímajú všeobecné alebo neškodné názvy, ako napríklad "Diskfix" alebo "SearchHelper"( obidva uvedené nižšie).
- Záznamy škodlivého softvéru sa zvyčajne objavujú na karte Logon Autoruns( ale nie vždy!)
- Ak otvoríte priečinok obsahujúci súbor EXE alebo DLL( viac o tomto nižšie), preskúmajte dátum "last modified"termíny sú často z posledných dní( za predpokladu, že vaša infekcia je pomerne nedávna)
- Malware sa často nachádza v priečinku C: \ Windows alebo v priečinku C: \ Windows \ System32
- Malware má často iba všeobecnú ikonu( vľavonázvu záznamu)
Ak máte pochybnosti, kliknite pravým tlačidlom na položku a zvoľte Search Online. ..
Nižšie uvedený zoznam zobrazuje dve podozrivé záznamy: Diskfix a SearchHelper
Tieto položky, ktoré sú uvedené vyššie, sú typické pre infekcie škodlivého softvéru:
- Nemajú ani popis ani vydavateľov
- Majú všeobecné názvy
- Súbory sú umiestnené v C: \ Windows \ System32
- Majú všeobecné ikony
- Názvy súborov sú náhodné reťazceznaky
- Ak sa pozriete do priečinka C: \ Windows \ System32 a vyhľadáte súbory, uvidíte, že ide o niektoré z posledných nedávno upravených súborov v priečinku( pozri nižšie)
Dvojité kliknutie na položky vás vezmena príslušné kľúče registra:
Odstránenie škodlivého softvéru
Keď identifikujete položky, o ktorých sa domnievate, že sú podozrivé, musíte sa rozhodnúť, čo s nimi chcete robiť.Vaše voľby zahŕňajú:
- Dočasné vypnutie položky Autorun
- Trvalé odstránenie položky Autorun
- Vyhľadať spustený proces( pomocou Správcu úloh alebo podobne) a ukončiť ho
- Odstrániť súbor EXE alebo DLL z disku( alebo ho aspoň presunúť do priečinkakde to nebude automaticky spustené)
alebo všetky vyššie uvedené, v závislosti na tom, ako si istý, že program je škodlivý softvér.
Ak chcete zistiť, či sa vaše zmeny podarilo, budete musieť počítač reštartovať a skontrolovať ktorékoľvek z nasledovných:
- Autoruns - zistiť, či položka bola vrátená
- Správca úloh( alebo podobný) - zistiť, či bol program spustenýznovu po reštarte
- Skontrolujte správanie, ktoré viedlo k presvedčeniu, že váš počítač bol na prvom mieste infikovaný.Ak sa už nedeje, je pravdepodobné, že váš počítač je teraz čistý
Záver
Toto riešenie nie je pre každého a je s najväčšou pravdepodobnosťou zamerané na pokročilých používateľov. Zvyčajne pomocou kvalitnej antivírusovej aplikácie to trik, ale ak nie Autoruns je cenným nástrojom vo vašej súprave Anti-Malware.
Majte na pamäti, že niektorý škodlivý softvér je ťažšie odstrániť ako iné.Niekedy potrebujete niekoľko opakovaní vyššie uvedených krokov, pričom každá iterácia vyžaduje, aby ste pozornejšie sledovali každú položku Autorun. Niekedy v okamihu, keď odstránite položku Autorun, spustený malware nahrádza záznam. Keď k tomu dôjde, musíme sa stať agresívnejšou v atentáte na škodlivý softvér, vrátane ukončenia programov( dokonca aj legitímnych programov, ako je Explorer.exe), ktoré sú infikované škodlivými DLL.
Krátko budeme publikovať článok o tom, ako identifikovať, lokalizovať a ukončiť procesy, ktoré predstavujú legitímne programy, ale používajú infikované DLL, aby mohli byť tieto DLL odstránené zo systému.
Stiahnuť autoruns od SysInternals