20Aug
Obstaja veliko anti-malware programov, ki bodo očistili vaš sistem nasties, ampak kaj se zgodi, če ne morete uporabljati takega programa? Autoruns, iz SysInternals( ki ga je pred kratkim pridobil Microsoft), je nepogrešljiv pri ročnem odstranjevanju zlonamerne programske opreme.
Obstaja nekaj razlogov, zakaj boste morda morali ročno odstraniti viruse in vohunsko programsko opremo:
- Morda ne morete privoščiti zaganjanja lažnih in invazivnih protivirusnih programov na vašem računalniku
- Morda boste morali očistiti računalnik mame( ali nekoga drugegaki ne razume, da je velik utripajoč znak na spletni strani, ki pravi: "Vaš računalnik je okužen z virusom, kliknite TUKAJ, da ga odstranite", to ni sporočilo, ki ga je nujno treba zaupati.)
- Malware je tako agresiven, da se upira vsemposkuša samodejno odstraniti ali celo ne bo omogočal namestitve protivirusne programske opreme
- Del vašega geek credo je prepričanje, da so protivirusne programske opreme namenjene Wimpsu
Avtoruns je neprecenljiv dodatek k katerim koli programskim orodjem geek-a. Omogoča vam sledenje in nadzor vseh programov( in programov), ki se samodejno zaženejo z operacijskim sistemom Windows( ali Internet Explorerjem).Skoraj vsa zlonamerna programska oprema je namenjena samodejnemu zagonu, tako da obstaja velika verjetnost, da jo je mogoče zaznati in odstraniti s pomočjo programa Autoruns.
Opisali smo, kako uporabljati Autoruns v prejšnjem članku, ki ga morate prebrati, če se morate najprej seznaniti s programom.
Autoruns je samostojno orodje, ki ga ni potrebno namestiti na vaš računalnik. Lahko ga enostavno prenesete, odprete in zaženete( povezava spodaj).To naredi je idealno za dodajanje vaši prenosni zbirki pripomočkov na vašem bliskovnem pogonu.
Ko prvič zaženete Autoruns na računalniku, vam je predstavljena licenčna pogodba:
Ko se strinjate s pogoji, se odpre glavno okno Autoruns, ki prikazuje celoten seznam vseh programov, ki se bodo zagnali, ko se računalnik zažene,ko se prijavite ali ko odprete Internet Explorer:
Če želite začasno onemogočiti program od zagona, počistite polje poleg njenega vnosa. Opomba: To ne pomeni, da ne prekine program, če se takrat izvaja, ampak samo preprečuje, da začne naslednji čas .Če želite trajno preprečiti zagon programa, v celoti izbrišite vnos( uporabite tipko Delete ali z desno miškino tipko in iz kontekstnega menija izberite Delete )).Opomba: ne odstranjuje program iz računalnika - če ga želite popolnoma odstraniti, morate odstraniti program( ali drugače izbrisati s trdega diska).
Sumljiva programska oprema
To lahko naredi pošteno malo izkušenj( preberite "poskus in napako"), da postanejo spretni pri prepoznavanju, kaj je zlonamerna programska oprema, in kaj ne. Večina vnosov, predstavljenih v programu Autoruns, so legitimni programi, čeprav njihova imena niso seznanjena z vami. Tukaj je nekaj nasvetov, ki vam pomagajo razlikovati zlonamerno programsko opremo iz zakonite programske opreme:
- Če je vnos digitalno podpisal izdajatelj programske opreme( to je vnos v stolpcu Publisher ) ali ima »Opis«, potem obstaja velika verjetnostda je legitimna
- Če prepoznate ime programske opreme, potem je običajno v redu. Upoštevajte, da se občasno zlonamerna programska oprema »lažno predstavi« zakonito programsko opremo, vendar sprejmete ime, ki je identično ali podobno programski opremi, ki ste jo poznali( npr. »AcrobatLauncher« ali »PhotoshopBrowser«).Prav tako se zavedajte, da mnogi programi zlonamerne programske opreme uporabljajo generična ali neškodljiva imena, kot so "Diskfix" ali "SearchHelper"( obe navedeni spodaj).Vnosi zlonamerne programske opreme
- se običajno pojavijo na zavihku Logon iz programa Autoruns( vendar ne vedno!)
- Če odprete mapo, ki vsebuje datoteko EXE ali DLL( več o tem spodaj), preglejte "zadnji spremenjeni datum"datumi so pogosto iz zadnjih nekaj dni( ob predpostavki, da je vaša okužba dokaj nedavna). Malware
- se pogosto nahaja v mapi C: \ Windows ali mapi C: \ Windows \ System32
- Malware pogosto ima samo generično ikono( na leviimena vnosa)
Če ste v dvomih, z desno miškino tipko kliknite vnos in izberite Search Online. ..
Spodnji seznam prikazuje dva vira s sumljivim iskanjem: Diskfix in SearchHelper
Ti vnosi, navedeni zgoraj, so dokaj značilni za zlonamerne okužbe:
- Nimajo niti opisi niti založniki
- Imajo generična imena
- Datoteke se nahajajo v C: \ Windows \ System32
- Imajo generične ikone
- Filename so naključni niziznaki
- Če pogledate mapo C: \ Windows \ System32 in poiščete datoteke, boste videli, da so nekatere najnovejše datoteke v mapi( glejte spodaj)
Dvokliknite na elemente,na njihove ustrezne registrske ključe:
Odstranjevanje zlonamerne programske opreme
Ko ste identificirali vnose, za katere menite, da so sumljive, se morate zdaj odločiti, kaj želite z njimi ravnati. Vaše izbire vključujejo:
- Začasno onemogočite vnos z avtentičnimi podatki
- Trajno izbrišite vnos v sistemu Autorun
- Poiščite potek zagona( z uporabo upravitelja opravil ali podobnega) in ga zaključite
- Izbrišite datoteko EXE ali DLL z vašega diska( ali vsaj premaknite v mapokjer se ne bo samodejno zagnal)
ali vsega zgoraj navedenega, odvisno od tega, kako ste prepričani, da je program zlonamerna programska oprema.
Če želite preveriti, ali so vaše spremembe uspele, boste morali znova zagnati računalnik in preveriti vse ali vse od naslednjega:
- Autoruns - preverite, ali je vnos vrnil
- Task Manager( ali podobno) - če želite videti, ali je bil program zagnanponovno po ponovnem zagonu
- Preverite vedenje, zaradi katerega ste verjeli, da je bil vaš računalnik okužen.Če se ne zgodi več, je verjetno, da je vaš računalnik zdaj čist
Zaključek
Ta rešitev ni za vsakogar in je najverjetneje usmerjena v napredne uporabnike. Običajno z uporabo kakovostne Antivirusne aplikacije naredi trik, če pa ne, je Autoruns dragoceno orodje v vašem kompletu za preprečevanje zlonamerne programske opreme.
Upoštevajte, da je nekatere zlonamerne programe težje odstraniti kot druge. Včasih potrebujete več ponovitev zgornjih korakov, pri čemer vsaka ponovitev zahteva, da natančneje pogledate vsak vnos v sistemu Autorun. Včasih trenutek, ko odstranite vpis »Autorun«, zlonamerna programska oprema, ki se izvaja, nadomešča vnos. Ko se to zgodi, moramo postati bolj agresivni pri našem atentatu na zlonamerno programsko opremo, vključno z zaključnimi programi( celo zakonitimi programi, kot je Explorer.exe), ki so okuženi z zlonamernimi DLL-ji.
Kmalu bomo objavili članek o tem, kako prepoznati, poiskati in končati procese, ki predstavljajo legitimne programe, vendar izvajajo okužene DLL-je, da bi te DLL-je mogoče izbrisati iz sistema.
Prenesi avtoruns iz SysInternals