20Aug
Det finns många anti-malware program där ute som rengör ditt system av nasties, men vad händer om du inte kan använda ett sådant program? Autoruns, från SysInternals( nyligen förvärvad av Microsoft), är oumbärlig när man tar bort skadlig kod manuellt.
Det finns några anledningar till varför du kan behöva ta bort virus och spionprogram manuellt:
- Kanske kan du inte hålla köra resurssjuka och invasiva anti-malware-program på din dator
- Du kanske behöver rengöra din mammas dator( eller någon annanvem förstår inte att ett stort blinkande tecken på en webbplats som säger "Din dator är infekterad med ett virus - klicka HÄR för att ta bort det" är inte ett meddelande som nödvändigtvis kan lita på)
- Malware är så aggressiv att det motstår allaförsöker automatiskt ta bort den eller låter dig inte ens installera program mot skadlig programvara
- En del av din geek credo är tron att anti-spyware-verktyg är för wimps.
Autoruns är ett ovärderligt tillägg till någon geeks programvaruverktyg. Det låter dig spåra och styra alla program( och programkomponenter) som startar automatiskt med Windows( eller med Internet Explorer).Nästan alla skadliga program är utformade för att starta automatiskt, så det finns en mycket stark chans att det kan upptäckas och tas bort med hjälp av Autoruns.
Vi har täckt hur du använder Autoruns i en tidigare artikel, som du bör läsa om du först måste känna till programmet.
Autoruns är ett fristående verktyg som inte behöver installeras på din dator. Det kan enkelt hämtas, släppas ut och springas( länk nedan).Det här är idealiskt för att lägga till din bärbara verktygssamling på din flash-enhet.
När du startar Autoruns för första gången på en dator, presenteras du licensavtalet:
När du har godkänt villkoren öppnas huvudfönstret Autoruns, som visar dig en fullständig lista över all programvara som körs när datorn startar,när du loggar in, eller när du öppnar Internet Explorer:
Avmarkera kryssrutan bredvid posten för att tillfälligt inaktivera ett program från start. Obs! Detta avslutar inte programmet om det körs vid den tiden - det förhindrar bara att det börjar nästa -tid. För att permanent förhindra att ett program startas, raderar du hela posten( använd Ta bort -tangenten eller högerklicka och välj Ta bort från snabbmenyn)).Obs! Det här tar inte bort programmet från din dator - för att ta bort det helt måste du avinstallera programmet( eller på annat sätt ta bort det från hårddisken).
Misstänkt programvara
Det kan ta en skälig bit av erfarenhet( läs "försök och fel") för att bli skicklig för att identifiera vad som är skadlig programvara och vad som inte är. De flesta av de poster som presenteras i Autoruns är legitima program, även om deras namn inte är kända för dig. Här är några tips som hjälper dig att skilja malware från den legitima mjukvaran:
- Om en post är digitalt signerad av en mjukvaruutgivare( det vill säga en post i Publisher -kolumnen) eller har en "Beskrivning", då finns det en bra chansatt det är legitimt
- Om du känner igen programvarans namn så är det vanligtvis okej. Observera att skadlig kod ibland kommer att "ersätta" legitim programvara, men anta ett namn som är identiskt eller likartat med programvara som du känner till( till exempel "AcrobatLauncher" eller "PhotoshopBrowser").Också vara medveten om att många malwareprogram antar generiska eller oskyldiga ljudnamn, till exempel "Diskfix" eller "SearchHelper"( båda nämnda nedan).
- Felaktiga inmatningar visas vanligen på Inloggning fliken Autoruns( men inte alltid!)
- Om du öppnar mappen som innehåller EXE- eller DLL-filen( mer nedan), undersöker du det senast ändrade datumet, dendatum är ofta från de senaste dagarna( förutsatt att din infektion är ganska nyligen)
- Malware finns ofta i mappen C: \ Windows eller C: \ Windows \ System32-mappen
- Malware har ofta bara en generisk ikon( till vänsterav namnet på posten)
Om du är osäker, högerklicka på posten och välj Sök på nätet. ..
Listan nedan visar två misstänkta sökningar: Diskfix och SearchHelper
Dessa poster, som markeras ovan, är ganska typiska för malwareinfektioner:
- De har varken beskrivningar eller utgivare
- De har generiska namn
- Filerna finns i C: \ Windows \ System32
- De har generiska ikoner
- Filnamnen är slumpmässiga strängar avtecken
- Om du tittar i mappen C: \ Windows \ System32 och hittar filerna ser du att de är några av de senast modifierade filerna i mappen( se nedan)
Dubbelklicka på objekten tar digtill deras motsvarande registernycklar:
Ta bort skadlig programvara
När du har identifierat de poster du tror är misstänksam måste du bestämma vad du vill göra med dem. Dina val inkluderar:
- Avaktivera Autorun-posten
- Ta bort permanent Autorun-posten
- Ta bort körprocessen( med aktivitetshanteraren eller liknande) och avsluta den
- Ta bort EXE- eller DLL-filen från din skiva( eller åtminstone flytta den till en mappdär det inte startas automatiskt)
eller alla ovanstående, beroende på hur säkert du är att programmet är skadlig kod.
För att se om dina ändringar lyckades måste du starta om datorn och kontrollera något av eller alla följande:
- Autoruns - för att se om posten har returnerats
- Task Manager( eller liknande) - för att se om programmet startadesigen efter omstart
- Kontrollera beteendet som ledde till att du trodde att din dator var infekterad i första hand. Om det inte längre händer är chansen att din dator är ren
Slutsats
Den här lösningen är inte för alla och är mest sannolikt inriktad på avancerade användare. Vanligtvis använder du en kvalitet Antivirusprogram gör tricket, men om inte Autoruns är ett värdefullt verktyg i ditt Anti-Malware-kit.
Tänk på att vissa skadliga program är svårare att ta bort än andra. Ibland behöver du flera iterationer av stegen ovan, med varje iteration som kräver att du tittar noga på varje Autorun-post. Ibland är det omedelbart att du tar bort autorun-posten, den skadliga programvaran ersätter posten. När det händer måste vi bli mer aggressiva vid vårdandet av skadlig programvara, inklusive avslutande program( även legitima program som Explorer.exe) som är infekterade med skadliga DLL-filer.
Vi kommer snart att publicera en artikel om hur man identifierar, lokaliserar och avslutar processer som representerar legitima program men kör infekterade DLL-filer, så att de DLL-filer kan raderas från systemet.
Hämta Autoruns från SysInternals
