If-Koubou

Użyj autouruchamiania do ręcznego czyszczenia zainfekowanego komputera

Użyj autouruchamiania do ręcznego czyszczenia zainfekowanego komputera (Jak)

Istnieje wiele programów zwalczających szkodliwe oprogramowanie, które wyczyszczą twój system złych nastrojów, ale co się stanie, jeśli nie będziesz w stanie korzystać z takiego programu? Autoruns z SysInternals (niedawno przejęty przez Microsoft) jest niezbędny przy ręcznym usuwaniu złośliwego oprogramowania.

Istnieje kilka powodów, dla których konieczne może być ręczne usunięcie wirusów i oprogramowania szpiegującego:

  • Być może nie możesz wykonywać uruchomionych na zasoby i inwazyjnych programów anty-malware na swoim komputerze
  • Być może będziesz musiał wyczyścić komputer swojej mamy (lub kogoś, kto nie rozumie, że duży migający znak na stronie z napisem "Twój komputer jest zainfekowany wirusem - kliknij TUTAJ, aby go usunąć" nie jest wiadomością, która może być koniecznie zaufany)
  • Szkodliwe oprogramowanie jest tak agresywne, że opiera się wszelkim próbom automatycznego usunięcia go lub nie pozwala nawet zainstalować oprogramowania anty-malware
  • Częścią twojego credo geekowego jest przekonanie, że narzędzia anty-spyware są przeznaczone dla wyrzutków

Autoruns jest nieocenionym dodatkiem do zestawu narzędzi oprogramowania geek. Pozwala na śledzenie i kontrolowanie wszystkich programów (i komponentów programu) uruchamianych automatycznie w systemie Windows (lub Internet Explorer). Praktycznie całe złośliwe oprogramowanie zostało zaprojektowane tak, aby uruchamiało się automatycznie, więc istnieje bardzo duża szansa, że ​​zostanie wykryte i usunięte za pomocą Autoruns.

Omówiliśmy sposób korzystania z autouruchamiania we wcześniejszym artykule, który należy przeczytać, aby najpierw zapoznać się z programem.

Autoruns to samodzielne narzędzie, którego nie trzeba instalować na komputerze. Można go po prostu pobrać, rozpakować i uruchomić (link poniżej). To sprawia, że ​​idealnie nadaje się do dodawania do przenośnej kolekcji narzędzi na dysku flash.

Po uruchomieniu autouruchamiania po raz pierwszy na komputerze pojawi się umowa licencyjna:

Po zaakceptowaniu warunków otwiera się główne okno autouruchamiania, zawierające pełną listę wszystkich programów, które będą uruchamiane przy uruchomieniu komputera, po zalogowaniu lub po uruchomieniu programu Internet Explorer:

Aby tymczasowo wyłączyć uruchomienie programu, odznacz pole obok jego wpisu. Uwaga: to robi nie zakończyć program, jeśli działa on w danym momencie - po prostu uniemożliwia jego uruchomienie Kolejny czas. Aby na stałe uniemożliwić uruchomienie programu, usuń wpis całkowicie (użyj Kasować klucz lub kliknij prawym przyciskiem myszy i wybierz Kasować z menu kontekstowego)). Uwaga: to robi nie usuń program z komputera - aby go całkowicie usunąć, musisz odinstalować program (lub w inny sposób usunąć go z dysku twardego).

Podejrzane oprogramowanie

To może zająć sporo doświadczenia (przeczytaj "prób i błędów"), aby stać się ekspertem w rozpoznawaniu złośliwego oprogramowania, a co nie. Większość wpisów w Autoruns to legalne programy, nawet jeśli ich nazwy są dla ciebie nieznane. Oto kilka wskazówek, które pomogą Ci odróżnić złośliwe oprogramowanie od legalnego oprogramowania:

  • Jeśli wpis jest podpisany cyfrowo przez wydawcę oprogramowania (tzn. Jest wpis w pliku Wydawca kolumna) lub ma "Opis", istnieje duża szansa, że ​​jest to uzasadnione
  • Jeśli rozpoznasz nazwę oprogramowania, zazwyczaj jest to w porządku. Należy zauważyć, że czasami złośliwe oprogramowanie "podszywa się pod" legalne oprogramowanie, ale przyjmuje nazwę identyczną lub podobną do znanego oprogramowania (np. "AcrobatLauncher" lub "PhotoshopBrowser"). Należy również pamiętać, że wiele złośliwych programów przyjmuje nazwy generyczne lub niewinnie brzmiące, takie jak "Diskfix" lub "SearchHelper" (oba wymienione poniżej).
  • Złośliwe pliki pojawiają się zwykle na Zalogować się zakładka Autoruns (ale nie zawsze!)
  • Jeśli otworzysz folder zawierający plik EXE lub DLL (więcej informacji na ten temat poniżej), sprawdź datę "ostatniej modyfikacji", daty często pochodzą z ostatnich kilku dni (zakładając, że twoja infekcja jest dość aktualna)
  • Złośliwe oprogramowanie często znajduje się w folderze C: \ Windows lub C: \ Windows \ System32
  • Złośliwe oprogramowanie często ma tylko ogólną ikonę (po lewej stronie nazwy wpisu)

W razie wątpliwości kliknij wpis prawym przyciskiem myszy i wybierz Wyszukaj w Internecie ...

Poniższa lista pokazuje dwa podejrzane wpisy: Diskfix i SearchHelper

Wpisy te, wyróżnione powyżej, są dość typowe dla infekcji złośliwym oprogramowaniem:

  • Nie mają ani opisów, ani wydawców
  • Mają ogólne nazwy
  • Pliki znajdują się w C: \ Windows \ System32
  • Mają ogólne ikony
  • Nazwy plików są losowymi ciągami znaków
  • Jeśli zajrzysz do folderu C: \ Windows \ System32 i zlokalizujesz pliki, zobaczysz, że są to jedne z ostatnio zmodyfikowanych plików w folderze (zobacz poniżej)

Dwukrotne kliknięcie elementów przeniesie Cię do odpowiednich kluczy rejestru:

Usuwanie złośliwego oprogramowania

Po zidentyfikowaniu wpisów, które uważasz za podejrzane, musisz zdecydować, co chcesz z nimi zrobić. Twoje wybory obejmują:

  • Tymczasowo wyłącz wpis Autorun
  • Trwale usuń wpis Autorun
  • Zlokalizuj działający proces (używając Menedżera zadań lub podobnego) i kończąc go
  • Usuń plik EXE lub DLL z dysku (lub przynajmniej przenieś go do folderu, w którym nie zostanie automatycznie uruchomiony)

lub wszystkie powyższe, w zależności od pewności, że program jest złośliwym oprogramowaniem.

Aby sprawdzić, czy zmiany powiodły się, musisz ponownie uruchomić komputer i sprawdzić jedną z następujących opcji:

  • Autoruns - aby sprawdzić, czy wpis powrócił
  • Menedżer zadań (lub podobny) - aby sprawdzić, czy program został uruchomiony ponownie po ponownym uruchomieniu komputera
  • Sprawdź zachowanie, które doprowadziło Cię do przekonania, że ​​komputer został zainfekowany w pierwszej kolejności. Jeśli się to już nie zdarza, prawdopodobnie Twój komputer jest teraz czysty

Wniosek

To rozwiązanie nie jest dla wszystkich i jest najprawdopodobniej przeznaczone dla zaawansowanych użytkowników. Zwykle korzystanie z wysokiej jakości aplikacji antywirusowej działa, ale jeśli nie, narzędzie to jest cennym narzędziem w zestawie Anti-Malware.

Pamiętaj, że niektóre złośliwe programy są trudniejsze do usunięcia niż inne. Czasami potrzebujesz kilku powtórzeń powyższych kroków, przy czym każda iteracja wymaga dokładniejszego spojrzenia na każdy wpis Autorun. Czasami, gdy usuniesz wpis Autorun, uruchomione oprogramowanie zastępuje wpis. Kiedy tak się dzieje, musimy stać się bardziej agresywni w naszym zabijaniu złośliwego oprogramowania, w tym w przypadku kończenia programów (nawet legalnych programów, takich jak Explorer.exe), które są zainfekowane przez szkodliwe biblioteki DLL.

Wkrótce opublikujemy artykuł o tym, jak zidentyfikować, zlokalizować i zakończyć procesy, które reprezentują legalne programy, ale są uruchomione zainfekowane biblioteki DLL, aby te biblioteki DLL mogły zostać usunięte z systemu.

Pobierz Autoruns z SysInternals