Koristite Autoruns za ručno čišćenje zaraženog računala

Postoji mnogo anti-malware programa koji će očistiti vaš sustav nastija, ali što će se dogoditi ako niste u mogućnosti koristiti takav program? Autoruns, od SysInternals (nedavno dobiven od Microsofta), neophodan je kada ručno uklanjate zlonamjerni softver.

Postoji nekoliko razloga zašto ćete morati ukloniti viruse i spyware ručno:

• Možda ne možete podnijeti trčanje resursa gladnih i invazivnih anti-malware programa na računalu
• Možda ćete morati očistiti račun vašeg mama (ili netko drugi koji ne razumije da je veliki blog na web stranici na kojem piše: "Računalo je zaraženo virusom - kliknite OVDJE da biste je uklonili" nije poruka koja nužno mora biti pouzdana)
• Zlonamjerni softver je tako agresivan da se odupire svim pokušajima automatskog uklanjanja ili čak neće dopustiti instalaciju softvera za zaštitu od zlonamjernih programa
• Dio vašeg geek vjerovanja je uvjerenje da su anti-spyware programi za wimps

Autoruns je neprocjenjiv dodatak bilo kojem geekovom softverskom alatu. Omogućuje vam praćenje i upravljanje svim programima (i programskim komponentama) koji automatski pokreću sustav Windows (ili s Internet Explorerom). Gotovo svi zlonamjerni programi osmišljeni su za automatsko pokretanje, tako da postoji vrlo velika vjerojatnost da se može otkriti i ukloniti uz pomoć programa Autoruns.

Pokazali smo kako koristiti Autoruns u ranijem članku, koji biste trebali pročitati ako se morate upoznati s programom.

Autoruns je samostalni program koji ne mora biti instaliran na vašem računalu. Može se jednostavno skinuti, skinuti i pokrenuti (link ispod). To čini idealno je za dodavanje u prijenosnu programsku kolekciju na vašem bljeskalicom.

Kada prvi put pokrenete Autoruns na računalu, prikazat će vam se licencni ugovor:

Nakon prihvaćanja uvjeta, otvara se glavni prozor Autoruns, koji vam prikazuje kompletan popis svih softvera koji će se pokrenuti kada se računalo pokrene, kada se prijavite ili kada otvorite Internet Explorer:

Da biste privremeno onemogućili program pokretanja, poništite okvir pokraj njezina unosa. Napomena: To se događa ne prekinite program ako je pokrenut u to vrijeme - samo ga sprječava pokretanje Sljedeći vrijeme. Da biste trajno spriječili pokretanje programa, potpuno ga izbrisati (upotrijebite Izbrisati ključ ili desnom tipkom miša i odaberite Izbrisati iz kontekstnog izbornika)). Napomena: To se događa ne uklonite program s računala - da biste ga potpuno uklonili, morate deinstalirati program (ili ga na neki drugi način izbrisati s tvrdog diska).

Sumnjivi softver

Može potrajati prilično malo iskustva (pročitajte "pokušaj i pogreška") da biste postali sposobni prepoznati što je zlonamjerni softver i što nije. Većina zapisa predstavljenih u Autorunu su legitimni programi, čak i ako njihova imena nisu upoznata s vama. Evo nekoliko savjeta koji će vam pomoći razlikovati zlonamjerni softver od legitimnog softvera:

• Ako je unos digitalno potpisan od strane izdavača softvera (tj. Postoji unos u Izdavač stupac) ili ima "opis", onda postoji dobra šansa da je legitimna
• Ako prepoznajete naziv softvera, obično je u redu. Napominjemo da će povremeno zlonamjerni softver "lažno predstavljati" legitiman softver, ali usvaja ime koje je identično ili slično softveru s kojim ste upoznati (npr., "AcrobatLauncher" ili "PhotoshopBrowser"). Također, imajte na umu da mnogi programi zlonamjernog softvera prihvaćaju općenite ili neškodljive nazive, kao što su "Diskfix" ili "SearchHelper" (oba navedena u nastavku).
• Zlonamjerni unosi obično se pojavljuju na Prijaviti se kartica Autoruns (ali ne uvijek!)
• Ako otvorite mapu koja sadrži EXE ili DLL datoteku (više o tome u nastavku), pregledajte "posljednji izmijenjeni" datum, datumi su često od posljednjih nekoliko dana (uz pretpostavku da je vaša infekcija prilično nedavna)
• Zlonamjerni softver se često nalazi u mapi C: \ Windows ili mapi C: \ Windows \ System32
• Zlonamjerni softver često ima samo opću ikonu (lijevo od naziva unosa)

Ako ste u nedoumici, kliknite stavku desnom tipkom miša i odaberite Pretraživanje na mreži ...

Popis u nastavku prikazuje dva unosa s sumnjama: Diskfix i SearchHelper

Ovi unosi, istaknuti gore, prilično su tipični za zlonamjerne infekcije:

• Nemaju ni opise niti izdavače
• Imaju generička imena
• Datoteke se nalaze u C: \ Windows \ System32
• Imaju generičke ikone
• Nazivi datoteka su slučajni nizovi znakova
• Ako pogledate mapu C: \ Windows \ System32 i pronađete datoteke, vidjet ćete da su neke od nedavno izmijenjenih datoteka u mapi (vidi dolje)

Dvostruki klik na stavke odvest će vas do odgovarajućih ključeva registra:

Uklanjanje zlonamjernog softvera

Nakon što identificirate unose za koje smatrate da su sumnjičavi, morate odlučiti što želite učiniti s njima. Vaši odabiri uključuju:

• Privremeno onemogućite zapis autoru
• Trajno izbrišite zapis autoru
• Pronađite postupak koji se izvodi (pomoću Upravitelja zadataka ili slično) i prekidajući ga
• Obrišite EXE ili DLL datoteku s diska (ili barem premjestite u mapu u kojoj se neće automatski pokrenuti)

ili sve gore navedeno, ovisno o tome kako ste sigurni da je program zlonamjerni softver.

Da biste provjerili uspijevaju li vaše izmjene, morat ćete ponovo pokrenuti uređaj i provjeriti sve ili sve od sljedećeg:

• Autorun - da biste vidjeli je li se unos vratio
• Task Manager (ili slično) - da biste vidjeli je li program ponovno pokrenut nakon ponovnog pokretanja
• Provjerite ponašanje koje je navelo da vjerujete da je prvo računalo zaraženo. Ako se to više ne događa, šanse su da je vaše računalo sada čisto

Zaključak

Ovo rješenje nije za svakoga i najvjerojatnije je usmjereno prema naprednim korisnicima. Obično korištenje kvalitetne antivirusne aplikacije čini trik, ali ako ne, Autoruns je vrijedan alat u vašem Anti-Malware kompletu.

Imajte na umu da je neki zlonamjerni softver teže ukloniti od drugih. Ponekad vam je potrebno nekoliko iteracija gore navedenih koraka, pri čemu svaka iteracija zahtijeva da pažljivo pogledate svaki zapis Autorun. Ponekad u trenutku kada uklonite stavku Autorun, zlonamjerni softver koji se izvodi zamjenjuje unos. Kada se to dogodi, moramo postati agresivniji u našem atentatu zlonamjernog softvera, uključujući ukidanje programa (čak i legitimni programi poput Explorer.exe) koji su zaraženi zlonamjernim DLL-ovima.

Uskoro ćemo objaviti članak o tome kako prepoznati, pronaći i prekinuti procese koji predstavljaju legitimne programe, ali pokreću zaražene DLL-ove kako bi se te DLL-ove izbrisale iz sustava.

Preuzmite Autoruns iz SysInternals