Početna » kako da » Koristite Autoruns za ručno čišćenje zaraženih računala

    Koristite Autoruns za ručno čišćenje zaraženih računala

    Postoje mnogi anti-malware programi vani koji će očistiti vaš sustav nasties, ali što se događa ako niste u mogućnosti koristiti takav program? Autoruns, od SysInternals (nedavno kupljen od Microsofta), neophodan je za ručno uklanjanje zlonamjernog softvera.

    Postoji nekoliko razloga zbog kojih ćete možda trebati ručno ukloniti viruse i špijunski softver:

    • Možda ne možete održavati trčanje gladnih resursa i invazivne anti-malware programe na računalu
    • Možda ćete morati očistiti mamino računalo (ili nekog drugog tko ne shvaća da veliki znak koji treperi na web-lokaciji na kojem piše "Vaše računalo zaraženo virusom - kliknite OVDJE da biste ga uklonili" nije poruka koja nužno može biti pouzdana)
    • Zlonamjerni softver je toliko agresivan da se odupire svim pokušajima da ga se automatski ukloni ili vam čak neće dopustiti instaliranje softvera za zaštitu od zlonamjernih programa.
    • Dio vašeg geek kredo je uvjerenje da su anti-spyware alati za wimps

    Autoruns je neprocjenjiv dodatak bilo kojem geek softverskom alatu. Omogućuje vam praćenje i kontrolu svih programa (i programskih komponenti) koji se automatski pokreću sa sustavom Windows (ili s programom Internet Explorer). Gotovo sav zlonamjerni softver dizajniran je za automatsko pokretanje, tako da postoji velika vjerojatnost da ga se može otkriti i ukloniti pomoću Autoruns.

    Mi smo pokrili kako koristiti Autoruns u ranijem članku, koji bi trebali pročitati ako trebate prvi put upoznati s programom.

    Autoruns je samostalan uslužni program koji ne mora biti instaliran na vašem računalu. Može se jednostavno skinuti, raspakirati i pokrenuti (link ispod). To čini idealnim za dodavanje na svoj prijenosni uslužni program na vaš flash pogon.

    Kada prvi put pokrenete Autoruns na računalu, dobivate ugovor o licenci:

    Nakon prihvaćanja uvjeta, otvara se glavni prozor Autoruns koji prikazuje potpuni popis svih programa koji će se pokrenuti kada se računalo pokrene, kada se prijavite ili kada otvorite Internet Explorer:

    Da biste privremeno onemogućili pokretanje programa, odznačite okvir pokraj njegovog unosa. Napomena: Ovo se događa ne prekinuti program ako je pokrenut u to vrijeme - to samo sprječava njegovo pokretanje Sljedeći vrijeme. Da biste trajno spriječili pokretanje programa, izbrišite cijeli unos (upotrijebite Izbrisati ili desnom tipkom miša i odaberite Izbrisati iz kontekstnog izbornika)). Napomena: Ovo se događa ne uklonite program s računala - da biste ga u potpunosti uklonili morate deinstalirati program (ili ga na drugi način izbrisati s tvrdog diska).

    Sumnjivi softver

    Može potrajati prilično malo iskustva (pročitajte "pokušaj i pogreška") da biste postali vješti u prepoznavanju onoga što je zlonamjerni softver, a što nije. Većina unosa prikazanih u Autoruns su legitimni programi, čak i ako su vam imena nepoznata. Evo nekoliko savjeta koji će vam pomoći razlikovati zlonamjerni softver od legitimnog softvera:

    • Ako je unos digitalno potpisan od strane izdavača softvera (tj. Postoji unos u Izdavač stupac) ili ima "Opis", onda postoji dobra šansa da je to legitimno
    • Ako prepoznajete ime softvera, onda je obično u redu. Imajte na umu da će povremeno zlonamjerni softver "oponašati" legitiman softver, ali usvaja ime koje je identično ili slično softveru s kojim ste upoznati (npr. "AcrobatLauncher" ili "PhotoshopBrowser"). Također, imajte na umu da mnogi zlonamjerni programi usvajaju generička ili neškodljiva imena, kao što su "Diskfix" ili "SearchHelper" (oba navedena u nastavku).
    • Unosi zlonamjernog softvera obično se pojavljuju na Prijaviti se kartica Autoruns (ali ne uvijek!)
    • Ako otvorite mapu koja sadrži datoteku EXE ili DLL (više o tome u nastavku), provjerite datum "zadnje izmjene", datumi su često posljednjih nekoliko dana (pod pretpostavkom da je infekcija nedavno)
    • Malware se često nalazi u mapi C: Windows ili u mapi C: Windows System32
    • Zlonamjerni softver često ima samo generičku ikonu (s lijeve strane naziva unosa)

    Ako niste sigurni, desnom tipkom miša kliknite unos i odaberite Pretraživanje na mreži…

    Donji popis pokazuje dva sumnjivo tražena unosa: Diskfix i SearchHelper

    Ovi unosi, istaknuti gore, prilično su tipični za infekcije zlonamjernim softverom:

    • Nemaju ni opise ni izdavače
    • Imaju generička imena
    • Datoteke se nalaze u C: Windows System32
    • Imaju generičke ikone
    • Imena datoteka su slučajni nizovi znakova
    • Ako pogledate u mapu C: Windows System32 i pronađete datoteke, vidjet ćete da su to neke od nedavno izmijenjenih datoteka u mapi (pogledajte dolje)

    Dvostrukim klikom na stavke doći ćete do odgovarajućih ključeva registra:

    Uklanjanje zlonamjernog softvera

    Kada ste identificirali unose za koje smatrate da su sumnjivi, sada trebate odlučiti što želite učiniti s njima. Vaš izbor uključuje:

    • Privremeno onemogućite unos Autorun
    • Trajno izbrišite unos Autorun
    • Pronađite pokrenut proces (pomoću upravitelja zadataka ili slično) i završite ga
    • Izbrišite datoteku EXE ili DLL s diska (ili je barem premjestite u mapu u kojoj se neće automatski pokrenuti)

    ili sve gore navedeno, ovisno o tome koliko ste sigurni da je program zlonamjerni softver.

    Da biste provjerili jesu li vaše promjene uspjele, morat ćete ponovno pokrenuti računalo i provjeriti bilo koje ili sve od sljedećeg:

    • Autoruns - da biste vidjeli je li unos vraćen
    • Upravitelj zadataka (ili slično) - da biste vidjeli je li program ponovno pokrenut nakon ponovnog pokretanja
    • Provjerite ponašanje koje vas je navelo da vjerujete da je vaše računalo prije svega zaraženo. Ako se više ne događa, šanse su da je vaše računalo sada čisto

    Zaključak

    Ovo rješenje nije za svakoga i vjerojatno je prilagođeno naprednim korisnicima. Obično upotrebljava kvalitetnu antivirusnu aplikaciju, ali ako nije Autoruns je vrijedan alat u Anti-Malware kitu.

    Imajte na umu da je neke zlonamjerne programe teže ukloniti od drugih. Ponekad vam je potrebno nekoliko ponavljanja gore navedenih koraka, a svaka iteracija zahtijeva od vas da pažljivije pogledate svaki autorunski unos. Ponekad trenutak kada uklonite unos Autorun, malware koji je pokrenut zamjenjuje unos. Kada se to dogodi, moramo postati agresivniji u atentatu na zlonamjerni softver, uključujući programe za prekid (čak i legitimne programe kao što je Explorer.exe) koji su zaraženi zlonamjernim DLL-ovima.

    Uskoro ćemo objaviti članak o tome kako identificirati, locirati i okončati procese koji predstavljaju legitimne programe, ali pokreću zaražene DLL-ove, kako bi se te DLL-ove mogle izbrisati iz sustava.

    Preuzmite Autoruns iz SysInternals