Pagina principala » HOWTO » Utilizați Autoruns pentru a curăța manual un PC infectat

    Utilizați Autoruns pentru a curăța manual un PC infectat

    Există multe programe anti-malware care vor curăța sistemul dvs. de nasties, dar ce se întâmplă dacă nu puteți utiliza un astfel de program? Autoruns, de la SysInternals (recent achiziționat de Microsoft), este indispensabilă atunci când eliminăm malware-ul manual.

    Există câteva motive pentru care este posibil să fie necesar să eliminați manual și virușii spyware:

    • Poate că nu puteți respecta programele anti-malware înfometate și invazive pe computer
    • Este posibil să aveți nevoie să curățați computerul mamei dvs. (sau altcineva care nu înțelege că un semn mare care intersectează pe un site care spune "Computerul dvs. este infectat cu un virus - faceți clic pe AICI pentru al elimina" nu este un mesaj care poate fi neapărat de încredere)
    • Malware-ul este atât de agresiv încât rezistă tuturor încercărilor de ao elimina automat sau chiar nu vă va permite să instalați software anti-malware
    • O parte din credo-ul dvs. de geek este credința că utilitățile anti-spyware sunt pentru wimps

    Autoruns este un plus de neprețuit pentru kitul de instrumente software al unui geek. Vă permite să urmăriți și să controlați toate programele (și componentele programului) care se pornesc automat cu Windows (sau cu Internet Explorer). Practic, toate programele malware sunt concepute pentru a porni automat, deci există șanse foarte mari ca acestea să poată fi detectate și eliminate cu ajutorul Autoruns.

    Am descoperit cum să folosim Autoruns într-un articol anterior, pe care ar trebui să-l citiți dacă trebuie să vă familiarizați mai întâi cu programul.

    Autoruns este un utilitar independent care nu trebuie să fie instalat pe computer. Acesta poate fi pur și simplu descărcat, dezarhivat și rulat (link-ul de mai jos). Acest lucru este ideal pentru adăugarea la colecția de utilități portabile pe unitatea flash.

    Când porniți Autoruns pentru prima dată pe un computer, vi se prezintă acordul de licență:

    După ce sunteți de acord cu termenii, se deschide fereastra principală Autoruns, care vă arată lista completă a tuturor software-ului care se va executa la pornirea computerului, când vă conectați sau când deschideți Internet Explorer:

    Pentru a dezactiva temporar un program de lansare, debifați caseta de lângă intrarea acestuia. Notă: Nu nu terminați programul dacă acesta rulează în acel moment - îl împiedică doar să înceapă Următor → timp. Pentru a preveni permanent lansarea unui program, ștergeți complet înregistrarea (utilizați Șterge tastați sau dați clic dreapta și alegeți Șterge din meniul contextual)). Notă: Nu nu eliminați programul de pe computer - pentru al elimina complet, trebuie să dezinstalați programul (sau altfel să îl ștergeți de pe hard disk).

    Software suspect

    Poate dura un pic de experiență (citiți "încercare și eroare") pentru a deveni abil în identificarea a ceea ce este malware și ce nu este. Cele mai multe dintre intrările prezentate în Autoruns sunt programe legitime, chiar dacă numele lor nu vă sunt cunoscute. Iată câteva sfaturi pentru a vă ajuta să diferențiați malware-ul de software-ul legitim:

    • Dacă o înregistrare este semnată digital de un editor de software (adică există o înregistrare în Editor coloana) sau are o "descriere", atunci există o șansă bună ca aceasta să fie legitimă
    • Dacă recunoașteți numele software-ului, atunci de obicei este bine. Rețineți că, uneori, malware-ul va "impersona" software-ul legitim, dar va adopta un nume identic sau similar cu cel pe care îl cunoașteți (de exemplu, "AcrobatLauncher" sau "PhotoshopBrowser"). De asemenea, rețineți că multe programe malware adoptă nume generice sau inofensive, cum ar fi "Diskfix" sau "SearchHelper" (ambele menționate mai jos).
    • Intrările malware apar de obicei pe Logon fișierul Autoruns (dar nu întotdeauna!)
    • Dacă deschideți dosarul care conține fișierul EXE sau DLL (mai multe despre aceasta mai jos), examinați ultima dată "modificată", datele sunt deseori din ultimele zile (presupunând că infecția dvs. este destul de recentă)
    • Malware-ul este adesea localizat în folderul C: \ Windows sau în folderul C: \ Windows \ System32
    • Malware-ul are adesea o pictogramă generică (în partea stângă a numelui înregistrării)

    Dacă aveți dubii, faceți clic dreapta pe intrare și selectați Căutați online ...

    Lista de mai jos prezintă două intrări suspecte: Diskfix și SearchHelper

    Aceste intrări, evidențiate mai sus, sunt destul de tipice pentru infecțiile malware:

    • Ei nu au nici descrieri, nici editori
    • Ei au nume generice
    • Fișierele sunt situate în C: \ Windows \ System32
    • Ei au icoane generice
    • Numele de fișiere sunt caractere aleatoare ale caracterelor
    • Dacă vă uitați în folderul C: \ Windows \ System32 și localizați fișierele, veți vedea că acestea sunt unele dintre cele mai recent modificate fișiere din folder (vedeți mai jos)

    Dublu-clic pe elementele vă va duce la cheile lor de registry corespunzătoare:

    Eliminarea malware-ului

    Odată ce ați identificat intrările despre care credeți că sunt suspecte, acum trebuie să decideți ce doriți să faceți cu ei. Alegerile dvs. includ:

    • Dezactivați temporar intrarea Autorun
    • Ștergeți definiți intrarea Autorun
    • Localizați procesul de funcționare (utilizând Task Manager sau similar) și terminați-l
    • Ștergeți fișierul EXE sau DLL de pe disc (sau cel puțin mutați-l într-un folder unde nu va fi pornit automat)

    sau toate cele de mai sus, în funcție de cât de sigur sunteți că programul este malware.

    Pentru a vedea dacă au reușit modificările dvs., va trebui să reporniți aparatul și să verificați oricare dintre următoarele:

    • Autoruns - pentru a vedea dacă înregistrarea a revenit
    • Task Manager (sau similar) - pentru a vedea dacă programul a fost pornit din nou după repornire
    • Verificați comportamentul care va determinat să credeți că în primul rând a fost infectat PC-ul. Dacă nu se mai întâmplă, este posibil ca PC-ul să fie acum curat

    Concluzie

    Această soluție nu este pentru toată lumea și este cel mai probabil orientată spre utilizatori avansați. De obicei, folosind o aplicație de calitate Antivirus face truc, dar dacă nu Autoruns este un instrument valoros în kitul dvs. Anti-Malware.

    Rețineți că unele programe malware sunt mai greu de eliminat decât altele. Uneori aveți nevoie de mai multe iterații ale pașilor de mai sus, fiecare iterație necesitând să examinați mai atent fiecare intrare Autorun. Uneori, momentul în care eliminați intrarea Autorun, malware-ul care rulează înlocuiește intrarea. Când se întâmplă acest lucru, trebuie să devenim mai agresivi în asasinarea malware-ului, inclusiv în terminarea programelor (chiar și a programelor legitime precum Explorer.exe) care sunt infectate cu DLL-uri malware.

    În curând vom publica un articol despre cum să identificăm, să localizăm și să terminăm procesele care reprezintă programe legitime, dar care rulează DLL-uri infectate, pentru ca acele DLL-uri să poată fi șterse din sistem.

    Descărcați Autoruns de la SysInternals