Bruk Autoruns til å rengjøre en infisert PC manuelt
Det er mange anti-malware programmer der ute som vil rense systemet ditt, men hva skjer hvis du ikke kan bruke et slikt program? Autoruns, fra SysInternals (nylig kjøpt av Microsoft), er uunnværlig når man fjerner malware manuelt.
Det er noen grunner til hvorfor du kanskje må fjerne virus og spionprogram manuelt:
- Kanskje du ikke kan overholde ressurs-sultne og invasive anti-malware programmer på PCen din
- Du må kanskje rengjøre mors mors datamaskin (eller noen andre som ikke forstår at et stort blinkende tegn på et nettsted som sier "Datamaskinen er infisert med et virus - klikk HER for å fjerne det" er ikke en melding som nødvendigvis kan være klarert)
- Malware er så aggressiv at den motstår alle forsøk på å automatisk fjerne den, eller vil ikke engang tillate deg å installere programvare mot malware
- En del av din geek credo er troen på at anti-spyware verktøy er for wimps
Autoruns er et uvurderlig tillegg til hvilken som helst geeks programvareverktøyskasse. Det lar deg spore og kontrollere alle programmer (og programkomponenter) som starter automatisk med Windows (eller med Internet Explorer). Nesten all malware er designet for å starte automatisk, så det er en meget sterk sjanse for at den kan oppdages og fjernes ved hjelp av Autoruns.
Vi har dekket hvordan du bruker Autoruns i en tidligere artikkel, som du bør lese om du først må gjøre deg kjent med programmet.
Autoruns er et frittstående verktøy som ikke trenger å bli installert på datamaskinen. Det kan enkelt lastes ned, pakkes ut og kjøre (lenke nedenfor). Dette gjør det ideelt for å legge til din bærbare verktøysamling på din flash-stasjon.
Når du starter Autoruns for første gang på en datamaskin, blir du presentert med lisensavtalen:
Når du er enig i vilkårene, åpnes hovedvinduet Autoruns, som viser deg en fullstendig liste over all programvare som kjører når datamaskinen starter, når du logger på, eller når du åpner Internet Explorer:
Hvis du vil deaktivere et program midlertidig fra lanseringen, fjerner du merket i boksen ved siden av det. Merk: Dette gjøres ikke avslutte programmet hvis det kjører på det tidspunktet - det forhindrer bare at det starter neste tid. For å forhindre at et program permanent starter, slett du helt opp oppføringen (bruk Slett nøkkel eller høyreklikk og velg Slett fra kontekstmenyen)). Merk: Dette gjøres ikke fjern programmet fra datamaskinen din - for å fjerne det helt må du avinstallere programmet (eller på annen måte slette det fra harddisken din).
Mistenkelig programvare
Det kan ta en god del erfaring (les "prøve og feil") for å bli dygtig til å identifisere hva som er skadelig programvare og hva som ikke er det. De fleste oppføringene som presenteres i Autoruns er legitime programmer, selv om navnene deres ikke er kjent for deg. Her er noen tips for å hjelpe deg å skille mellom malware fra den legitime programvaren:
- Hvis en oppføring digitalt er signert av en programvareutgiver (det vil si en oppføring i Forlegger kolonne) eller har en "beskrivelse", så er det en god sjanse for at det er legitimt
- Hvis du gjenkjenner programvarens navn, er det vanligvis greit. Legg merke til at noen ganger malware vil "etterligne" legitim programvare, men vedta et navn som er identisk med eller lik programvare som du er kjent med (for eksempel "AcrobatLauncher" eller "PhotoshopBrowser"). Vær også oppmerksom på at mange malwareprogrammer anvender generiske eller uskyldige navn, for eksempel "Diskfix" eller "SearchHelper" (begge nevnt nedenfor).
- Malwareoppføringer vises vanligvis på Logg på fan av Autoruns (men ikke alltid!)
- Hvis du åpner mappen som inneholder EXE- eller DLL-filen (mer på dette under), undersøk den "sist endrede" datoen, datoene er ofte fra de siste dagene (forutsatt at infeksjonen er ganske nylig)
- Malware er ofte plassert i mappen C: \ Windows eller C: \ Windows \ System32-mappen
- Malware har ofte bare et generisk ikon (til venstre for navnet på oppføringen)
Hvis du er i tvil, høyreklikker du oppføringen og velger Søk på nettet ...
Listen nedenfor viser to mistenkelige lette oppføringer: Diskfix og SearchHelper
Disse oppføringene, uthevet ovenfor, er ganske typisk for malwareinfeksjoner:
- De har hverken beskrivelser eller utgivere
- De har generiske navn
- Filene er plassert i C: \ Windows \ System32
- De har generiske ikoner
- Filnavnene er tilfeldige strenger av tegn
- Hvis du ser i mappen C: \ Windows \ System32 og finner filene, ser du at de er noen av de sist endrede filene i mappen (se nedenfor)
Dobbeltklikk på elementene tar deg til de tilhørende registernøklene:
Fjerne skadelig programvare
Når du har identifisert oppføringene du mener er mistenkelig, må du nå bestemme hva du vil gjøre med dem. Dine valg inkluderer:
- Deaktiver midlertidig Autorun-oppføringen midlertidig
- Slett autorun-oppføringen permanent
- Finn kjøringsprosessen (ved hjelp av Oppgavebehandling eller lignende) og avslutte den
- Slett EXE- eller DLL-filen fra disken din (eller flytt den i det minste til en mappe der den ikke starter automatisk)
eller alt ovenfor, avhengig av hvor sikkert du er at programmet er skadelig programvare.
For å se om endringene lykkes, må du starte maskinen på nytt og kontrollere noe av eller alle følgende:
- Autoruns - for å se om oppføringen har returnert
- Oppgavebehandling (eller lignende) - for å se om programmet ble startet igjen etter omstart
- Sjekk oppførselen som førte til at du trodde at PCen din var infisert i utgangspunktet. Hvis det ikke lenger skjer, er sjansen for at PCen din nå er ren
Konklusjon
Denne løsningen er ikke for alle og er mest sannsynlig rettet mot avanserte brukere. Vanligvis bruker du et kvalitets Antivirusprogram gjør tricket, men hvis ikke Autoruns er et verdifullt verktøy i Anti-Malware-settet ditt.
Husk at noe skadelig programvare er vanskeligere å fjerne enn andre. Noen ganger trenger du flere iterasjoner av trinnene ovenfor, med hver iterasjon som krever at du ser nærmere ut på hver Autorun-oppføring. Noen ganger øyeblikkelig at du fjerner Autorun-oppføringen, erstatter skadelig programvare som kjører, oppføringen. Når dette skjer, må vi bli mer aggressive i vårt drap på malware, inkludert termineringsprogrammer (til og med legitime programmer som Explorer.exe) som er infisert med skadelig programvare DLLs.
Kort tid vil vi publisere en artikkel om hvordan du identifiserer, lokaliserer og avslutter prosesser som representerer legitime programmer, men kjører infiserte DLLer, slik at de DLLene kan slettes fra systemet.
Last ned Autoruns fra SysInternals