Existuje veľa programov proti malwaru, ktoré vyčistia váš systém nasties, ale čo sa stane, ak nemôžete použiť takýto program? Autoruns, od SysInternals (nedávno získané spoločnosťou Microsoft), je nevyhnutná pri manuálnom odstraňovaní škodlivého softvéru.
Existuje niekoľko dôvodov, prečo možno budete musieť ručne odstrániť vírusy a spyware:
- Možno nemôžete dodržiavať spustenie programov, ktoré sú zdrojom hladovosti a inváznych programov proti škodlivému softvéru na vašom počítači
-
Možno budete musieť vyčistiť počítač vašej matky (alebo niekoho iného, kto nerozumie tomu, že veľký blikajúci znak na webovej lokalite s názvom "Váš počítač je infikovaný vírusom - kliknite TU ho odstrániť" nie je správa, ktorá môže byť nevyhnutne dôveryhodný)
- Škodlivý softvér je tak agresívny, že odoláva všetkým pokusom o jeho automatické odstránenie alebo dokonca vám nedovolí inštalovať softvér proti malwaru
- Súčasťou vášho geek kréda je presvedčenie, že anti-spyware nástroje sú pre wimps
Autoruns je neoceniteľným prídavkom k softvérovému balíku geek. Umožňuje sledovať a kontrolovať všetky programy (a programové komponenty), ktoré sa spúšťajú automaticky v systéme Windows (alebo v programe Internet Explorer). Prakticky všetok škodlivý softvér je navrhnutý tak, aby sa spustil automaticky, takže existuje veľmi silná šanca, že ho možno detekovať a odstrániť pomocou autorunu.
Pokryli sme, ako používať Autoruns v predchádzajúcom článku, ktorý by ste si mali prečítať, ak sa potrebujete najprv oboznámiť s programom.
Autoruns je samostatný nástroj, ktorý sa nemusí nainštalovať do počítača. Môže sa jednoducho stiahnuť, rozbaliť a spustiť (odkaz nižšie). To je ideálne pre pridanie do vašej prenosnej pomôcky kolekcie na flash disk.
Keď prvýkrát začnete s Autoruns na počítači, dostanete licenčnú zmluvu:
Ak chcete dočasne zabrániť spusteniu programu, zrušte začiarknutie políčka vedľa položky. Poznámka: Toto je nie ukončenie programu, ak je v danom čase spustené - len zabráni jeho spusteniu Ďalšie Čas. Ak chcete natrvalo zabrániť spúšťaniu programu, úplne ho odstráňte (použite vymazať alebo kliknite pravým tlačidlom myši a vyberte vymazať z kontextového menu)). Poznámka: Toto je nie odstráňte program z počítača - úplné odstránenie programu musíte odinštalovať (alebo ho inak odstrániť z pevného disku).
Podozrivý softvér
Môže to trvať veľa skúseností (čítať "pokus a chyba"), aby ste sa stali odborníkmi na identifikáciu toho, čo je škodlivý softvér a čo nie. Väčšina položiek uvedených v Autoruns sú legitímne programy, aj keď ich mená sú pre vás neznáme. Tu je niekoľko tipov, ktoré vám pomôžu rozlíšiť škodlivý softvér od legitímneho softvéru:
- Ak je záznam digitálne podpísaný vydavateľom softvéru (t. J. Tam je záznam v Vydavateľ stĺpec) alebo má "popis", potom je tu dobrá šanca, že je to legitímne
-
Ak poznáte názov softvéru, je to zvyčajne v poriadku. Upozorňujeme, že v niektorých prípadoch sa malware "zosobáši" s legitímnym softvérom, ale prijme meno, ktoré je totožné alebo podobné ako softvér, ktorý poznáte (napríklad "AcrobatLauncher" alebo "PhotoshopBrowser"). Uvedomte si tiež, že mnohé škodlivé programy prijímajú všeobecné alebo neškodné názvy, ako napríklad "Diskfix" alebo "SearchHelper" (obidva uvedené nižšie).
- Záznamy škodlivého softvéru sa zvyčajne zobrazujú na Prihlásiť sa tab Autoruns (ale nie vždy!)
-
Ak otvoríte priečinok, ktorý obsahuje súbor EXE alebo DLL (viac o tomto nižšie), preskúmať dátum "posledný modifikovaný", dátumy sú často z posledných dní (za predpokladu, že vaša infekcia je pomerne nedávna)
- Škodlivý softvér sa často nachádza v priečinku C: Windows alebo priečinku C: Windows System32
- Malware má často iba všeobecnú ikonu (vľavo od názvu záznamu)
Ak máte pochybnosti, kliknite pravým tlačidlom na položku a vyberte položku Hľadať online …
V nižšie uvedenom zozname sú zobrazené dve podozrivé záznamy: Diskfix a SearchHelper
-
Nemajú ani popis ani vydavateľov
- Majú všeobecné názvy
-
Súbory sa nachádzajú v priečinku C: Windows System32
- Majú všeobecné ikony
-
Názvy súborov sú náhodné reťazce znakov
- Ak sa pozriete do priečinka C: Windows System32 a vyhľadáte súbory, uvidíte, že ide o niektoré z posledných nedávno upravených súborov v priečinku (pozri nižšie)
Odstránenie škodlivého softvéru
Keď ste identifikovali položky, o ktorých sa domnievate, že sú podozrivé, musíte sa rozhodnúť, čo s nimi chcete robiť. Medzi vaše možnosti patrí:
- Dočasne zakážte položku Autorun
-
Trvalo odstráňte položku Autorun
- Vyhľadajte bežiaci proces (pomocou nástroja Správca úloh alebo podobne) a ukončite ho
- Odstráňte súbor EXE alebo DLL z disku (alebo ho aspoň presuňte do priečinka, kde sa automaticky nespustí)
alebo všetky vyššie uvedené, v závislosti od toho, či ste istí, že program je škodlivý softvér.
Ak chcete zistiť, či sa vaše zmeny podarilo, budete musieť počítač reštartovať a skontrolovať niektoré alebo všetky z nasledujúcich možností:
- Autoruns - zistiť, či sa záznam vrátil
-
Správca úloh (alebo podobný) - či sa program po opätovnom spustení znova spustil
- Skontrolujte správanie, ktoré viedlo k domnienke, že váš počítač bol na prvom mieste infikovaný. Ak sa už nedeje, je pravdepodobné, že počítač je teraz čistý
záver
Toto riešenie nie je pre každého a je s najväčšou pravdepodobnosťou zamerané na pokročilých používateľov. Zvyčajne pomocou kvalitnej antivírusovej aplikácie to trik, ale ak nie Autoruns je cenným nástrojom vo vašej súprave Anti-Malware.
Majte na pamäti, že niektorý škodlivý softvér je ťažšie odstrániť ako iné. Niekedy potrebujete niekoľko opakovaní vyššie uvedených krokov, pričom každá iterácia vyžaduje, aby ste pozornejšie sledovali každú položku Autorun. Niekedy v okamihu, keď odstránite položku Autorun, spustený malware nahrádza záznam. Keď sa to stane, musíme byť agresívnejší v atentáte na malware, vrátane ukončenia programov (dokonca aj legitímnych programov ako Explorer.exe), ktoré sú infikované škodlivými DLL.
Krátko budeme publikovať článok o tom, ako identifikovať, lokalizovať a ukončiť procesy, ktoré predstavujú legitímne programy, ale používajú infikované DLL, aby mohli byť tieto DLL odstránené zo systému.
Stiahnuť Autoruns zo SysInternals
