Начална » как да » Използвайте Autoruns за ръчно почистване на заразен компютър

    Използвайте Autoruns за ръчно почистване на заразен компютър

    Има много анти-зловредни програми, които ще почистят системата ви от настилки, но какво ще стане, ако не можете да използвате такава програма? Autoruns от SysInternals (наскоро придобит от Microsoft) е незаменим при ръчното премахване на злонамерен софтуер.

    Има няколко причини, поради които може да се наложи ръчно да премахнете вируси и шпионски софтуер:

    • Може би не можете да изпълнявате гладни и инвазивни програми срещу злонамерен софтуер на вашия компютър
    • Може да се наложи да почистите компютъра на майка си (или някой друг, който не разбира, че голям мигащ знак на уебсайт, който казва „Компютърът ви е заразен с вирус - кликнете ТУК, за да го премахнете“ не е съобщение, което може непременно да бъде ненадежден)
    • Зловредният софтуер е толкова агресивен, че се противопоставя на всички опити за автоматично премахване или дори няма да ви позволи да инсталирате софтуер срещу злонамерен софтуер.
    • Част от вашето маниакално кредо е убеждението, че анти-шпионските програми са за слабите

    Autoruns е безценна добавка към софтуерните инструменти на всички маниаци. Тя ви позволява да проследявате и контролирате всички програми (и програмни компоненти), които се стартират автоматично с Windows (или с Internet Explorer). На практика целият зловреден софтуер е проектиран да се стартира автоматично, така че има много голяма вероятност той да бъде открит и премахнат с помощта на Autoruns.

    Разгледахме как да използваме Autoruns в по-ранна статия, която трябва да прочетете, ако трябва първо да се запознаете с програмата.

    Autoruns е самостоятелна програма, която не трябва да се инсталира на вашия компютър. Тя може да бъде просто свалена, разархивирана и стартирана (линк по-долу). Това прави идеално подходящ за добавяне към вашата преносима помощна колекция на вашата флаш-памет.

    Когато за първи път стартирате Autoruns на компютър, получавате лицензионното споразумение:

    След като се съгласите с условията, отваря се главният прозорец за автоматично стартиране, показващ пълния списък на целия софтуер, който ще се изпълнява, когато компютърът се стартира, когато влезете или когато отворите Internet Explorer:

    За да деактивирате временно дадена програма от стартиране, махнете отметката от квадратчето до него. Забележка: Това прави не прекратяване на програмата, ако тя работи по това време - просто не му позволява да стартира следващия време. За да предотвратите стартирането на програмата, изтрийте записа напълно (използвайте Изтрий или щракнете с десния бутон и изберете Изтрий от контекстното меню)). Забележка: Това прави не премахнете програмата от компютъра си - за да я премахнете напълно, трябва да деинсталирате програмата (или да я изтриете по друг начин от твърдия си диск).

    Подозрителен софтуер

    Може да отнеме доста голям опит (прочетете „проба и грешка“), за да станете вещ в идентифицирането на това какво е зловреден софтуер и какво не. Повечето от записите, представени в Autoruns, са законни програми, дори ако имената им са непознати за вас. Ето някои съвети, които ще ви помогнат да различите зловредния софтуер от законния софтуер:

    • Ако даден запис е цифрово подписан от издател на софтуер (т.е. има запис в Издател колона) или има „Описание“, тогава има голяма вероятност това да е законно
    • Ако разпознаете името на софтуера, то обикновено е добре. Обърнете внимание, че понякога зловредният софтуер ще „се представя“ за законен софтуер, но ще приеме име, което е идентично или подобно на познатия ви софтуер (напр. „AcrobatLauncher“ или „PhotoshopBrowser“). Също така имайте предвид, че много злонамерени програми приемат общи или безвредни звукови имена, като например „Diskfix“ или „SearchHelper“ (и двете посочени по-долу).
    • Вписванията за злонамерен софтуер обикновено се появяват в Вписвам се раздел на Autoruns (но не винаги!)
    • Ако отворите папката, съдържаща EXE или DLL файла (повече за това по-долу), прегледайте датата „последна промяна“, датите често са от последните няколко дни (ако приемем, че инфекцията ви е съвсем нова)
    • Зловредният софтуер често се намира в папката C: Windows или в папката C: Windows System32
    • Зловредният софтуер често има само обща икона (от лявата страна на името на записа)

    Ако имате съмнения, щракнете с десния бутон върху записа и изберете Търсене в мрежата…

    Списъкът по-долу показва две подозрително търсени записи: Diskfix и SearchHelper

    Тези записи, подчертани по-горе, са доста типични за инфекции със зловреден софтуер:

    • Те нямат нито описания, нито издатели
    • Те имат родови имена
    • Файловете се намират в C: Windows System32
    • Те имат общи икони
    • Имената на файловете са случайни низове от символи
    • Ако погледнете в папката C: Windows System32 и намерите файловете, ще видите, че те са някои от най-скоро променените файлове в папката (вж. По-долу)

    Двойното кликване върху елементите ще ви отведе до съответните им ключове в системния регистър:

    Премахване на зловредния софтуер

    След като идентифицирате записите, за които смятате, че са подозрителни, сега трябва да решите какво искате да правите с тях. Вашият избор включва:

    • Временно деактивирайте записа за автоматично въвеждане
    • Постоянно изтрийте записа за автоматично стартиране
    • Намерете текущия процес (използвайки Task Manager или подобен) и го прекратете
    • Изтрийте EXE или DLL файла от диска си (или поне го преместете в папка, в която няма да се стартира автоматично)

    или всичко по-горе, в зависимост от това колко сте сигурни, че програмата е злонамерен софтуер.

    За да видите дали промените са успешни, ще трябва да рестартирате машината си и да проверите някои или всички от следните неща:

    • Autoruns - за да видите дали записът е върнат
    • Task Manager (или подобен) - за да видите дали програмата е стартирана отново след рестартирането
    • Проверете поведението, което ви накара да повярвате, че компютърът ви е бил заразен. Ако това вече не се случва, шансовете ви са, че компютърът ви вече е чист

    заключение

    Това решение не е за всички и най-вероятно е насочено към напреднали потребители. Обикновено използването на качествено антивирусно приложение върши работа, но ако не е автоматично, то е ценен инструмент в комплекта за борба с малуер..

    Имайте предвид, че някои зловредни програми са по-трудни за премахване от други. Понякога се нуждаете от няколко повторения на стъпките по-горе, като всяка итерация изисква от вас да търсите по-внимателно при всяко влизане в Autorun. Понякога в момента, в който премахнете записа за автоматично стартиране, работещият зловреден софтуер замества записа. Когато това се случи, ние трябва да станем по-агресивни в убийството на зловредния софтуер, включително програми за прекратяване (дори легитимни програми като Explorer.exe), които са заразени с DLL със зловреден софтуер..

    Скоро ще публикуваме статия за това как да идентифицираме, откриваме и прекратяваме процеси, които представляват легитимни програми, но изпълняват заразени DLL, за да могат тези DLL да бъдат изтрити от системата..

    Изтегляне на Autoruns от SysInternals