Използване на Autoruns да се справят с процеси на стартиране и Malware

Повечето маниаци имат своя избор за справяне с процесите, които се стартират автоматично, независимо дали това е MS Config, CCleaner или дори Task Manager в Windows 8 - но никой от тях не е толкова мощен, колкото Autoruns, който също е нашият урок по Geek School за днес.

НАВИГАЦИЯ НА УЧИЛИЩАТА

1. Какви са инструментите на SysInternals и как ги използвате?
2. Запознаване с Process Explorer
3. Използване на Process Explorer за отстраняване на неизправности и диагностика
4. Разбиране на процесния монитор
5. Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks
6. Използване на Autoruns да се справят с процеси на стартиране и Malware
7. Използване на BgInfo за показване на системна информация на работния плот
8. Използване на PsTools за контрол на други компютри от командния ред
9. Анализ и управление на вашите файлове, папки и устройства
10. Опаковане и използване на инструментите заедно

В старите дни софтуерът ще се стартира автоматично, като добави запис в стартовата папка в менюто „Старт“ или добави стойност в ключа „Старт“ в системния регистър, но тъй като хората и софтуера станаха по-опитни при намирането на нежелани записи и изтриването им , създателите на съмнителен софтуер започнаха да намират начини да стават все по-подли.

Тези сенчести компании за граф, започнаха да разберат как автоматично да зареждат софтуера си чрез помощни обекти на браузъра, услуги, драйвери, планирани задачи и дори чрез някои изключително напреднали техники като hijacks на изображения и AppInit_dlls.

Проверката за всяко от тези условия ръчно не само отнема много време, но и почти невъзможно за обикновения човек.

Това е мястото, където Autoruns идва и спестява деня. Разбира се, можете да използвате Process Explorer, за да прегледате списъка на процесите и да се ровите дълбоко в нишките и дръжките, а Process Monitor може да разбере точно кои ключове в регистъра се отварят чрез който процес и да ви покаже невероятни количества информация. Но нито един не спира crapware или malware да бъдат заредени отново при следващото зареждане на компютъра.

Разбира се, интелигентната стратегия би била да се използват и трите заедно. Process Explorer вижда това, което в момента се изпълнява и използва процесора и паметта, Process Monitor вижда какво прави приложението под капака, а след това се появява Autoruns, за да изчисти нещата, така че да не се връщат.

Autoruns ви позволява да видите почти всяко нещо, което се зарежда автоматично на компютъра ви, и да го деактивирате толкова лесно, колкото щракнете върху квадратчето за отметка. Това е невероятно лесен за използване и почти очевидно, с изключение на някои наистина сложни неща, които трябва да знаете, за да разберете какво всъщност означават някои от разделите. Това ще научи този урок.

Работа с интерфейса Autoruns

Можете да вземете инструмента Autoruns от уеб сайта на SysInternals точно като всички останали и да го стартирате без да инсталирате. Вие ще искате да направите това, преди да продължите.

Забележка: Autoruns не изисква работа като администратор, но реалистично е най-разумно просто да го направите, тъй като има няколко функции, които не работят по друг начин, и има голяма вероятност зловредният ви софтуер да работи и като администратор..

Когато за първи път стартирате интерфейса, ще видите тон на разделите и списък с неща, които се стартират автоматично на вашия компютър. Разделът по подразбиране „Всичко“ показва всичко от всеки раздел, но може да е малко объркващо и продължително, затова препоръчваме да преминете през всеки раздел поотделно.

Заслужава да се отбележи, че по подразбиране, Autoruns скрива всичко, което е вградено в Windows и е настроено да се стартира автоматично. Можете да активирате показването на тези елементи в опциите, но ние не бихме го препоръчали.

Деактивиране на елементи

За да деактивирате всеки елемент от списъка, можете само да премахнете квадратчето за отметка. Това е всичко, което трябва да направите, просто преминете през списъка и премахнете всичко, от което не се нуждаете, рестартирайте компютъра си и след това го стартирайте отново, за да се уверите, че всичко е добро.

Забележка: някои злонамерени програми непрекъснато ще следят местата, от които те стартират, и незабавно ще върнат стойността обратно. Можете да използвате клавиша F5, за да прегледате отново и да видите дали някой от записите е бил върнат след деактивирането им. Ако някой от тях се появи отново, трябва да използвате Process Explorer, за да спрете или убиете този зловреден софтуер, преди да го деактивирате тук.

Цветовете

Подобно на повечето инструменти на SysInternals, елементите в списъка могат да бъдат различни цветове и ето какво означават те:

• розов - това означава, че не е намерена информация за издател или ако е включена проверката на кода, това означава, че цифровият подпис или не съществува, или не съответства, или няма информация за издател.
• зелен - този цвят се използва, когато се сравнява с предишен набор от данни за автоматично стартиране, за да се посочи елемент, който не е бил последен път.
• жълт - стартовият запис е там, но файлът или заданието, към което сочи, вече не съществува.

Също както и повечето инструменти на SysInternals, можете да щракнете с десния бутон на мишката върху произволен запис и да извършите редица действия, включително прескачане на запис или изображение (действителния файл в Explorer). Можете да търсите в мрежата името на процеса или данните в колоната, да видите подробните свойства или да видите дали този запис се изпълнява чрез бързо търсене чрез Process Explorer - въпреки че много процеси имат зареждащ елемент, който след това пуска нещо друго преди излизане, така че само защото тази функция не показва резултати, не означава нищо.

Ако сте кликнали върху преход към влизане, ще бъдете изпратени директно до редактора на системния регистър, където ще можете да видите този конкретен ключ на системния регистър и да се огледате. Ако въвеждането е нещо друго, може да бъдете отнесени към друга помощна програма, като Task Scheduler. Реалността е, че през повечето време Autoruns показва цялата една и съща информация директно в интерфейса, така че обикновено не е нужно да се притеснявате, освен ако не искате да научите повече.

Менюто Потребител ви позволява да анализирате различен потребителски акаунт, който може да бъде наистина полезен, ако сте заредили автореклами на друг акаунт на същия компютър. Струва си да се отбележи, че очевидно ще трябва да работите като администратор, за да виждате други потребителски акаунти на компютъра.

Проверка на подписи за код

От менюто Опции за филтриране можете да отидете в панел с опции, където можете да изберете една много полезна опция: Проверка на подписи на код. Това ще провери дали всеки цифров подпис се анализира и проверява и показва резултатите директно в прозореца. Ще забележите, че всички елементи в розово на екрана по-долу не са потвърдени или информацията за издателя не съществува.

И за допълнителен кредит, може да забележите, че този скрийншот по-долу е почти същият като този в началото, с изключение на този в някои от елементите в списъка, където не са маркирани като розови. Разликата е, че по подразбиране, без да е включена опцията Проверка на подписи за кодове, автоматично стартиране ще ви предупреждава само с розов ред, ако не съществува информация за издател.

Анализирайте офлайн система (както при свързването на твърд диск към друг компютър)

Представете си, че компютърът на приятеля ви е изцяло объркан и няма да стартира или просто ще се зареди толкова бавно, че наистина не можете да го използвате. Изпробвали сте безопасен режим и опции за възстановяване, като System Restore, но това няма значение, защото е неизползваемо.

Вместо да издърпате "преинсталиращата" карта, която често е само карта "Аз се отказвам", можете да издърпате твърдия диск и да го свържете към вашия компютър или лаптоп с вашия удобен USB твърд диск. Вие имате един, нали? Тогава просто заредете Autoruns и отидете на File -> Analyze Offline System.

Прегледайте, за да намерите директорията на Windows на другия твърд диск и потребителския профил на потребителя, който се опитвате да диагностицирате, и кликнете върху OK, за да започнете.

Разбира се, ще ви е необходим достъп за запис на устройството, защото ще искате да запазите настройките, за да премахнете каквито и да било глупости, които откривате.

Сравняване с друг компютър (или предишна чиста инсталация)

Опцията Файл -> Сравнение изглежда невзрачна, но може да бъде един от най-мощните начини за анализиране на компютъра и да види какво е добавено от последния път, когато сте сканирали, или да сравните с познат чист компютър..

За да използвате тази функция, просто заредете Autoruns на компютъра, който се опитвате да инспектирате, или като използвате офлайн режима, описан по-рано, след това отидете във File -> Compare. Всичко, което е добавено, тъй като сравнението версия на файла ще се появи в ярко зелено. Толкова е просто. За да запазите нова версия, трябва да използвате опцията Файл -> Запазване.

Ако наистина искате да сте професионалист, можете да запишете чиста конфигурация от нова инсталация на Windows и да я поставите на флаш устройство, за да го вземете със себе си. Запазвайте нова версия всеки път, когато докоснете персонален компютър, за да сте сигурни, че можете бързо да идентифицирате всички нови crapware, които собственикът е добавил.

Разглеждане на разделите

Както видяхте досега, Autoruns е много проста, но мощна програма, която вероятно може да се използва от почти всеки. Искам да кажа, всичко, което трябва да направите, е да махнете отметката от квадратчето, нали? Полезно е обаче да имате повече информация за това какво означават всички тези раздели, така че ще се опитаме да ви образоваме тук.

Следваща страница: влизане, планирани задачи и отвличане на изображения