Υπάρχουν πολλά προγράμματα προστασίας από κακόβουλο λογισμικόπου θα καθαρίσει το σύστημα σας nasties, αλλά τι συμβαίνει αν δεν μπορείτε να χρησιμοποιήσετε ένα τέτοιο πρόγραμμα; Το Autoruns, από το SysInternals (που αποκτήθηκε πρόσφατα από τη Microsoft), είναι απαραίτητο για την αφαίρεση κακόβουλου λογισμικού με μη αυτόματο τρόπο.
Υπάρχουν μερικοί λόγοι για τους οποίους μπορεί να χρειαστεί να αφαιρέσετε τους ιούς και το spyware με μη αυτόματο τρόπο:
- Ίσως δεν μπορείτε να τηρήσετε προγράμματα πεινασμένων πόρων και επεμβατικών προγραμμάτων κατά του κακόβουλου λογισμικού στον υπολογιστή σας
- Ίσως χρειαστεί να καθαρίσετε τον υπολογιστή της μητέρας σας (ήκάποιος άλλος που δεν καταλαβαίνει ότι ένα μεγάλο σημάδι που αναβοσβήνει σε έναν ιστότοπο που λέει "Ο υπολογιστής σας έχει μολυνθεί από έναν ιό - κάντε κλικ ΕΔΩ για να τον αφαιρέσετε" δεν είναι ένα μήνυμα που μπορεί να είναι αξιόπιστο)
- Το κακόβουλο λογισμικό είναι τόσο επιθετικό ώστε να αντιστέκεται σε όλες τις προσπάθειες αυτόματης κατάργησης του ή και να μην σας επιτρέπει να εγκαταστήσετε λογισμικό προστασίας από κακόβουλο λογισμικό
- Μέρος της πίστης σας geek είναι η πεποίθηση ότι τα βοηθήματα anti-spyware είναι για wimps
Authoruns είναι μια ανεκτίμητη προσθήκη σε κάθε geek τουλογισμικού. Σας επιτρέπει να παρακολουθείτε και να ελέγχετε όλα τα προγράμματα (και τα στοιχεία του προγράμματος) που ξεκινούν αυτόματα με τα Windows (ή με τον Internet Explorer). Σχεδόν όλα τα κακόβουλα προγράμματα έχουν σχεδιαστεί για να ξεκινούν αυτόματα, οπότε υπάρχει πολύ μεγάλη πιθανότητα να εντοπιστούν και να αφαιρεθούν με τη βοήθεια των autoruns.
Έχουμε καλύψει πώς να χρησιμοποιήσουμε το Autoruns σε ένα παλαιότερο άρθρο, το οποίο πρέπει να διαβάσετε εάν πρέπει πρώτα να εξοικειωθείτε με το πρόγραμμα.
Το Autoruns είναι ένα αυτόνομο βοηθητικό πρόγραμμα που δεν το κάνειπρέπει να εγκατασταθεί στον υπολογιστή σας. Μπορεί απλά να το κατεβάσετε, να ξετυλίξετε και να εκτελέσετε (παρακάτω σύνδεσμος). Αυτό κάνει είναι ιδανικό για την προσθήκη στη φορητή συλλογή χρησιμότητας στη μονάδα flash.
Όταν ξεκινάτε για πρώτη φορά σε έναν υπολογιστή, το Autoruns, σας παρουσιάζεται η άδεια χρήσης:
Αφού συμφωνήσετε με τους όρους, θα ανοίξει το κύριο παράθυρο "Αυτόματα", όπου θα εμφανιστεί η πλήρης λίστα όλων των λογισμικών που θα εκτελούνται κατά την εκκίνηση του υπολογιστή σας, κατά την είσοδό σας ή όταν ανοίγετε τον Internet Explorer:
Για να απενεργοποιήσετε προσωρινά ένα πρόγραμμα από την εκκίνηση, καταργήστε την επιλογή του πλαισίου δίπλα από την καταχώρηση του. Σημείωση: Αυτό συμβαίνει δεν να τερματίσει το πρόγραμμα εάν τρέχει εκείνη τη στιγμή - απλώς εμποδίζει την εκκίνηση Επόμενο χρόνος. Για να αποτρέψετε μόνιμα την εκτέλεση ενός προγράμματος, διαγράψτε συνολικά την καταχώρηση (χρησιμοποιήστε το Διαγράφω κλειδί ή κάντε δεξί κλικ και επιλέξτε Διαγράφω από το μενού περιβάλλοντος)). Σημείωση: Αυτό συμβαίνει δεν καταργήστε το πρόγραμμα από τον υπολογιστή σας - για να το καταργήσετε πλήρως, πρέπει να απεγκαταστήσετε το πρόγραμμα (ή διαφορετικά να το διαγράψετε από τον σκληρό σας δίσκο).
Λογικό λογισμικό
Μπορεί να πάρει ένα δίκαιο κομμάτι της εμπειρίας (διαβάστε "δοκιμήκαι σφάλμα ") για να καταλάβετε το τι είναι κακόβουλο λογισμικό και τι δεν είναι. Οι περισσότερες από τις καταχωρήσεις που παρουσιάζονται στο Autoruns είναι νόμιμα προγράμματα, ακόμα και αν τα ονόματά τους δεν είναι εξοικειωμένα με εσάς. Ακολουθούν μερικές συμβουλές που σας βοηθούν να διαφοροποιήσετε το κακόβουλο λογισμικό από το νόμιμο λογισμικό:
- Εάν μια καταχώρηση είναι ψηφιακά υπογεγραμμένη από έναν εκδότη λογισμικού (δηλ. Υπάρχει μια καταχώρηση στο Εκδότης στήλη) ή έχει "Περιγραφή", τότε υπάρχει μια καλή πιθανότητα ότι είναι νόμιμη
- Εάν αναγνωρίζετε το όνομα του λογισμικού, τότε είναισυνήθως είναι εντάξει. Σημειώστε ότι κατά καιρούς το κακόβουλο λογισμικό θα "μιμηθεί" νόμιμο λογισμικό, αλλά υιοθετώντας ένα όνομα το ίδιο ή παρόμοιο με το λογισμικό που εξοικειώνεστε (π.χ. "AcrobatLauncher" ή "PhotoshopBrowser"). Επίσης, να γνωρίζετε ότι πολλά προγράμματα κακόβουλου λογισμικού υιοθετούν γενικά ή αβλαβή ονόματα, όπως "Diskfix" ή "SearchHelper" (και τα δύο αναφέρονται παρακάτω).
- Οι καταχωρίσεις κακόβουλου λογισμικού εμφανίζονται συνήθως στο Συνδεθείτε καρτέλα Autoruns (αλλά όχι πάντα!)
- Εάν ανοίξετε το φάκελο που περιέχει το EXEή αρχείο DLL (περισσότερες πληροφορίες παρακάτω), εξετάστε την ημερομηνία "τελευταίας τροποποίησης", οι ημερομηνίες είναι συχνά από τις τελευταίες ημέρες (υποθέτοντας ότι η λοίμωξη σας είναι αρκετά πρόσφατη)
- Το κακόβουλο λογισμικό βρίσκεται συχνά στο φάκελο C: Windows ή στο φάκελο C: WindowsSystem32
- Το κακόβουλο λογισμικό συχνά έχει μόνο ένα γενικό εικονίδιο (στα αριστερά του ονόματος της καταχώρησης)
Αν υπάρχει αμφιβολία, κάντε δεξί κλικ στην καταχώρηση και επιλέξτε Αναζήτηση σε απευθείας σύνδεση ...
Η παρακάτω λίστα εμφανίζει δύο ύποπτες αναζητήσεις: Diskfix και SearchHelper
Αυτές οι καταχωρήσεις, που επισημάνθηκαν παραπάνω, είναι αρκετά χαρακτηριστικές για λοιμώξεις από κακόβουλο λογισμικό:
- Δεν έχουν ούτε περιγραφές ούτε εκδότες
- Έχουν γενικά ονόματα
- Τα αρχεία βρίσκονται στο C: WindowsSystem32
- Έχουν γενικά εικονίδια
- Τα ονόματα αρχείων είναι τυχαία συμβολοσειρά χαρακτήρων
- Αν κοιτάξετε στο φάκελο C: WindowsSystem32 και εντοπίσετε τα αρχεία, θα δείτε ότι είναι μερικά από τα πιο πρόσφατα τροποποιημένα αρχεία του φακέλου (δείτε παρακάτω)
Κάνοντας διπλό κλικ στα στοιχεία, θα μεταβείτε στα αντίστοιχα κλειδιά μητρώου τους:
Αφαίρεση του κακόβουλου λογισμικού
Μόλις εντοπίσετε τις καταχωρίσεις που πιστεύετε ότι είναι ύποπτες, πρέπει τώρα να αποφασίσετε τι θέλετε να κάνετε μαζί τους. Οι επιλογές σας περιλαμβάνουν:
- Απενεργοποιήστε προσωρινά την καταχώριση του Autorun
- Διαγράψτε μόνιμα την καταχώρηση Autorun
- Εντοπίστε την τρέχουσα διαδικασία (χρησιμοποιώντας το Task Manager ή παρόμοιο) και τερματίζοντας την
- Διαγράψτε το αρχείο EXE ή DLL από το δίσκο σας (ή τουλάχιστον μετακινήστε το σε ένα φάκελο όπου δεν θα ξεκινήσει αυτόματα)
ή όλα τα παραπάνω, ανάλογα με το πόσο βέβαιοι είστε ότι το πρόγραμμα είναι malware.
Για να δείτε εάν οι αλλαγές σας πέτυχαν, θα χρειαστεί να επανεκκινήσετε το μηχάνημά σας και να ελέγξετε κάποια ή όλα τα παρακάτω:
- Autoruns - για να δείτε αν η καταχώρηση έχει επιστραφεί
- Διαχείριση εργασιών (ή παρόμοια) - για να δείτε αν το πρόγραμμα ξεκίνησε ξανά μετά την επανεκκίνηση
- Ελέγξτε τη συμπεριφορά που σας οδήγησε να πιστεύετε ότι ο υπολογιστής σας ήταν μολυσμένος στην πρώτη θέση. Εάν δεν συμβαίνει πλέον, οι πιθανότητες είναι ότι ο υπολογιστής σας είναι πλέον καθαρός
συμπέρασμα
Αυτή η λύση δεν είναι για όλους και είναι η μεγαλύτερηπιθανώς προσανατολισμένη στους προχωρημένους χρήστες. Συνήθως χρησιμοποιώντας μια εφαρμογή Antivirus ποιότητας κάνει το τέχνασμα, αλλά αν όχι το Autoruns είναι ένα πολύτιμο εργαλείο στο κιτ Anti-Malware.
Λάβετε υπόψη ότι κάποιο κακόβουλο λογισμικό είναι πιο δύσκολο νααπό άλλες. Μερικές φορές χρειάζεστε αρκετές επαναλήψεις των παραπάνω βημάτων, με κάθε επανάληψη που απαιτεί να εξετάσετε προσεκτικότερα κάθε είσοδο του Autorun. Μερικές φορές τη στιγμή που καταργείτε την καταχώρηση Autorun, το κακόβουλο πρόγραμμα που εκτελείται αντικαθιστά την καταχώρηση. Όταν συμβαίνει αυτό, πρέπει να γίνουμε πιο επιθετικοί στη δολοφονία μας για το κακόβουλο λογισμικό, συμπεριλαμβανομένων τερματισμού προγραμμάτων (ακόμη και νόμιμων προγραμμάτων όπως το Explorer.exe) που έχουν μολυνθεί από κακόβουλα αρχεία DLL.
Σύντομα θα δημοσιεύσουμε ένα άρθρο σχετικά με τον τρόπογια τον εντοπισμό, τον εντοπισμό και τον τερματισμό διαδικασιών που αντιπροσωπεύουν νόμιμα προγράμματα, αλλά εκτελούν μολυσμένα DLL, προκειμένου αυτά τα DLL να διαγραφούν από το σύστημα.
Κατεβάστε το Autoruns από το SysInternals
