Tur ir daudz anti-ļaundabīgo programmutas notīrīs jūsu nasties sistēmu, bet kas notiks, ja jūs nevarat izmantot šādu programmu? Autorununs no SysInternals (nesen iegādājies Microsoft) ir neaizstājams, manuāli noņemot ļaunprātīgu programmatūru.
Ir daži iemesli, kāpēc jums var būt nepieciešams manuāli noņemt vīrusus un spiegprogrammatūru:
- Varbūt jūs nevarat ievērot resursdaudzu un invazīvu anti-ļaundabīgo programmu programmas, kas darbojas jūsu datorā
- Jums, iespējams, vajadzēs iztīrīt mammas datoru (vaikāds cits, kurš nesaprot, ka liela mirgojoša zīme vietnē, kas saka: “Jūsu dators ir inficēts ar vīrusu - noklikšķiniet uz ŠEIT, lai to noņemtu”, nav ziņojums, uz kuru noteikti var paļauties)
- Ļaunprātīgā programmatūra ir tik agresīva, ka tā pretojas visiem mēģinājumiem to automātiski noņemt vai pat neļaus instalēt pret ļaunprātīgu programmatūru
- Daļa no jūsu geek kredo ir uzskats, ka anti-spyware utilītas ir paredzētas wimps
Autoruns ir nenovērtējams papildinājums jebkuram geekprogrammatūras rīku komplekts. Tas ļauj izsekot un kontrolēt visas programmas (un programmu komponentus), kas automātiski sākas ar Windows (vai ar Internet Explorer). Praktiski visa ļaunprogrammatūra ir paredzēta automātiskai palaišanai, tāpēc pastāv ļoti liela iespēja, ka to var atklāt un noņemt, izmantojot Autoruns.
Mēs esam apskatījuši, kā izmantot Autoruns, iepriekšējā rakstā, kas jums jāizlasa, ja vispirms ir jāiepazīstas ar programmu.
Autoruns ir savrupa utilīta, kas to nedarajāinstalē datorā. To var vienkārši lejupielādēt, izsaiņot un palaist (saite zemāk). Tas padara to par ideāli piemērotu, lai pievienotu jūsu zibatmiņas diska portatīvo utilītu kolekcijai.
Pirmoreiz palaižot Autoruns datorā, jums tiek parādīts licences līgums:
Pēc piekrišanas noteikumiem tiek atvērts galvenais Autoruns logs, kurā parādīts viss programmatūras saraksts, kas darbosies, startējot datoru, piesakoties vai atverot Internet Explorer:
Lai īslaicīgi atspējotu programmas palaišanu, noņemiet atzīmi no izvēles rūtiņas blakus tās ierakstam. Piezīme nē pārtrauciet programmu, ja tā tajā laikā darbojas - tas tikai novērš tās startēšanu Nākamais laiks. Lai neatgriezeniski neļautu programmu palaist, ierakstu pilnībā izdzēsiet (izmantojiet Dzēst taustiņu vai ar peles labo pogu noklikšķiniet un izvēlieties Dzēst no konteksta izvēlnes)). Piezīme nē noņemiet programmu no datora - lai to pilnībā noņemtu, programma ir jāinstalē (vai kā citādi jādzēš no cietā diska).
Aizdomīga programmatūra
Tam var būt nepieciešama diezgan liela pieredze (lasiet “izmēģinājumsun kļūda ”), lai kļūtu lietpratīgi identificēt, kas ir ļaunprātīga programmatūra un kas nav. Lielākā daļa autoruns iesniegto ierakstu ir likumīgas programmas, pat ja viņu vārdi jums nav pazīstami. Šeit ir daži padomi, kas palīdzēs atšķirt ļaunprogrammatūru no likumīgās programmatūras:
- Ja ierakstu ir digitāli parakstījis programmatūras izdevējs (t.i., tajā ir ieraksts Izdevējs kolonna) vai tai ir “Apraksts”, tad pastāv liela iespēja, ka tā ir likumīga
- Ja atpazīstat programmatūras vārdu, tad tas irparasti labi. Ņemiet vērā, ka reizēm ļaunprātīga programmatūra “uzdodas” par likumīgu programmatūru, bet pieņem vārdu, kas ir identisks vai līdzīgs programmatūrai, kuru jūs pazīstat (piemēram, “AcrobatLauncher” vai “PhotoshopBrowser”). Ņemiet arī vērā, ka daudzas ļaunprātīgas programmatūras programmas lieto vispārīgus vai nekaitīgus vārdus, piemēram, “Diskfix” vai “SearchHelper” (abi minēti turpmāk).
- Ļaunprātīgas programmatūras ieraksti parasti parādās Ielogoties cilne Autoruns (bet ne vienmēr!)
- Ja atverat mapi, kurā atrodas EXEvai DLL fails (vairāk par to zemāk), pārbaudiet “pēdējās modifikācijas” datumu, datumi bieži ir no pēdējām dienām (pieņemot, ka jūsu infekcija ir diezgan nesena)
- Ļaunprātīga programmatūra bieži atrodas mapē C: Windows vai mapē C: WindowsSystem32
- Ļaunprātīgai programmatūrai bieži ir tikai vispārīga ikona (pa kreisi no ieraksta nosaukuma)
Ja rodas šaubas, ar peles labo pogu noklikšķiniet uz ieraksta un atlasiet Meklēt tiešsaistē ...
Zemāk redzamajā sarakstā ir redzami divi aizdomīgi izskatās ieraksti: Diskfix un SearchHelper
Šie ieraksti, kas ir izcelti iepriekš, ir diezgan raksturīgi ļaunprātīgas programmatūras infekcijām:
- Viņiem nav ne aprakstu, ne izdevēju
- Viņiem ir sugas vārdi
- Faili atrodas C: WindowsSystem32
- Viņiem ir vispārīgas ikonas
- Failu nosaukumi ir nejaušas rakstzīmju virknes
- Apskatot mapi C: WindowsSystem32 un atrodot failus, redzēsit, ka tie ir daži no pēdējiem mapē modificētajiem failiem (skat. Zemāk)
Veicot dubultklikšķi uz vienumiem, jūs nokļūsit atbilstošajās reģistra atslēgas:
Ļaunprātīgas programmatūras noņemšana
Kad esat identificējis ierakstus, kuri, jūsuprāt, ir aizdomīgi, jums tagad jāizlemj, ko vēlaties darīt ar tiem. Jūsu izvēles iespējas ir šādas:
- Uz laiku atspējojiet ierakstu Autorun
- Atgriezeniski izdzēsiet ierakstu Autorun
- Atrodiet palaišanas procesu (izmantojot uzdevumu pārvaldnieku vai līdzīgu) un izbeidziet to
- Dzēsiet no diska EXE vai DLL failu (vai vismaz pārvietojiet to uz mapi, kur tas netiks automātiski palaists)
vai visu iepriekšminēto atkarībā no tā, cik pārliecināts esat, ka programmā ir ļaunprātīga programmatūra.
Lai redzētu, vai veiktās izmaiņas ir izdevušās, jums būs jāpārstartē mašīna un jāpārbauda kāds no šiem vai visiem tālāk norādītajiem.
- Autoruns - lai redzētu, vai ieraksts ir atgriezies
- Uzdevumu pārvaldnieks (vai līdzīgs) - lai redzētu, vai programma nav atsākta pēc atsāknēšanas
- Pārbaudiet uzvedību, kuras dēļ jūs vispirms uzskatījāt, ka jūsu dators ir inficēts. Ja tas vairs nenotiek, iespējams, ka jūsu dators tagad ir tīrs
Secinājums
Šis risinājums nav piemērots visiem un ir visvairākiespējams, ir paredzēts pieredzējušiem lietotājiem. Parasti, izmantojot kvalitatīvu pretvīrusu lietojumprogrammu, tiek izdarīts triks, bet, ja ne, Autoruns ir vērtīgs rīks jūsu Anti-Malware komplektā.
Ņemiet vērā, ka dažu ļaunprātīgu programmatūru ir grūtāk atrastnoņemt nekā citi. Dažreiz jums ir vajadzīgas vairākas iepriekšminēto darbību iterācijas, katrai atkārtošanai ir nepieciešams rūpīgāk apskatīt katru Autorun ierakstu. Dažreiz tūlītēja automātiskās palaišanas ieraksta noņemšanas gadījumā ieraksts tiek aizstāts ar darbojošos ļaunprogrammatūru. Kad tas notiek, mums ir jākļūst agresīvākiem pret ļaunprātīgas programmatūras slepkavībām, ieskaitot tādu programmu (pat likumīgu programmu kā Explorer.exe), kas ir inficētas ar ļaunprātīgas programmatūras DLL, izbeigšanu.
Drīz mēs publicēsim rakstu par to, kāidentificēt, atrast un izbeigt procesus, kas pārstāv likumīgas programmas, bet darbojas inficēti DLL, lai šos DLL varētu izdzēst no sistēmas.
Lejupielādējiet Autoruns no SysInternals
