Det er mange anti-malware programmer der utesom vil rense systemet ditt for uklare, men hva skjer hvis du ikke klarer å bruke et slikt program? Autoruns, fra SysInternals (nylig anskaffet av Microsoft), er uunnværlig når man fjerner skadelig programvare manuelt.
Det er noen grunner til at du kanskje trenger å fjerne virus og spionprogramvare manuelt:
- Kanskje du ikke kan overholde å kjøre ressurssultne og invasive anti-malware-programmer på din PC
- Du må kanskje rense datamaskinen til moren din (ellernoen andre som ikke forstår at et stort blinkende skilt på et nettsted som sier "Datamaskinen din er infisert med et virus - klikk HER for å fjerne det" ikke er en melding som nødvendigvis kan stole på)
- Skadelig programvare er så aggressiv at den motstår alle forsøk på å fjerne den automatisk, eller lar deg ikke engang installere anti-skadelig programvare
- En del av din nerdekreditt er troen på at anti-spyware-verktøy er for wimps
Autoruns er et uvurderlig tillegg til enhver nerdprogramvareverktøy. Den lar deg spore og kontrollere alle programmer (og programkomponenter) som starter automatisk med Windows (eller med Internet Explorer). Nesten all skadelig programvare er designet for å starte automatisk, så det er en veldig stor sjanse for at den kan oppdages og fjernes ved hjelp av Autoruns.
Vi har dekket hvordan du bruker Autoruns i en tidligere artikkel, som du bør lese hvis du først trenger å gjøre deg kjent med programmet.
Autoruns er et frittstående verktøy som ikke gjør detmå installeres på datamaskinen din. Den kan enkelt lastes ned, pakkes ut og kjøres (lenke nedenfor). Dette merket er ideelt for å legge til din bærbare verktøy samling på flash-stasjonen.
Når du starter Autoruns for første gang på en datamaskin, får du lisensavtalen:
Etter å ha godtatt vilkårene, åpnes hovedvinduet for Autoruns og viser deg den komplette listen over all programvare som vil kjøre når datamaskinen starter, når du logger på eller når du åpner Internet Explorer:
For å deaktivere et program midlertidig fra å starte, fjerner du merket i ruten ved siden av oppføringen. Merk: Dette gjør det ikke avslutte programmet hvis det kjører på det tidspunktet - det forhindrer bare at det starter neste tid. For å permanent forhindre at et program starter, sletter du oppføringen helt (bruk Slett tast, eller høyreklikk og velg Slett fra hurtigmenyen)). Merk: Dette gjør det ikke fjern programmet fra datamaskinen din - for å fjerne det helt, må du avinstallere programmet (eller på annen måte slette det fra harddisken).
Mistenkelig programvare
Det kan ta en god del erfaring (les “prøveversjonog feil ”) for å bli dyktig til å identifisere hva som er skadelig programvare og hva som ikke er. De fleste oppføringene som presenteres i Autoruns er legitime programmer, selv om navnene deres ikke er kjent for deg. Her er noen tips som hjelper deg med å skille skadelig programvare fra den legitime programvaren:
- Hvis en oppføring er signert digitalt av en programvareutgiver (dvs. det er en oppføring i Forlegger kolonne) eller har en "beskrivelse", så er det en god sjanse for at det er legitimt
- Hvis du kjenner igjen programvarens navn, er det detvanligvis ok. Vær oppmerksom på at malware av og til vil "utgi seg for" legitim programvare, men ved å ta et navn som er identisk med eller ligner på programvare du er kjent med (f.eks. "AcrobatLauncher" eller "PhotoshopBrowser"). Vær også oppmerksom på at mange skadelige programmer bruker generiske eller uskadelige navn, for eksempel “Diskfix” eller “SearchHelper” (begge nevnt nedenfor).
- Oppføringer av skadelig programvare vises vanligvis på Logg på fanen med Autoruns (men ikke alltid!)
- Hvis du åpner mappen som inneholder EXEeller DLL-fil (mer om dette nedenfor), en undersøkelse av "sist endret" dato, datoene er ofte fra de siste dagene (forutsatt at infeksjonen er ganske nylig)
- Skadelig programvare er ofte lokalisert i C: Windows-mappen eller C: WindowsSystem32-mappen
- Malware har ofte bare et generisk ikon (til venstre for navnet på oppføringen)
Hvis du er i tvil, høyreklikker du på oppføringen og velger Søk på nettet ...
Listen nedenfor viser to mistenkelige oppføringer: Diskfix og SearchHelper
Disse oppføringene, fremhevet ovenfor, er ganske typiske for malwareinfeksjoner:
- De har verken beskrivelser eller utgivere
- De har generiske navn
- Filene ligger i C: WindowsSystem32
- De har generiske ikoner
- Filnavnene er tilfeldige tegnstrenger
- Hvis du ser i C: WindowsSystem32-mappen og finner filene, ser du at de er noen av de sist endrede filene i mappen (se nedenfor)
Dobbeltklikk på elementene tar deg til tilhørende registernøkler:
Fjerne skadelig programvare
Når du har identifisert oppføringene du mener er mistenkelig, må du nå bestemme hva du vil gjøre med dem. Dine valg inkluderer:
- Deaktiver midlertidig autokjøringsoppføringen
- Slett Autorun-oppføringen permanent
- Finn kjøringsprosessen (ved hjelp av Oppgavebehandling eller lignende) og avslutt den
- Slett EXE- eller DLL-filen fra disken (eller i det minste flytt den til en mappe der den ikke startes automatisk)
eller alt ovenfor, avhengig av hvor sikker du er på at programmet er skadelig programvare.
For å se om endringene dine lyktes, må du starte maskinen på nytt og sjekke noe av eller alt av følgende:
- Autoruns - for å se om oppføringen har kommet tilbake
- Oppgavebehandling (eller lignende) - for å se om programmet ble startet igjen etter omstart
- Sjekk atferden som førte til at du trodde at PCen din var smittet i utgangspunktet. Hvis det ikke lenger skjer, er sjansen stor for at PC-en din nå er ren
Konklusjon
Denne løsningen er ikke for alle og er mestsannsynligvis rettet mot avanserte brukere. Vanligvis bruker du et kvalitetsantivirusprogram, men hvis ikke, er Autoruns et verdifullt verktøy i Anti-Malware-settet ditt.
Husk at noe skadelig programvare er vanskeligere å gjørefjerne enn andre. Noen ganger trenger du flere iterasjoner av trinnene ovenfor, med hver iterasjon som krever at du ser nøyere på hver Autorun-oppføring. Noen ganger erstatter oppføringen øyeblikket du fjerner Autorun-oppføringen, skadelig programvare som kjører. Når dette skjer, må vi bli mer aggressive i drapet på skadelig programvare, inkludert avslutning av programmer (til og med legitime programmer som Explorer.exe) som er infisert med DLL-filer.
Om kort tid vil vi publisere en artikkel om hvordanfor å identifisere, finne og avslutte prosesser som representerer legitime programmer, men som kjører infiserte DLL-filer, slik at disse DLL-ene kan slettes fra systemet.
Last ned Autoruns fra SysInternals
