/ / Utilizați autoruns pentru curățarea manuală a unui computer infectat

Utilizați Autoruns pentru a curăța manual un computer infectat

Există multe programe anti-malware acoloasta vă va curăța sistemul de urâte, dar ce se întâmplă dacă nu puteți utiliza un astfel de program? Autoruns, de la SysInternals (achiziționat recent de Microsoft), este indispensabil atunci când eliminați manual malware.

Există câteva motive pentru care poate fi necesar să eliminați manual virușii și programele spyware:

  • Poate că nu puteți respecta programele anti-malware invazive și invazive de resurse pe computer
  • Este posibil să fie nevoie să curățați computerul mamei dvs. (saualtcineva care nu înțelege că un semn mare intermitent pe un site web care spune „Calculatorul dvs. este infectat cu un virus - faceți clic AICI pentru a-l elimina” nu este un mesaj care poate fi în mod necesar de încredere)
  • Programul malware este atât de agresiv încât rezistă tuturor încercărilor de al elimina automat sau nu vă va permite chiar să instalați software anti-malware
  • O parte din credo-ul tău geek este credința că utilitățile anti-spyware sunt pentru wimps

Autoruns este un plus de neprețuit la orice geekset de instrumente software. Vă permite să urmăriți și să controlați toate programele (și componentele programului) care încep automat cu Windows (sau cu Internet Explorer). Practic, toate programele malware sunt proiectate pentru a începe automat, astfel încât există șanse foarte mari ca acesta să fie detectat și eliminat cu ajutorul Autoruns.

Am acoperit cum să utilizăm Autoruns într-un articol anterior, pe care ar trebui să îl citiți dacă trebuie să vă familiarizați mai întâi cu programul.

Autoruns este un utilitar autonom care nu aretrebuie instalat pe computer. Poate fi descărcat, dezarhivat și rulat (link-ul de mai jos). Acest lucru este ideal pentru a adăuga la colecția de utilități portabile pe unitatea dvs. flash.

Când porniți Autoruns pentru prima dată pe un computer, vi se prezintă acordul de licență:

Termeni de licență Sysinternal

După ce ați acceptat termenii, se deschide fereastra principală Autoruns, care vă arată lista completă a tuturor software-urilor care vor fi rulate când computerul pornește, când vă conectați sau când deschideți Internet Explorer:

Fereastra Autoruns

Pentru a dezactiva temporar programul de la lansare, debifați caseta de lângă intrarea acestuia. Notă: Acest lucru este valabil nu încheiați programul dacă rulează la momentul respectiv - îl împiedică doar să înceapă Următor → timp. Pentru a împiedica lansarea permanentă a unui program, ștergeți intrarea cu totul (utilizați tasta Șterge tasta sau faceți clic dreapta și alegeți Șterge din meniul contextual)). Notă: Acest lucru este valabil nu eliminați programul de pe computer - pentru a-l elimina complet, trebuie să dezinstalați programul (sau să îl ștergeți altfel de pe hard disk).

Software suspect

Poate lua o experiență corectă (citiți „proces”și eroare ”) pentru a deveni abil în identificarea ce este malware și ce nu. Majoritatea înregistrărilor prezentate în Autoruns sunt programe legitime, chiar dacă numele lor nu vă sunt cunoscute. Iată câteva sfaturi care vă ajută să diferențiați programele malware de software-ul legitim:

  • Dacă o intrare este semnată digital de un editor de software (adică există o intrare în Editor coloana) sau are o „Descriere”, atunci există șanse mari să fie legitim
  • Dacă recunoașteți numele software-ului, atunci acesta estede obicei bine. Rețineți că, ocazional, programele malware vor „înlocui” software-ul legitim, dar adoptând un nume care este identic sau similar cu software-ul cu care cunoașteți (de exemplu, „AcrobatLauncher” sau „PhotoshopBrowser”). De asemenea, rețineți că multe programe malware adoptă nume generice sau inofensive, cum ar fi „Diskfix” sau „SearchHelper” (ambele menționate mai jos).
  • În general, intrările de programe malware apar pe Logon fila Autoruns (dar nu întotdeauna!)
  • Dacă deschideți folderul care conține EXEsau fișierul DLL (mai multe despre acest lucru mai jos), o examinare a datei „ultima modificare”, datele sunt adesea din ultimele zile (presupunând că infecția dvs. este destul de recentă)
  • Programele malware sunt deseori localizate în folderul C: Windows sau în folderul C: WindowsSystem32
  • Programul malware are adesea doar o pictogramă generică (în stânga numelui de intrare)

Dacă aveți îndoieli, faceți clic dreapta pe intrare și selectați Caută online ...

Lista de mai jos prezintă două intrări suspecte: Diskfix și SearchHelper

ar_entries

Aceste intrări, evidențiate mai sus, sunt destul de tipice pentru infecțiile cu malware:

  • Nu au nici descrieri, nici editori
  • Au nume generice
  • Fișierele sunt localizate în C: WindowsSystem32
  • Au icoane generice
  • Numele de fișiere sunt șiruri aleatoare de caractere
  • Dacă vă uitați în folderul C: WindowsSystem32 și localizați fișierele, veți vedea că acestea sunt unele dintre cele mai recent modificate fișiere din folder (vezi mai jos)

Intrări suspecte în folderul System32

Făcând dublu clic pe elemente vă va duce la cheile de registru ale acestora:

Intrări suspecte în Registru

Scoaterea programelor malware

După ce ați identificat intrările pe care considerați că sunt suspecte, acum trebuie să decideți ce doriți să faceți cu ele. Opțiunile dvs. includ:

  • Dezactivați temporar intrarea Autorun
  • Ștergeți definitiv intrarea Autorun
  • Localizați procesul de rulare (folosind Task Manager sau similar) și încheiați-l
  • Ștergeți fișierul EXE sau DLL de pe disc (sau mutați-l cel puțin într-un folder unde nu va fi pornit automat)

sau toate cele de mai sus, în funcție de cât de sigur sunteți că programul este malware.

Pentru a vedea dacă modificările dvs. au reușit, va trebui să reporniți mașina și să verificați oricare dintre următoarele:

  • Autoruns - pentru a vedea dacă intrarea a revenit
  • Manager de activități (sau similar) - pentru a vedea dacă programul a fost început din nou după repornire
  • Verificați comportamentul care v-a determinat să credeți că computerul dvs. a fost infectat în primul rând. Dacă nu se mai întâmplă, este posibil ca computerul dvs. să fie acum curat

Concluzie

Această soluție nu este destinată tuturor și este cea mai mare parteorientat probabil către utilizatori avansați. De obicei, folosirea unei aplicații Antivirus de calitate face truc, dar dacă nu, Autoruns este un instrument valoros în kitul dvs. Anti-Malware.

Rețineți că unele malware sunt mai greu de rezolvatîndepărtați decât alții. Uneori, aveți nevoie de mai multe iterații ale etapelor de mai sus, fiecare iterație necesitând să vă uitați mai atent la fiecare intrare Autorun. Uneori, în momentul în care eliminați intrarea Autorun, malware-ul care se execută înlocuiește intrarea. Când se întâmplă acest lucru, trebuie să devenim mai agresivi în asasinarea noastră cu programele malware, incluzând programe de încetare (chiar și programe legitime precum Explorer.exe) care sunt infectate cu DLL-uri malware.

În scurt timp vom publica un articol despre cumsă identifice, să localizeze și să încheie procesele care reprezintă programe legitime, dar care rulează DLL-uri infectate, pentru a putea fi șterse din sistem.

Descarcă Autoruns de la SysInternals

Citește și

Vedeți toate procesele în timpul pornirii Windows folosind Autoruns
Utilizarea instrumentului Autoruns pentru a urmări aplicațiile de pornire și suplimentele
Escrocii folosesc o versiune falsă a AdwCleaner pentru a păcăli oamenii
Cum se utilizează CD-ul de salvare BitDefender pentru curățarea computerului infectat
Cum să folosiți discul de salvare Kaspersky pentru a vă curăța computerul infectat
Cum se utilizează CD-ul Avira Rescue pentru curățarea computerului infectat
Cele mai bune 35 de sfaturi și trucuri pentru menținerea computerului Windows
Nu mai încercați să curățați computerul infectat! Doar Nuke it și reinstalați Windows