Domovská » jak » Použijte Autoruns k ručnímu čištění infikovaného počítače

    Použijte Autoruns k ručnímu čištění infikovaného počítače

    Existuje mnoho anti-malware programů, které vyčistí váš systém nasties, ale co se stane, pokud nebudete moci používat takový program? Autoruns, od společnosti SysInternals (nedávno získané společností Microsoft), je nepostradatelná při manuálním odstraňování škodlivého softwaru.

    Existuje několik důvodů, proč je třeba ručně odstranit viry a spyware:

    • Možná nedokážete na svém počítači provozovat běžné a invazivní programy proti škodlivému softwaru
    • Možná budete muset vyčistit počítač vaší matky (nebo někdo jiný, kdo nerozumí tomu, že velký blikající znak na webu, který říká "Váš počítač je infikován virem - klikněte ZDE na jeho odstranění"), není zpráva, důvěryhodné)
    • Malware je tak agresivní, že odolává všem pokusům o jeho automatické odstranění nebo dokonce vám neumožní instalovat software proti malwaru
    • Součástí vašeho geek kréda je přesvědčení, že nástroje anti-spyware jsou pro wimps

    Autoruns je neocenitelný přírůstek softwarových nástrojů pro všechny geeky. Umožňuje sledovat a kontrolovat všechny programy (a programové komponenty), které se spouštějí automaticky se systémem Windows (nebo s aplikací Internet Explorer). Ve skutečnosti je veškerý malware navržen tak, aby se automaticky spouštěl, takže je velmi silná šance, že může být detekována a odstraněna pomocí Autoruns.

    Pokryli jsme, jak používat Autoruns v předchozím článku, který byste si měli přečíst, pokud potřebujete nejprve seznámit se s programem.

    Autoruns je samostatný nástroj, který nemusí být v počítači nainstalován. Lze jej jednoduše stáhnout, rozbalit a spustit (odkaz níže). To je ideální pro přidání do přenosné utility kolekce na flash disku.

    Při prvním spuštění aplikace Autoruns v počítači se zobrazí licenční smlouva:

    Po odsouhlasení termínů se otevře hlavní okno Autoruns, které vám ukáže úplný seznam všech softwarů, které se spustí při spuštění počítače, po přihlášení nebo po otevření aplikace Internet Explorer:

    Chcete-li dočasně zakázat spuštění programu, zrušte zaškrtnutí políčka vedle jeho položky. Poznámka: Toto je ne ukončete program, pokud běží v daném okamžiku - zabraňuje jeho spuštění další čas. Chcete-li trvale zabránit spuštění programu, odstraňte jej úplně (použijte Odstranit nebo klepněte pravým tlačítkem myši a vyberte Odstranit z kontextového menu)). Poznámka: Toto je ne odebrat program z počítače - k jeho úplnému odebrání je třeba odinstalovat program (nebo jej jinak smazat z pevného disku).

    Podezřelý software

    To může trvat dost zkušeností (čtěte "zkušební a chyba"), aby se stal adept při identifikaci toho, co je malware a co není. Většina položek uvedených v Autoruns jsou legitimní programy, i když jejich jména nejsou pro vás známá. Zde je několik tipů, které vám pomohou odlišit malware od legitimního softwaru:

    • Pokud je záznam digitálně podepsán vydavatelem softwaru (tj Vydavatel sloupec) nebo má "popis", pak je dobrá šance, že je to legitimní
    • Pokud rozpoznáte název softwaru, je to obvykle v pořádku. Všimněte si, že příležitostně se malware "zosobňuje" legitimní software, ale přijme jméno, které je totožné nebo podobné jako software, který jste obeznámeni (např. "AcrobatLauncher" nebo "PhotoshopBrowser"). Uvědomte si také, že mnoho škodlivých programů přijímá obecná nebo neškodná jména, jako je "Diskfix" nebo "SearchHelper" (oba jsou uvedeny níže).
    • Záznamy škodlivého softwaru se obvykle zobrazují na Přihlásit se záložka Autoruns (ale ne vždy!)
    • Pokud otevřete složku, která obsahuje soubor EXE nebo DLL (více o tomto níže), prozkoumejte datum "poslední modifikované", data jsou často z posledních několika dnů (za předpokladu, že vaše infekce je poměrně nedávná)
    • Malware se často nachází ve složce C: \ Windows nebo ve složce C: \ Windows \ System32
    • Malware má často pouze obecnou ikonu (vlevo od jména záznamu)

    Pokud máte pochybnosti, klepněte pravým tlačítkem na položku a vyberte možnost Hledat online ...

    Seznam níže obsahuje dvě podezřelé záznamy: Diskfix a SearchHelper

    Tyto položky, zdůrazněné výše, jsou poměrně typické pro infekce malware:

    • Nemají ani popis ani vydavatele
    • Mají obecná jména
    • Soubory jsou umístěny v adresáři C: \ Windows \ System32
    • Mají obecné ikony
    • Názvy souborů jsou náhodné řetězce znaků
    • Pokud se podíváte do složky C: \ Windows \ System32 a vyhledejte soubory, zjistíte, že se jedná o některé z posledních změněných souborů ve složce (viz níže)

    Poklepáním na položky se dostanete na příslušné klíče registru:

    Odstranění škodlivého softwaru

    Jakmile zjistíte položky, které považujete za podezřelé, musíte se nyní rozhodnout, co s nimi chcete dělat. Vaše volby zahrnují:

    • Dočasně deaktivujte položku Autorun
    • Trvale odstranit položku Autorun
    • Vyhledejte běžící proces (pomocí Správce úloh nebo podobně) a ukončete jej
    • Odstraňte soubor EXE nebo DLL z disku (nebo přemístěte jej alespoň do složky, kde nebude automaticky spuštěn)

    nebo všechno výše, v závislosti na tom, jak jistě jste, že program je malware.

    Chcete-li zjistit, zda se vaše změny podařilo, budete muset počítač restartovat a zkontrolovat některá nebo všechna následující:

    • Autoruns - zjistit, zda se záznam vrátil
    • Správce úloh (nebo podobný) - zkontrolujte, zda byl program po restartování znovu spuštěn
    • Zkontrolujte chování, které vedlo k domněnce, že váš počítač byl infikován na prvním místě. Pokud se to již neděje, je pravděpodobné, že váš počítač je nyní čistý

    Závěr

    Toto řešení není pro každého a je s největší pravděpodobností zaměřeno na pokročilé uživatele. Obvykle používáte kvalitní antivirovou aplikaci, ale pokud ne Autoruns je cenným nástrojem v sadě Anti-Malware.

    Mějte na paměti, že některé malware je těžší odstranit než jiné. Někdy je potřeba několik iterací výše uvedených kroků, přičemž každá iterace vyžaduje, abyste si pozorněji prohlíželi každý záznam Autorun. Někdy v okamžiku, kdy odeberete položku Autorun, spuštěný malware nahrazuje položku. Když k tomu dojde, musíme být agresivnější při zavraždění malware, včetně ukončení programů (dokonce i legitimních programů jako Explorer.exe), které jsou nakaženy malwarovými DLL.

    Krátce budeme publikovat článek o tom, jak identifikovat, lokalizovat a ukončit procesy, které představují legitimní programy, ale používají infikované knihovny DLL, aby tyto DLL mohly být odstraněny ze systému.

    Stáhnout Autoruns ze SysInternals

    Použijte záložky pro rychlejší navigaci dokumentů aplikace Word
    Použijte booleovské, datové a zástupné znaky, abyste zvýšili své vyhledávání
    Použijte aplikaci Apple Watch pro dceru, která dává větší pozor
    Další článek
    Použijte nástroj BGInfo k vytvoření databáze systémových informací vašich síťových počítačů
    Předchozí článek
    Použijte auditování pro zajištění složek v síti