Bruk Autoruns til å rengjøre en infisert PC manuelt

Bruk Autoruns til å rengjøre en infisert PC manuelt
Bruk Autoruns til å rengjøre en infisert PC manuelt

Video: Bruk Autoruns til å rengjøre en infisert PC manuelt

Video: Bruk Autoruns til å rengjøre en infisert PC manuelt
Video: YUBIKEY WINDOWS 10 LOGIN - YouTube 2024, November
Anonim

Det er mange anti-malware programmer der ute som vil rense systemet ditt, men hva skjer hvis du ikke kan bruke et slikt program? Autoruns, fra SysInternals (nylig kjøpt av Microsoft), er uunnværlig når man fjerner malware manuelt.

Det er noen grunner til at du må fjerne virus og spionprogram manuelt:

  • Kanskje du ikke kan overholde ressurs-sultne og invasive anti-malware programmer på din PC
  • Du må kanskje rengjøre din mors datamaskin (eller noen andre som ikke forstår at et stort blinkende tegn på et nettsted som sier "Datamaskinen er infisert med et virus - klikk HER for å fjerne det" er ikke en melding som nødvendigvis kan være klarert)

  • Malware er så aggressiv at den motstår alle forsøk på å automatisk fjerne den, eller vil ikke engang tillate deg å installere programvare mot malware
  • En del av din geek credo er troen på at anti-spyware verktøy er for wimps

Autoruns er et uvurderlig tillegg til hvilken som helst geeks programvareverktøyskasse. Det lar deg spore og kontrollere alle programmer (og programkomponenter) som starter automatisk med Windows (eller med Internet Explorer). Nesten all malware er designet for å starte automatisk, så det er en meget sterk sjanse for at den kan oppdages og fjernes ved hjelp av Autoruns.

Vi har dekket hvordan du bruker Autoruns i en tidligere artikkel, som du bør lese om du først må gjøre deg kjent med programmet.

Autoruns er et frittstående verktøy som ikke trenger å bli installert på datamaskinen. Det kan enkelt lastes ned, unzipped og kjøre (link nedenfor). Dette gjør det ideelt for å legge til din bærbare verktøysamling på din flash-stasjon.

Når du starter Autoruns for første gang på en datamaskin, blir du presentert med lisensavtalen:

Når du er enig i vilkårene, åpnes hovedvinduet Autoruns, som viser deg en fullstendig liste over all programvare som kjører når datamaskinen starter, når du logger på, eller når du åpner Internet Explorer:
Når du er enig i vilkårene, åpnes hovedvinduet Autoruns, som viser deg en fullstendig liste over all programvare som kjører når datamaskinen starter, når du logger på, eller når du åpner Internet Explorer:
Image
Image

For å midlertidig deaktivere et program fra lanseringen fjerner du merket ved siden av oppføringen. Merk: Dette gjør ikke avslutte programmet hvis det kjører på det tidspunktet - det forhindrer bare at det starter neste tid. For permanent å forhindre et program fra å starte, slett du helt opp oppføringen (bruk Slett nøkkel eller høyreklikk og velg Slett fra kontekstmenyen)). Merk: Dette gjør ikke fjern programmet fra datamaskinen din - for å fjerne det helt må du avinstallere programmet (eller på annen måte slette det fra harddisken).

Mistenkelig programvare

Det kan ta en god del erfaring (les "prøve og feil") for å bli dygtig til å identifisere hva som er skadelig programvare og hva som ikke er det. De fleste oppføringene som presenteres i Autoruns er legitime programmer, selv om navnene deres ikke er kjent for deg. Her er noen tips for å hjelpe deg å skille mellom malware fra den legitime programvaren:

  • Hvis en oppføring digitalt er signert av en programvareutgiver (det vil si en oppføring i Forlegger kolonne) eller har en "beskrivelse", så er det en god sjanse for at det er legitimt
  • Hvis du gjenkjenner programvarens navn, er det vanligvis greit. Vær oppmerksom på at malware i og for tiden vil "etterligne" legitim programvare, men vedta et navn som er identisk med eller ligner på programvare du er kjent med (for eksempel "AcrobatLauncher" eller "PhotoshopBrowser"). Vær også oppmerksom på at mange malwareprogrammer anvender generiske eller uskyldige navn, for eksempel "Diskfix" eller "SearchHelper" (begge nevnt nedenfor).

  • Malwareoppføringer vises vanligvis på Logg på fan av Autoruns (men ikke alltid!)
  • Hvis du åpner mappen som inneholder EXE- eller DLL-filen (mer på dette under), undersøk den "sist endrede" datoen, datoene er ofte fra de siste dagene (forutsatt at infeksjonen er ganske nylig)

  • Malware er ofte plassert i mappen C: Windows eller C: Windows System32-mappen
  • Malware har ofte bare et generisk ikon (til venstre for navnet på oppføringen)

Hvis du er i tvil, høyreklikk oppføringen og velg Søk på nettet …

Listen nedenfor viser to mistenkelige lette oppføringer: Diskfix og SearchHelper

Disse oppføringene, uthevet ovenfor, er ganske typiske for malwareinfeksjoner:
Disse oppføringene, uthevet ovenfor, er ganske typiske for malwareinfeksjoner:
  • De har hverken beskrivelser eller utgivere

  • De har generiske navn
  • Filene er plassert i C: Windows System32

  • De har generiske ikoner
  • Filnavnene er tilfeldige strenger av tegn

  • Hvis du ser i mappen C: Windows System32 og finner filene, ser du at de er noen av de sist endrede filene i mappen (se nedenfor)
Dobbeltklikk på elementene tar deg til de tilhørende registernøklene:
Dobbeltklikk på elementene tar deg til de tilhørende registernøklene:
Image
Image

Fjerne skadelig programvare

Når du har identifisert oppføringene du mener er mistenkelig, må du nå bestemme hva du vil gjøre med dem. Dine valg inkluderer:

  • Deaktiver midlertidig Autorun-oppføringen midlertidig
  • Slett Autorun-oppføringen permanent

  • Finn løpeprosessen (ved hjelp av Oppgavebehandling eller lignende) og avslutte den
  • Slett EXE- eller DLL-filen fra disken din (eller i det minste flytte den til en mappe der den ikke starter automatisk)

eller alt ovenfor, avhengig av hvor sikkert du er at programmet er skadelig programvare.

For å se om endringene lykkes, må du starte maskinen på nytt og kontrollere noe eller alle av følgende:

  • Autoruns - for å se om oppføringen har returnert
  • Oppgavebehandling (eller lignende) - for å se om programmet ble startet igjen etter omstart

  • Sjekk oppførselen som førte til at du trodde at PCen din var infisert i utgangspunktet. Hvis det ikke lenger skjer, er det sannsynligvis at PCen din nå er ren

Konklusjon

Denne løsningen er ikke for alle og er mest sannsynlig rettet mot avanserte brukere. Vanligvis bruker et kvalifisert Antivirus-program tricket, men hvis ikke Autoruns er et verdifullt verktøy i Anti-Malware-settet.

Husk at noen skadelig programvare er vanskeligere å fjerne enn andre. Noen ganger trenger du flere iterasjoner av trinnene ovenfor, med hver iterasjon som krever at du ser nærmere ut på hver Autorun-oppføring. Noen ganger øyeblikkelig at du fjerner Autorun-oppføringen, erstatter skadelig programvare som kjører, oppføringen. Når dette skjer, må vi bli mer aggressive i vårt drap på malware, inkludert termineringsprogrammer (til og med legitime programmer som Explorer.exe) som er infisert med skadelig programvare DLL.

Kort tid vil vi publisere en artikkel om hvordan du identifiserer, lokaliserer og avslutter prosesser som representerer legitime programmer, men kjører infiserte DLLer, slik at disse DLLene kan slettes fra systemet.

Last ned Autoruns fra SysInternals

Anbefalt: