A fertőzött PC kézi tisztításához használja az Autoruns-t
Sok olyan kártevőellenes program van ott, amelyek megtisztítják a nasties rendszerét, de mi történik, ha nem tudja használni ezt a programot? Az Autoruns a SysInternals-tól (a Microsoft által a közelmúltban megszerzett) nélkülözhetetlen a kártevő kézi eltávolításához.
Van néhány oka annak, hogy manuálisan el kell távolítania a vírusokat és kémprogramokat:
- Lehet, hogy nem tudja betartani a számítógépen futó erőforrás-éhes és invazív anti-malware programokat
- Lehet, hogy meg kell tisztítania anyja számítógépét (vagy valaki, aki nem érti, hogy egy nagy villogó jel egy weboldalon, amely azt mondja, hogy „A számítógép vírussal fertőzött - kattintson ide, hogy eltávolítsa” megbízható)
- A rosszindulatú program olyan agresszív, hogy ellenáll minden kísérletnek, hogy automatikusan eltávolítsa azt, vagy nem teszi lehetővé, hogy telepítse az anti-malware szoftvert
- A geekhiteled egy része az a hit, hogy a kémprogram-ellenes segédprogramok wimps-re vonatkoznak
Az Autoruns felbecsülhetetlen értékű kiegészítője a geek szoftvereszközeinek. Lehetővé teszi, hogy nyomon követhesse és vezérelje az összes programot (és programösszetevőt), amely automatikusan elindul a Windows rendszerrel (vagy az Internet Explorerrel). Gyakorlatilag minden rosszindulatú programot úgy terveztek, hogy automatikusan elinduljon, ezért nagyon nagy esély van arra, hogy az Autoruns segítségével észlelhető és eltávolítható legyen.
Fedeztük fel, hogyan kell használni az Autoruns-t egy korábbi cikkben, amelyet el kell olvasni, ha először meg kell ismerkednie a programmal.
Az Autoruns egy önálló segédprogram, amelyet nem kell telepíteni a számítógépre. Egyszerűen letölthető, kicsomagolható és futtatható (link). Ez ideális megoldás arra, hogy a hordozható segédprogram gyűjteményéhez hozzáadja a flash meghajtót.
Amikor elindítja az Autoruns-t számítógépén, először a licencszerződést jeleníti meg:
Miután elfogadta a feltételeket, megnyílik a fő Autoruns ablak, amely megmutatja az összes olyan szoftver teljes listáját, amely a számítógép indításakor fut, amikor bejelentkezik, vagy amikor megnyitja az Internet Explorer programot:
Egy program ideiglenes letiltásához tiltsa le a bejegyzés melletti négyzet jelölését. Megjegyzés: Ez így van nem a program akkor fejeződik be, ha abban az időben fut - ez csak megakadályozza, hogy elinduljon következő idő. Ahhoz, hogy véglegesen megakadályozza a program indítását, törölje a bejegyzést (használja a Töröl gombot, vagy kattintson a jobb gombbal és válassza ki Töröl a helyi menüből)). Megjegyzés: Ez így van nem távolítsa el a programot a számítógépről - annak eltávolításához teljesen el kell távolítania a programot (vagy egyébként törölnie kell a merevlemezről).
Gyanús szoftver
Meglehetősen sok tapasztalatra lehet számítani (olvassa el a „próba és hiba”), hogy elsajátítsa, hogy mi a rosszindulatú program és mi nem. Az Autorunsban bemutatott bejegyzések többsége jogos program, még akkor is, ha a nevük nem ismeretlen. Íme néhány tipp, amely megkönnyíti a rosszindulatú szoftverek megkülönböztetését a jogszerű szoftverektől:
- Ha egy bejegyzést digitálisan aláír egy szoftverkiadó (vagyis van egy bejegyzés a Kiadó oszlopban), vagy van egy „Leírás”, akkor jó esély van arra, hogy ez jogszerű
- Ha felismeri a szoftver nevét, akkor általában rendben van. Ne feledje, hogy időnként a rosszindulatú szoftverek „törvényes” szoftvert fognak „megszemélyesíteni”, de olyan nevet fogadnak el, amely azonos vagy hasonló az Ön által ismert szoftverrel (pl. „AcrobatLauncher” vagy „PhotoshopBrowser”). Ne feledje, hogy sok rosszindulatú program általános vagy ártalmatlan neveket, például „Diskfix” -et vagy „SearchHelper” -et (mindkettőt az alábbiakban említett) fogad el..
- A rosszindulatú programbejegyzések általában megjelennek a Bejelentkezni az Autoruns lapja (de nem mindig!)
- Ha megnyitja az EXE-t vagy a DLL-fájlt tartalmazó mappát (az alábbiakban további információkat), vizsgálja meg az „utolsó módosított” dátumot, a dátumok gyakran az elmúlt néhány napban vannak (feltételezve, hogy a fertőzés meglehetősen friss)
- A rosszindulatú programok gyakran a C: Windows mappában vagy a C: Windows System32 mappában találhatók
- A rosszindulatú programok gyakran csak egy általános ikonnal rendelkeznek (a bejegyzés nevétől balra)
Ha kétség merül fel, kattintson a jobb gombbal a bejegyzésre, majd válassza a lehetőséget Keresés az interneten…
Az alábbi lista két gyanús keresést tartalmaz: Diskfix és SearchHelper
Ezek a bejegyzések a fentiekben kiemelten jellemzőek a rosszindulatú fertőzésekre:
- Nincsenek leírások és kiadók
- Általános nevük van
- A fájlok a C: Windows rendszerben találhatók
- Általános ikonok vannak
- A fájlnevek véletlenszerű karakterláncok
- Ha megnézed a C: Windows System32 mappát, és megkeresi a fájlokat, akkor látni fogja, hogy ezek a mappában legutóbb módosított fájlok (lásd alább)
Az elemek duplán kattintva eljuthat a megfelelő rendszerleíró kulcsokhoz:
A Malware eltávolítása
Miután azonosította a gyanúsnak ítélt bejegyzéseket, el kell döntenie, hogy mit szeretne velük csinálni. Az Ön választásai a következők:
- Ideiglenesen tiltsa le az Autorun bejegyzést
- Az Autorun bejegyzés végleges törlése
- Keresse meg a futó folyamatot (a Feladatkezelővel vagy hasonlóval), és szüntesse meg
- Törölje az EXE vagy a DLL fájlt a lemezről (vagy legalább átmásolja azt egy mappába, ahol nem indul el automatikusan)
vagy a fentiek mindegyike, attól függően, hogy mennyire biztos, hogy a program rosszindulatú.
Ha meg szeretné tekinteni, hogy a módosítások sikerültek-e, újra kell indítania a gépet, és ellenőrizni kell az alábbiak valamelyikét vagy mindegyikét:
- Autoruns - láthatja, hogy a bejegyzés visszatért
- Feladatkezelő (vagy hasonló) - a program újraindítása után az újraindítás után
- Ellenőrizze a viselkedést, amely azt hitte, hogy a számítógép első helyen fertőzött. Ha ez már nem történik meg, valószínű, hogy a számítógép most tiszta
Következtetés
Ez a megoldás nem mindenkinek szól, és leginkább a fejlett felhasználóknak szól. Általában egy minőségi Antivirus alkalmazást használ a trükk, de ha nem, az Autoruns értékes eszköz az Anti-Malware csomagban.
Ne feledje, hogy egyes rosszindulatú programokat nehezebb eltávolítani, mint másokat. Néha a fenti lépések több iterációjára van szükség, minden egyes iterációval megkövetelve, hogy minden egyes Autorun bejegyzésnél alaposabban nézzen ki. Néha az azonnali, hogy eltávolítja az Autorun bejegyzést, a futó rosszindulatú program helyettesíti a bejegyzést. Amikor ez megtörténik, agresszívebbé kell válnunk a rosszindulatú szoftverek meggyilkolásában, beleértve a végződéseket (még az olyan törvényes programokat is, mint az Explorer.exe), amelyek fertőzöttek a kártevő DLL-ekkel.
Röviddel közzéteszünk egy cikket a törvényes programokat reprezentáló folyamatok azonosítására, elhelyezésére és megszüntetésére, de fertőzött DLL-eket futtatnak annak érdekében, hogy a DLL-ek törölhetők legyenek a rendszerből.
Töltse le az Autoruns-t a SysInternals-tól