Izmantojiet Autoruns, lai manuāli notīrītu inficēto datoru
Ir daudzas pret-ļaunprātīgas programmatūras programmas, kas tīra jūsu nastiju sistēmu, bet kas notiek, ja jūs nevarat izmantot šādu programmu? Autoruns, no SysInternals (nesen iegādājies Microsoft), ir nepieciešams, lai manuāli noņemtu ļaunprātīgu programmatūru.
Ir daži iemesli, kāpēc jums, iespējams, ir jānoņem vīrusi un spiegprogrammatūra:
- Varbūt jūs nevarat ievērot resursus izsalkušās un invazīvās pretvīrusu programmas datorā
- Iespējams, jums būs nepieciešams tīrīt mammas datoru (vai kādu citu, kurš nesaprot, ka liela mirgojoša zīme tīmekļa vietnē, kurā teikts, ka „jūsu dators ir inficēts ar vīrusu - noklikšķiniet uz HERE, lai to noņemtu” nav ziņojums, kas var būt obligāts uzticams)
- Ļaunprātīga programmatūra ir tik agresīva, ka tā neiebilst pret visiem mēģinājumiem automātiski noņemt vai pat neļauj instalēt pretvīrusu programmatūru
- Daļa no jūsu geek kredo ir pārliecība, ka anti-spyware komunālie pakalpojumi ir wimps
Autoruns ir nenovērtējams papildinājums jebkuram geek programmatūras rīkkopam. Tas ļauj izsekot un kontrolēt visas programmas (un programmas komponentus), kas automātiski sākas ar Windows (vai ar Internet Explorer). Praktiski visas ļaunprātīgas programmatūras ir paredzētas, lai sāktu automātiski, tāpēc ir ļoti liela iespēja, ka to var atklāt un noņemt, izmantojot Autoruns.
Mēs esam noskaidrojuši, kā izmantot Autoruns agrākā rakstā, kuru jums vajadzētu izlasīt, ja jums vispirms jāiepazīstas ar programmu.
Autoruns ir atsevišķa utilīta, kas nav jāinstalē datorā. To var vienkārši lejupielādēt, noņemt un palaist (saite zemāk). Tas padara to ideāli piemērotu savam portatīvajam lietderības krājumam jūsu flash diska.
Kad sākat Autoruns pirmo reizi datorā, jums tiek iesniegts licences līgums:
Pēc tam, kad esat piekritis noteikumiem, atveras galvenais Autoruns logs, kurā redzams pilnīgs visu to programmatūru saraksts, kas darbosies, kad sāksies dators, piesakoties vai atverot programmu Internet Explorer:
Lai īslaicīgi atspējotu programmu no palaišanas, noņemiet atzīmi no izvēles rūtiņas blakus ierakstam. Piezīme ne pārtraukt programmu, ja tā darbojas tajā laikā - tā tikai neļauj tai sākt Nākamais laiks. Lai neatgriezeniski novērstu programmas palaišanu, dzēsiet ierakstu kopumā (izmantojiet Dzēst taustiņu vai ar peles labo pogu noklikšķiniet un izvēlieties Dzēst no konteksta izvēlnes)). Piezīme ne noņemiet programmu no datora - lai to pilnībā noņemtu, ir nepieciešams atinstalēt programmu (vai citādi dzēst to no cietā diska).
Aizdomīga programmatūra
Tas var aizņemt taisnīgu pieredzi (lasīt „izmēģinājuma un kļūdas”), lai kļūtu lietpratīgs, lai noskaidrotu, kas ir ļaunprātīga programmatūra un kas nav. Lielākā daļa autorunā ievadīto ierakstu ir likumīgas programmas, pat ja viņu vārdi jums nav pazīstami. Šeit ir daži padomi, kā palīdzēt ļaunprātīgu programmatūru nošķirt no likumīgās programmatūras:
- Ja ierakstu digitāli paraksta programmatūras izdevējs (t.i.,. \ T Izdevējs kolonnā) vai ir “Apraksts”, tad ir laba iespēja, ka tā ir likumīga
- Ja atpazīsiet programmatūras nosaukumu, tas parasti ir labi. Ņemiet vērā, ka dažkārt ļaunprātīga programmatūra var „iedvesmot” likumīgu programmatūru, bet pieņemot nosaukumu, kas ir identisks vai līdzīgs programmatūrai, kuru pazīstat (piemēram, “AcrobatLauncher” vai “PhotoshopBrowser”). Ņemiet vērā arī to, ka daudzas ļaunprātīgas programmatūras programmas pieņem vispārējus vai nekaitīgus vārdus, piemēram, “Diskfix” vai “SearchHelper” (abi minēti turpmāk).
- Ļaunprātīgas programmatūras ieraksti parasti parādās Ielogoties Autoruns cilne (bet ne vienmēr!)
- Ja atverat mapi, kurā ir EXE vai DLL fails (vairāk par to tālāk), pārbaudiet pēdējo modificēto datumu, datumi bieži vien ir pēdējo dienu laikā (pieņemot, ka jūsu infekcija ir diezgan nesen)
- Ļaunprātīga programmatūra bieži atrodas mapē C: Windows vai mapē C: Windows System32
- Ļaunprātīgai programmatūrai bieži ir tikai vispārēja ikona (pa kreisi no ieraksta nosaukuma)
Ja rodas šaubas, ar peles labo pogu noklikšķiniet uz ieraksta un izvēlieties Meklēt tiešsaistē…
Tālāk redzamajā sarakstā redzami divi aizdomīgi meklējami ieraksti: Diskfikss un SearchHelper
Šie iepriekš norādītie ieraksti ir diezgan tipiski ļaunprātīgas programmatūras infekcijām:
- Viņiem nav ne aprakstu, ne izdevēju
- Viņiem ir vispārēji nosaukumi
- Faili atrodas C: Windows System32
- Tām ir vispārīgas ikonas
- Failu nosaukumi ir nejaušas rakstzīmju virknes
- Ja skatāties mapē C: Windows System32 un atrodat failus, redzēsiet, ka tie ir daži no jaunākajiem mapes failiem (skat. Tālāk)
Veicot dubultklikšķi uz vienumiem, jūs nokļūsiet attiecīgajos reģistra atslēgās:
Malware noņemšana
Kad būsit identificējuši aizdomīgus ierakstus, jums tagad ir jāizlemj, ko vēlaties darīt ar tiem. Jūsu izvēle ietver:
- Īslaicīgi atspējojiet automātiskās ievades ierakstu
- Pastāvīgi dzēsiet automātiskās ievades ierakstu
- Atrodiet darbības procesu (izmantojot uzdevumu pārvaldnieku vai līdzīgu) un pārtrauciet to
- Dzēst EXE vai DLL failu no diska (vai vismaz pārvietojiet to uz mapi, kurā tas netiks automātiski sākts)
vai visu iepriekš minēto, atkarībā no tā, cik droši jūs esat, ka programma ir ļaunprātīga programmatūra.
Lai redzētu, vai jūsu izmaiņas ir veiksmīgas, jums būs jāpārstartē mašīna un jāpārbauda kāds no šiem parametriem:
- Autoruns - lai redzētu, vai ieraksts ir atgriezies
- Uzdevumu pārvaldnieks (vai tamlīdzīgs) - lai redzētu, vai programma ir atsākta pēc atsāknēšanas
- Pārbaudiet uzvedību, kas liek domāt, ka jūsu dators vispirms ir inficēts. Ja tas vairs nenotiek, iespējams, ka jūsu dators tagad ir tīrs
Secinājums
Šis risinājums nav domāts visiem, un visticamāk tas ir pielāgots pieredzējušiem lietotājiem. Parasti, izmantojot kvalitatīvu Antivirus lietojumprogrammu, tas triks, bet, ja ne Autoruns, tas ir vērtīgs rīks jūsu Anti-Malware komplektā.
Ņemiet vērā, ka dažas ļaunprātīgas programmatūras ir grūtāk noņemt, nekā citas. Dažreiz jums ir nepieciešami vairāki iepriekš aprakstīto soļu atkārtojumi, katrai atkārtošanai pieprasot rūpīgāk apskatīt katru automātiskās piekļuves ierakstu. Dažreiz tūlīt, kad tiek noņemts automātiskās ievades ieraksts, notiekošā ļaunprātīgā programmatūra aizstāj ierakstu. Kad tas notiek, mums ir jākļūst agresīvākiem par ļaunprātīgas programmatūras slepkavībām, tostarp beidzot programmas (pat likumīgas programmas, piemēram, Explorer.exe), kas ir inficētas ar ļaunprātīgu programmatūru DLL.
Drīz mēs publicēsim rakstu par to, kā identificēt, atrast un izbeigt procesus, kas pārstāv likumīgas programmas, bet darbojas inficēti DLL, lai šos DLL varētu izdzēst no sistēmas.
Lejupielādējiet Autoruns no SysInternals