Използвайте автоматиците за ръчно почистване на заразения компютър

Има много анти-злонамерени програми, които ще почистват системата ви, но какво ще стане, ако не успеете да използвате такава програма? Autoruns, от SysInternals (наскоро придобит от Microsoft), е абсолютно необходимо при ръчно премахване на злонамерен софтуер.

Има няколко причини, поради които може да се наложи ръчно да премахнете вируси и шпионски софтуер:

• Може би не можете да се придържате към програмите с гладни ресурси и инвазивни анти-злонамерени програми на вашия компютър
• Може да се наложи да почистите компютъра на майка си (или някой друг, който не разбира, че голям мигащ знак на уебсайт, който казва "Вашият компютър е заразен с вирус - кликнете ТУК, за да го премахнете", не е съобщение, ненадежден)
• Злонамереният софтуер е толкова агресивен, че се противопоставя на всички опити да го премахне автоматично или дори няма да ви позволи да инсталирате анти-злонамерен софтуер
• Част от вашето измислено кредо е вярата, че анти-шпионските програми са за wimps

Autoruns е безценно допълнение към софтуерен инструментариум на всеки геометър. Тя ви позволява да проследявате и контролирате всички програми (и програмни компоненти), които започват автоматично с Windows (или с Internet Explorer). Почти всички зловреден софтуер е създаден да стартира автоматично, така че има много голям шанс, че той може да бъде открит и премахнат с помощта на Autoruns.

Ние разгледахме как да използвате Autoruns в по-ранна статия, която трябва да прочетете, ако трябва първо да се запознаете с програмата.

Autoruns е самостоятелна програма, която не се нуждае от инсталиране на вашия компютър. Тя може да бъде просто изтеглена, разкопана и пусната (линка по-долу). Това прави е идеално подходящ за добавяне към вашата преносима програма за събиране на флаш устройство.

Когато стартирате Автонизма за първи път на компютър, на Вас се представя лицензионното споразумение:

След като се съгласите с условията, се отваря главният прозорец Автомат, показващ пълния списък на целия софтуер, който ще се изпълнява, когато компютърът ви започне, когато влезете в профила си или когато отворите Internet Explorer:

За да изключите временно програмата от стартиране, махнете отметката от квадратчето до нея. Забележка: Това е така не прекратете програмата, ако тя се изпълнява по това време - тя само я предпазва от стартиране следващия време. За да предотвратите непрекъснато пускането на програма, изтрийте изцяло файла (използвайте Изтрий или кликнете с десния бутон на мишката и изберете Изтрий от контекстното меню)). Забележка: Това е така не премахнете програмата от компютъра си - за да я премахнете напълно, трябва да деинсталирате програмата (или по друг начин да я изтриете от твърдия диск).

Подозрителен софтуер

Това може да отнеме сравнително малко опит (прочетете "опит и грешка"), за да станете вещ в идентифицирането на зловредния софтуер и какво не. Повечето от вписванията, представени в Autoruns, са легитимни програми, дори ако техните имена са непознати за вас. Ето няколко съвета, които да ви помогнат да разграничите злонамерения софтуер от законния софтуер:

• Ако даден запис е цифрово подписан от издател на софтуер (т.е. има запис в Издател колона) или има "Описание", тогава има добър шанс, че това е легитимно
• Ако разпознаете името на софтуера, то обикновено е добре. Обърнете внимание, че понякога злонамереният софтуер "ще се представя за" легитимен софтуер, но ще приеме име, което е идентично или подобно на софтуера, който познавате (например "AcrobatLauncher" или "PhotoshopBrowser"). Също така, имайте предвид, че много злонамерени програми приемат общи или безобидни имена като "Diskfix" или "SearchHelper" (и двата посочени по-долу).
• Записите за злонамерен софтуер обикновено се появяват на Вписвам се таб на Автоматичните (но не винаги!)
• Ако отворите папката, която съдържа EXE или DLL файла (повече на този по-долу), разгледайте датата "последна промяна", датите често са от последните няколко дни (ако предположим, че инфекцията ви е съвсем скорошна)
• Злонамереният софтуер често се намира в папката C: \ Windows или в папката C: \ Windows \ System32
• Злонамереният софтуер често има само генерична икона (отляво на името на влизането)

Ако имате съмнения, щракнете с десния бутон върху записа и изберете Търсене онлайн ...

Списъкът по-долу показва две подозрителни записи: Diskfix и SearchHelper

Тези записи, подчертани по-горе, са доста типични за злонамерените инфекции:

• Те нямат нито описания, нито издатели
• Те имат общи имена
• Файловете се намират в C: \ Windows \ System32
• Те имат общи икони
• Имената на файловете са случайни струни от символи
• Ако погледнете в папката C: \ Windows \ System32 и намерете файловете, ще видите, че те са някои от най-скоро променените файлове в папката (вижте по-долу)

Двойното кликване върху елементите ще ви отведе до съответните им ключове в системния регистър:

Премахване на зловреден софтуер

След като идентифицирате записите, за които смятате, че сте подозрителни, сега трябва да решите какво искате да направите с тях. Вашият избор включва:

• Временно деактивирайте въвеждането на "Автоматично"
• Изтрийте трайно записа за автоматичен запис
• Намерете текущия процес (използвайки диспечера на задачите или подобен) и го прекратявате
• Изтрийте EXE или DLL файла от диска (или поне го преместете в папка, където няма да се стартира автоматично)

или всички по-горе, в зависимост от това доколко сте сигурни, че програмата е злонамерен софтуер.

За да видите дали промените ви са успели, ще трябва да рестартирате машината си и да проверите някои или всички от следните неща:

• Autoruns - за да видите дали записът е върнат
• Task Manager (или подобен) - за да видите дали програмата е стартирана отново след рестартирането
• Проверете поведението, което ви накара да вярвате, че вашият компютър е бил заразен на първо място. Ако това вече не се случва, шансовете са, че вашият компютър вече е чист

заключение

Това решение не е за всеки и най-вероятно е насочено към напреднали потребители. Обикновено използването на качествено приложение за антивирус прави трик, но ако не и Autoruns е ценен инструмент в комплекта ви за анти-зловреден софтуер.

Имайте предвид, че някои зловреден софтуер е по-трудно да се премахнат от други. Понякога се нуждаете от няколко повторения на стъпките по-горе, като всяка итерация изисква от вас да разгледате по-внимателно всеки запис на Autorun. Понякога в мига, в който премахвате влизането в "Автоматичен", злонамереният софтуер, който се изпълнява, заменя записа. Когато това се случи, трябва да станем по-агресивни в нашето убийство на злонамерения софтуер, включително и при прекратяване на програми (дори легитимни програми като Explorer.exe), които са заразени с DLL на злонамерен софтуер.

Скоро ще публикуваме статия за това как да идентифицираме, открием и прекратим процеси, които представляват легитимни програми, но те изпълняват заразени DLL, за да могат тези DLL да бъдат изтрити от системата.

Изтегляне на Autoruns от SysInternals