Χρησιμοποιήστε το Autoruns για να καθαρίσετε με μη αυτόματο τρόπο ένα μολυσμένο υπολογιστή
Υπάρχουν πολλά προγράμματα κατά του κακόβουλου λογισμικού που θα καθαρίσουν το σύστημά σας, αλλά τι συμβαίνει εάν δεν μπορείτε να χρησιμοποιήσετε ένα τέτοιο πρόγραμμα; Το Autoruns, από το SysInternals (που αποκτήθηκε πρόσφατα από τη Microsoft), είναι απαραίτητο για την αφαίρεση κακόβουλου λογισμικού με μη αυτόματο τρόπο.
Υπάρχουν μερικοί λόγοι για τους οποίους μπορεί να χρειαστεί να αφαιρέσετε τους ιούς και το spyware με μη αυτόματο τρόπο:
- Ίσως δεν μπορείτε να τηρήσετε προγράμματα πεινασμένων πόρων και επεμβατικών προγραμμάτων κατά του κακόβουλου λογισμικού στον υπολογιστή σας
- Μπορεί να χρειαστεί να καθαρίσετε τον υπολογιστή της μητέρας σας (ή κάποιος άλλος που δεν καταλαβαίνει ότι ένα μεγάλο αναβοσβήσιμο πινακίδα σε έναν ιστότοπο που λέει "Ο υπολογιστής σας έχει μολυνθεί από έναν ιό - κάντε κλικ ΕΔΩ για να τον αφαιρέσετε" δεν είναι ένα μήνυμα που μπορεί απαραίτητα να είναι έμπιστος)
- Το κακόβουλο λογισμικό είναι τόσο επιθετικό ώστε να αντιστέκεται σε όλες τις προσπάθειες αυτόματης κατάργησης του ή και να μην σας επιτρέπει να εγκαταστήσετε λογισμικό προστασίας από κακόβουλο λογισμικό
- Μέρος της πίστης σας geek είναι η πεποίθηση ότι τα βοηθήματα anti-spyware είναι για wimps
Το Autoruns είναι μια ανεκτίμητη προσθήκη σε οποιοδήποτε εργαλείο λογισμικού του geek. Σας επιτρέπει να παρακολουθείτε και να ελέγχετε όλα τα προγράμματα (και τα στοιχεία του προγράμματος) που ξεκινούν αυτόματα με τα Windows (ή με τον Internet Explorer). Σχεδόν όλα τα κακόβουλα προγράμματα έχουν σχεδιαστεί για να ξεκινούν αυτόματα, οπότε υπάρχει πολύ μεγάλη πιθανότητα να εντοπιστούν και να αφαιρεθούν με τη βοήθεια των Autoruns.
Έχουμε καλύψει πώς να χρησιμοποιήσουμε το Autoruns σε ένα παλαιότερο άρθρο, το οποίο πρέπει να διαβάσετε εάν πρέπει πρώτα να εξοικειωθείτε με το πρόγραμμα.
Το Autoruns είναι ένα αυτόνομο βοηθητικό πρόγραμμα που δεν χρειάζεται να εγκατασταθεί στον υπολογιστή σας. Μπορεί απλά να το κατεβάσετε, να ξετυλίξετε και να εκτελέσετε (παρακάτω σύνδεσμος). Αυτό κάνει ιδανικά για να προσθέσετε τη φορητή συλλογή χρησιμότητας στη μονάδα flash.
Όταν ξεκινάτε για πρώτη φορά σε έναν υπολογιστή, το Autoruns, σας παρουσιάζεται η άδεια χρήσης:
Αφού συμφωνήσετε με τους όρους, θα ανοίξει το κύριο παράθυρο "Αυτόματα", όπου θα εμφανιστεί ο πλήρης κατάλογος όλων των λογισμικών που θα εκτελούνται κατά την εκκίνηση του υπολογιστή σας, κατά την είσοδό σας ή όταν ανοίγετε τον Internet Explorer:
Για να απενεργοποιήσετε προσωρινά ένα πρόγραμμα από την εκκίνηση, καταργήστε την επιλογή του πλαισίου δίπλα από την καταχώρηση του. Σημείωση: Αυτό συμβαίνει δεν να τερματίσει το πρόγραμμα εάν εκτελείται τη δεδομένη στιγμή - απλώς εμποδίζει την εκκίνηση Επόμενο χρόνος. Για να αποτρέψετε μόνιμα την εκκίνηση ενός προγράμματος, διαγράψτε συνολικά την καταχώρηση (χρησιμοποιήστε το Διαγράφω κλειδί ή κάντε δεξί κλικ και επιλέξτε Διαγράφω από το μενού περιβάλλοντος)). Σημείωση: Αυτό συμβαίνει δεν καταργήστε το πρόγραμμα από τον υπολογιστή σας - για να το καταργήσετε εντελώς, πρέπει να απεγκαταστήσετε το πρόγραμμα (ή διαφορετικά να το διαγράψετε από τον σκληρό σας δίσκο).
Λογικό λογισμικό
Μπορεί να πάρει ένα δίκαιο κομμάτι της εμπειρίας (διαβάστε "δοκιμή και λάθος") για να γίνει έμπειρος στο να εντοπίσει τι είναι κακόβουλο λογισμικό και τι δεν είναι. Οι περισσότερες από τις καταχωρήσεις που παρουσιάζονται στο Autoruns είναι νόμιμα προγράμματα, ακόμα και αν τα ονόματά τους δεν είναι εξοικειωμένα με εσάς. Ακολουθούν μερικές συμβουλές που σας βοηθούν να διαφοροποιήσετε το κακόβουλο λογισμικό από το νόμιμο λογισμικό:
- Εάν μια καταχώρηση είναι ψηφιακά υπογεγραμμένη από έναν εκδότη λογισμικού (δηλ. Υπάρχει μια καταχώρηση στο Εκδότης στήλη) ή έχει "Περιγραφή", τότε υπάρχει μια καλή πιθανότητα ότι είναι νόμιμη
- Εάν αναγνωρίζετε το όνομα του λογισμικού, τότε είναι συνήθως εντάξει. Σημειώστε ότι κατά καιρούς το κακόβουλο λογισμικό θα "μιμηθεί" νόμιμο λογισμικό, αλλά υιοθετώντας ένα όνομα το ίδιο ή παρόμοιο με το λογισμικό που εξοικειώνεστε (π.χ. "AcrobatLauncher" ή "PhotoshopBrowser"). Επίσης, να γνωρίζετε ότι πολλά προγράμματα κακόβουλου λογισμικού υιοθετούν γενικά ή αβλαβή ονόματα, όπως "Diskfix" ή "SearchHelper" (και τα δύο αναφέρονται παρακάτω).
- Οι καταχωρίσεις κακόβουλου λογισμικού εμφανίζονται συνήθως στο Συνδεθείτε καρτέλα Autoruns (αλλά όχι πάντα!)
- Εάν ανοίξετε τον φάκελο που περιέχει το αρχείο EXE ή DLL (περισσότερες πληροφορίες παρακάτω), εξετάστε την ημερομηνία "τελευταία τροποποίησης", οι ημερομηνίες είναι συχνά από τις τελευταίες ημέρες (υποθέτοντας ότι η λοίμωξη σας είναι αρκετά πρόσφατη)
- Το κακόβουλο λογισμικό βρίσκεται συχνά στο φάκελο C: \ Windows ή στο φάκελο C: \ Windows \ System32
- Το κακόβουλο λογισμικό συχνά έχει μόνο ένα γενικό εικονίδιο (στα αριστερά του ονόματος της καταχώρησης)
Αν υπάρχει αμφιβολία, κάντε δεξί κλικ στην καταχώρηση και επιλέξτε Αναζήτηση σε απευθείας σύνδεση ...
Η παρακάτω λίστα εμφανίζει δύο ύποπτες αναζητήσεις: Diskfix και SearchHelper
Αυτές οι καταχωρήσεις, που επισημάνθηκαν παραπάνω, είναι αρκετά χαρακτηριστικές για λοιμώξεις από κακόβουλο λογισμικό:
- Δεν έχουν ούτε περιγραφές ούτε εκδότες
- Έχουν γενικά ονόματα
- Τα αρχεία βρίσκονται στο C: \ Windows \ System32
- Έχουν γενικά εικονίδια
- Τα ονόματα αρχείων είναι τυχαία συμβολοσειρά χαρακτήρων
- Αν κοιτάξετε στο φάκελο C: \ Windows \ System32 και εντοπίσετε τα αρχεία, θα δείτε ότι είναι μερικά από τα πιο πρόσφατα τροποποιημένα αρχεία του φακέλου (δείτε παρακάτω)
Κάνοντας διπλό κλικ στα στοιχεία, θα μεταβείτε στα αντίστοιχα κλειδιά μητρώου τους:
Αφαίρεση του κακόβουλου λογισμικού
Μόλις εντοπίσετε τις καταχωρίσεις που θεωρείτε ύποπτες, πρέπει τώρα να αποφασίσετε τι θέλετε να κάνετε μαζί τους. Οι επιλογές σας περιλαμβάνουν:
- Απενεργοποιήστε προσωρινά την καταχώριση του Autorun
- Διαγράψτε μόνιμα την καταχώρηση Autorun
- Εντοπίστε την τρέχουσα διαδικασία (χρησιμοποιώντας το Task Manager ή παρόμοιο) και τερματίζοντας την
- Διαγράψτε το αρχείο EXE ή DLL από το δίσκο σας (ή τουλάχιστον μετακινήστε το σε ένα φάκελο όπου δεν θα ξεκινήσει αυτόματα)
ή όλα τα παραπάνω, ανάλογα με το πόσο βέβαιοι είστε ότι το πρόγραμμα είναι malware.
Για να δείτε εάν οι αλλαγές σας πέτυχαν, θα χρειαστεί να επανεκκινήσετε το μηχάνημά σας και να ελέγξετε κάποια ή όλα τα παρακάτω:
- Autoruns - για να δείτε αν η καταχώρηση έχει επιστραφεί
- Διαχείριση εργασιών (ή παρόμοια) - για να δείτε αν το πρόγραμμα ξεκίνησε ξανά μετά την επανεκκίνηση
- Ελέγξτε τη συμπεριφορά που σας οδήγησε να πιστεύετε ότι ο υπολογιστής σας ήταν μολυσμένος στην πρώτη θέση. Εάν δεν συμβαίνει πλέον, οι πιθανότητες είναι ότι ο υπολογιστής σας είναι πλέον καθαρός
συμπέρασμα
Αυτή η λύση δεν απευθύνεται σε όλους και πιθανότατα απευθύνεται σε προηγμένους χρήστες. Συνήθως χρησιμοποιώντας μια εφαρμογή Antivirus ποιότητας κάνει το τέχνασμα, αλλά αν όχι το Autoruns είναι ένα πολύτιμο εργαλείο στο κιτ Anti-Malware.
Λάβετε υπόψη ότι κάποιο κακόβουλο λογισμικό είναι πιο δύσκολο να καταργηθεί από άλλους. Μερικές φορές χρειάζεστε αρκετές επαναλήψεις των παραπάνω βημάτων, με κάθε επανάληψη που απαιτεί να εξετάσετε προσεκτικότερα κάθε είσοδο του Autorun. Μερικές φορές τη στιγμή που καταργείτε την καταχώρηση Autorun, το κακόβουλο πρόγραμμα που εκτελείται αντικαθιστά την καταχώρηση. Όταν συμβαίνει αυτό, πρέπει να γίνουμε πιο επιθετικοί στη δολοφονία μας για το κακόβουλο λογισμικό, συμπεριλαμβανομένων τερματισμού προγραμμάτων (ακόμη και νόμιμων προγραμμάτων όπως το Explorer.exe) που έχουν προσβληθεί από κακόβουλα αρχεία DLL.
Σύντομα θα δημοσιεύσουμε ένα άρθρο σχετικά με τον τρόπο εντοπισμού, εντοπισμού και τερματισμού διαδικασιών που αντιπροσωπεύουν νόμιμα προγράμματα αλλά εκτελούν μολυσμένα DLL, προκειμένου αυτά τα DLL να διαγραφούν από το σύστημα.
Κατεβάστε το Autoruns από το SysInternals