20Aug
Siellä on monia haittaohjelmien torjuntaohjelmia, jotka puhdistavat nasties-järjestelmän, mutta mitä tapahtuu, jos et pysty käyttämään tällaista ohjelmaa? Autoruns, SysInternalsista( hiljattain Microsoftin hankkimana) on välttämätöntä, kun haittaohjelmat poistetaan manuaalisesti.
Muutamia syitä, miksi sinun on ehkä poistettava virukset ja vakoiluohjelmat manuaalisesti:
- Ehkä et voi noudattaa resurssi-nälkäisiä ja invasiivisia haittaohjelmien ohjelmia tietokoneessa
- Sinun on ehkä puhdistettava äitisi tietokone( tai joku muujoka ei ymmärrä, että suuri vilkkuva merkki verkkosivustolla, joka sanoo: "Tietokoneesi on tartunnan saanut virus, napsauta TÄSTÄ poistaaksesi sen" ei ole viesti, jota voidaan välttämättä luottaa.
- Haittaohjelmat ovat niin aggressiivisia, että ne kestävät kaikkiyrittää poistaa sen automaattisesti tai ei edes anna sinun asentaa haittaohjelmien torjuntaohjelmisto
- Osa geek-uskotteesi on uskomus, että anti-spyware-apuohjelmat ovat haavoittuville
Autoruns on korvaamaton lisä geekin ohjelmistotyökaluille. Sen avulla voit seurata ja hallita kaikkia Windowsin( tai Internet Explorerin) automaattisesti käynnistyviä ohjelmia( ja ohjelmakomponentteja).Lähes kaikki haittaohjelma on suunniteltu käynnistymään automaattisesti, joten on olemassa erittäin vahva mahdollisuus, että se voidaan tunnistaa ja poistaa Autoruns-ohjelmalla.
Olemme tutustuneet autorunsin käyttämiseen aikaisemmassa artikkelissa, jonka pitäisi lukea, jos haluat ensin tutustua ohjelmaan.
Autoruns on itsenäinen apuohjelma, jota ei tarvitse asentaa tietokoneellesi. Se voidaan yksinkertaisesti ladata, purkaa ja suorittaa( alla oleva linkki).Tämä tekee siitä ihanteellisen lisäyksen kannettavaan apuvälineesi kokoelmaan flash-asemalla.
Kun käynnistät Autoruns-ohjelman ensimmäistä kertaa tietokoneessa, sinulla on käyttöoikeussopimus:
Kun olet hyväksynyt ehdot, avautuu Autoruns-ikkuna, joka näyttää täydellisen luettelon kaikista ohjelmista, jotka käynnistyvät tietokoneen käynnistyessä,kun kirjaudut sisään tai avaat Internet Explorerin:
Jos haluat väliaikaisesti estää ohjelman käynnistämisestä, poista valinta sen merkinnän vierestä.Huomaa: Tämä ei lopettaa ohjelmaa, jos se on käynnissä tuolloin - se vain estää sen aloittamasta : n seuraavan -ajan. Voit estää ohjelman käynnistämisen pysyvästi poistamalla merkinnän kokonaan( käytä Delete -näppäintä tai napsauta hiiren kakkospainiketta ja valitse Poista kontekstivalikosta)).Huomaa: ei poista ohjelmaa tietokoneeltasi - poistaa sen kokonaan, jos haluat poistaa ohjelman( tai muutoin poistaa kiintolevyltäsi).
Epäilyttävät ohjelmistot
Se voi olla melko vähän kokemusta( lue "kokeilu ja virhe"), jotta se voi tunnistaa mitä haittaohjelma ja mikä ei ole. Useimmat Autoruns-ohjelmassa esitetyt merkinnät ovat laillisia ohjelmia, vaikka heidän nimensä eivät tunne sinua. Seuraavassa on muutamia vinkkejä, joiden avulla voit erotella haittaohjelmat laillisesta ohjelmistosta:
- Jos merkintä on digitaalisesti allekirjoitettu ohjelmistokustantajalta( ts. Publisher -sarakkeessa on merkintä) tai siinä on "Kuvaus", niin on olemassa hyvät mahdollisuudetettä se on oikeutettu
- Jos tunnistat ohjelmiston nimen, niin se yleensä on kunnossa. Huomaa, että joskus haittaohjelma "laulaa" laillisen ohjelmiston, mutta hyväksyy samanlaisen tai samanlaisen nimen, joka tunnetaan( esim. "AcrobatLauncher" tai "PhotoshopBrowser").Huomaa myös, että monet haittaohjelmat hyväksyvät yleisiä tai harmittomia nimiä, kuten "Diskfix" tai "SearchHelper"( molemmat mainitaan alla).
- Haittaohjelmien merkinnät näkyvät yleensä Autoruns Logon -välilehdessä( mutta ei aina!)
- Jos avaat kansion, joka sisältää EXE- tai DLL-tiedoston( lisätietoja tästä alla), tutki viimeisin muutettu päivämäärä,päivämäärät ovat usein muutamia viime päiviä( olettaen, että infektio on melko uusi)
- Haittaohjelmat sijaitsevat usein C: \ Windows-kansiossa tai C: \ Windows \ System32 -kansiossa
- Haittaohjelmalla on usein yleinen kuvake( vasemmallemerkinnän nimi)
Jos olet epävarma, napsauta merkintää hiiren kakkospainikkeella ja valitse Search Online. ..
Alla olevassa luettelossa on kaksi epäilyttävää hakua: Diskfix ja SearchHelper
Nämä edellä mainitut merkinnät ovat melko tyypillisiä haittaohjelmien infektioille:
- Heillä ei ole kuvauksia eikä julkaisijoita
- Heillä on yleisiä nimiä
- Tiedostot sijaitsevat C: \ Windows \ System32
- : ssä Heillä on yleiset kuvakkeet
- Tiedostonimet ovat satunnaisia merkkijonojamerkkejä
- Jos tarkastelet C: \ Windows \ System32 -kansiota ja etsi tiedostot, näet, että ne ovat joitain kansion uusimpia tiedostoja( katso alla)
Kaksoisnapsauttamalla kohteita vie sinutvastaavia rekisteriavaimia:
Haittaohjelmien poistaminen
Kun olet tunnistanut epäilyttävät merkinnät, sinun on päätettävä, mitä haluat tehdä heidän kanssaan. Valintasi ovat:
- Poista automaattinen autorun-merkintä
- Pysäytä automaattinen autorun-merkintä
- Etsi käynnissä oleva prosessi( käyttämällä Task Manager tai vastaavaa) ja lopeta se
- Poista EXE- tai DLL-tiedosto levyltä( tai siirrä se ainakin kansioonjossa se ei käynnisty automaattisesti)
tai kaikki edellä mainitut, riippuen siitä, kuinka tiettyjä olet, että ohjelma on haittaohjelma.
Jos haluat nähdä, ovatko muutokset onnistuneet, sinun on käynnistettävä kone uudelleen ja tarkistettava kaikki tai kaikki seuraavista:
- Autoruns - onko merkintä palautunut
- Task Manager( tai vastaava) - onko ohjelma käynnistynytjälleen uudelleenkäynnistyksen jälkeen
- Tarkista käyttäytyminen, joka sai sinut uskomaan, että tietokoneesi on saanut tartunnan ensiksi. Jos sitä ei enää tapahdu, mahdollisuudet ovat, että tietokoneesi on nyt puhdas
Johtopäätös
Tämä ratkaisu ei ole kaikille ja on todennäköisesti suunnattu kehittyneille käyttäjille. Normaalisti virustentorjuntaohjelmalla käytetään temppua, mutta jos ei, Autoruns on arvokas työkalu Anti-Malware-pakistustasi.
Muista, että jotkin haittaohjelmat on vaikeampi poistaa kuin toiset. Joskus tarvitset useita toistoja yllä olevista vaiheista, ja jokainen iterointi vaatii sinua tarkastelemaan tarkemmin jokaista Autorun-merkintää.Joskus, kun poistat Autorun-merkinnän, käynnissä oleva haittaohjelma korvaa merkinnän. Kun näin tapahtuu, meidän on tehtävä aggressiivisempaa haittaohjelmien murhasta, mukaan lukien ohjelmien lopettaminen( jopa lailliset ohjelmat, kuten Explorer.exe), jotka ovat saaneet haittaohjelmien DLL-tiedostoja.
Pian julkaisemme artikkelin siitä, kuinka tunnistaa, paikantaa ja lopettaa prosessit, jotka edustavat oikeita ohjelmia mutta jotka käyttävät tartunnan saaneita DLL-tiedostoja, jotta nämä DLL-tietueet voidaan poistaa järjestelmästä.
Lataa Autoruns from SysInternals