Izmantojiet Autoruns, lai manuāli notīrītu inficēto datoru

Tur ir daudz anti-ļaundabīgo programmu, kas tīra jūsu nasties sistēmu, bet kas notiek, ja jūs nevarat izmantot šādu programmu? Autoruns, no SysInternals (nesen iegādājies Microsoft), ir nepieciešams, novēršot ļaunprātīgu programmatūru manuāli.

Ir daži iemesli, kāpēc jums var būt nepieciešams manuāli noņemt vīrusus un spiegprogrammatūru:

• Varbūt jūs nevarat ievērot darbā ar resursiem izsalkušas un invazīvas anti-ļaundabīgo programmu datorā
• Iespējams, jums būs jātestē mātes dators (vai kāds cits, kurš nesaprot, ka liela mirgojoša zīme vietnē, kurā teikts: "Jūsu dators ir inficēts ar vīrusu, noklikšķiniet šeit, lai to noņemtu," nav ziņa, kas var būt obligāti uzticams)
• Ļaunprātīgā programmatūra ir tik agresīva, ka tā pretojas visiem mēģinājumiem to automātiski noņemt vai pat neļaus instalēt pretvīrusu programmatūru
• Daļa no jūsu geek kredo ir pārliecība, ka anti-spyware komunālie ir par wimps

Autoruns ir nenovērtējams papildinājums jebkuram geek programmatūras rīkkopa. Tas ļauj izsekot un kontrolēt visas programmas (un programmu sastāvdaļas), kas automātiski tiek palaista sistēmā Windows (vai pārlūkprogrammā Internet Explorer). Gandrīz visas ļaundabīgās programmas ir paredzētas automātiskai iedarbināšanai, tāpēc ir ļoti liela iespēja, ka ar Autoruns palīdzību to var atklāt un noņemt.

Mēs esam apsprieduši, kā izmantot autoruns kādā agrākā rakstā, kuru jums vajadzētu izlasīt, ja jums vispirms ir jāiepazīstas ar programmu.

Autoruns ir savrupa lietderība, kas datorā nav jāinstalē. To var vienkārši lejupielādēt, unzipped un palaist (saite zemāk). Tas padara to ideāli piemērotu, lai papildinātu savu portatīvo lietojumprogrammu kolekciju savā zibatmiņā.

Pirmoreiz startējot Autoruns datorā, jums tiek piedāvāta licences līgums:

Pēc tam, kad esat piekritis šiem noteikumiem, tiek atvērts galvenais logs Autoruns, parādot pilnu programmatūras sarakstu, kas darbosies datora startēšanas laikā, kad jūs piesakāties vai atverat programmu Internet Explorer:

Lai īslaicīgi atspējotu programmas palaišanu, noņemiet atzīmi no izvēles rūtiņas blakus tā ierakstam. Piezīme. Tas notiek nē pārtrauciet programmu, ja tā darbojas tajā laikā - tas tikai neļauj to sākt Nākamais laiks. Lai pastāvīgi novērstu programmas palaišanu, dzēst ierakstu pilnībā (izmantojiet Dzēst taustiņu vai ar peles labo pogu noklikšķiniet un izvēlieties Dzēst no konteksta izvēlnes)). Piezīme. Tas notiek nē noņemiet programmu no sava datora - lai to pilnīgi noņemtu, jums ir nepieciešams atinstalēt programmu (vai arī citādi izdzēst to no cietā diska).

Aizdomīgie programmatūra

Tas var radīt nedaudz pieredzes (lasīt "izmēģinājums un kļūda"), lai kļūtu prasmīgs, nosakot, kas ir ļaundabīga programmatūra un kas nav. Lielākā daļa no autoruns iesniegtajiem ierakstiem ir likumīgas programmas, pat ja viņu vārdi jums nav pazīstami. Tālāk ir sniegti daži padomi, kas palīdz atšķirt ļaunprātīgo programmatūru no likumīgās programmatūras.

• Ja ierakstu digitāli paraksta programmatūras izdevēja (t.i., tajā ir ieraksts Izdevējs kolonna) vai arī ir "Apraksts", tad ir lielas izredzes, ka tā ir likumīga
• Ja jūs atpazīstat programmatūras nosaukumu, tad parasti tas ir labi. Ņemiet vērā, ka dažreiz ļaunprātīga programmatūra "izlikties" par likumīgu programmatūru, taču pieņem tādu nosaukumu, kas ir identisks vai līdzīgs programmatūrai, ar kuru esat pazīstams (piemēram, "AcrobatLauncher" vai "PhotoshopBrowser"). Tāpat ņemiet vērā, ka daudzas ļaundabīgo programmu programmas pieņem vispārīgus vai nekaitīgus vārdus, piemēram, "Diskfix" vai "SearchHelper" (abi minēti turpmāk).
• Ļaunprātīgas programmatūras ieraksti parasti parādās mapē Ielogoties autoruns (bet ne vienmēr!) cilne
• Ja atverat mapi, kurā ir EXE vai DLL fails (vairāk par to zemāk), pārbaudiet pēdējo modificēto datumu, bieži datumi ir pēdējo dienu laikā (pieņemot, ka infekcija ir diezgan nesen)
• Ļaunprātīga programmatūra bieži atrodas mapē C: \ Windows vai mapē C: \ Windows \ System32
• Ļaunprātīgajai programmatūrai bieži ir tikai vispārīga ikona (pa kreisi no ieraksta nosaukuma)

Ja rodas šaubas, ar peles labo pogu noklikšķiniet uz ieraksta un atlasiet Meklēt tiešsaistē ...

Zemāk redzamais saraksts parāda divus aizdomīgus meklējamus ierakstus: Disfikss un SearchHelper

Šie ieraksti, kas uzsvērti iepriekš, ir diezgan tipiski ļaundabīgo programmu infekcijām:

• Viņiem nav ne aprakstu, ne izdevēju
• Viņiem ir vispārīgi nosaukumi
• Faili atrodas C: \ Windows \ System32
• Viņiem ir vispārīgas ikonas
• Failu nosaukumi ir nejauši rakstzīmju virknes
• Ja skatāties mapē C: \ Windows \ System32 un atrodiet failus, jūs redzēsiet, ka tie ir daži no mapē jaunākajiem modificētajiem failiem (skatiet tālāk).

Veicot dubultklikšķi uz vienumiem, jūs aizvedīsit uz attiecīgajiem reģistra taustiņiem:

Ļaunprātīgās programmatūras noņemšana

Kad esat identificējis ierakstus, kurus uzskatāt par aizdomīgiem, jums tagad ir jāizlemj, ar ko viņi vēlas. Jūsu izvēle ietver:

• Uz laiku atspējojiet autorun ierakstu
• Neatgriezeniski izdzēsiet autorun ierakstu
• Atrodiet darba procesu (izmantojot uzdevumu pārvaldnieku vai līdzīgu) un pārtraucot to
• Izdzēsiet EXE vai DLL failu no sava diska (vai vismaz pārvietojiet to uz mapi, kur tā netiks automātiski palaista).

vai visu iepriekš minēto, atkarībā no tā, cik noteikti jūs esat, ka programma ir ļaunprogramma.

Lai noskaidrotu, vai jūsu izmaiņas ir sekmīgas, jums būs jāpārstartē mašīna un jāpārbauda visi vai visi no šiem elementiem:

• Autoruns - lai redzētu, vai ieraksts ir atgriezies
• Uzdevumu pārvaldnieks (vai līdzīgs) - lai redzētu, vai programma pēc atkārtotas palaišanas ir atkal sākta
• Pārbaudiet uzvedību, kas lika domāt, ka vispirms ir inficēts jūsu dators. Ja tas vairs nenotiek, iespējams, ka jūsu dators ir tīrs

Secinājums

Šis risinājums nav paredzēts visiem, un tas visticamāk ir vērsts uz pieredzējušiem lietotājiem. Parasti, izmantojot kvalitatīvu Antivīrusu lietojumprogrammu, tas ir triks, bet, ja ne Autoruns, tas ir vērtīgs jūsu Anti-Malware komplekta rīks.

Paturiet prātā, ka dažas ļaunprātīgās programmatūras ir grūtāk noņemt nekā citas. Dažreiz jums ir nepieciešamas vairākas iepriekš minēto soļu atkārtojumi, un katra iterācija prasa rūpīgāk aplūkot katru autorun ierakstu. Dažreiz brīdis, kad noņemat autorizācijas ierakstu, darbībā esošā ļaunprogramma aizstāj ierakstu. Ja tas notiks, mums jācenšas agresīvāk izmantot ļaunprātīgās programmatūras slepkavošanu, tostarp pārtraukt programmas (pat likumīgas programmas, piemēram, Explorer.exe), kas ir inficētas ar ļaunprātīgas programmatūras DLL.

Drīzumā mēs publicēsim rakstu par to, kā identificēt, atrast un pārtraukt procesus, kas pārstāv likumīgās programmas, bet kurās darbojas inficētie DLL, lai šos DLL varētu tikt dzēsti no sistēmas.

Lejupielādēt Autoruns no SysInternals