Hjemmeside » hvordan » Brug Autoruns til manuelt at rense en inficeret pc

    Brug Autoruns til manuelt at rense en inficeret pc

    Der er mange anti-malware programmer derude, der vil rense dit system af nasties, men hvad sker der, hvis du ikke kan bruge et sådant program? Autoruns, fra SysInternals (nylig erhvervet af Microsoft), er uundværlig, når man fjerner malware manuelt.

    Der er nogle få grunde til, at du måske skal fjerne vira og spyware manuelt:

    • Måske kan du ikke overholde at køre ressourcehungende og invasive anti-malware-programmer på din pc
    • Du skal muligvis rense din mors computer (eller en anden, der ikke forstår, at et stort blinkende tegn på et websted, der siger "Din computer er inficeret med en virus - klik HER for at fjerne den" er ikke en besked, der nødvendigvis kan være betroet)
    • Malware er så aggressiv, at den modstår alle forsøg på automatisk at fjerne det, eller vil ikke engang give dig mulighed for at installere anti-malware software
    • En del af din geek credo er overbevisningen om, at anti-spyware værktøjer er til wimps

    Autoruns er en uvurderlig tilføjelse til enhver nektes software værktøjssæt. Det giver dig mulighed for at spore og styre alle programmer (og programkomponenter), der starter automatisk med Windows (eller med Internet Explorer). Næsten alle malware er designet til at starte automatisk, så der er en meget stor chance for, at den kan registreres og fjernes ved hjælp af Autoruns.

    Vi har dækket, hvordan du bruger Autoruns i en tidligere artikel, som du bør læse, hvis du først skal gøre dig bekendt med programmet.

    Autoruns er et selvstændigt værktøj, der ikke skal installeres på din computer. Det kan simpelthen downloades, unzipped og køre (link nedenfor). Denne mærke er ideel til at tilføre til din bærbare værktøjssamling på dit flashdrev.

    Når du starter Autoruns for første gang på en computer, bliver du præsenteret med licensaftalen:

    Efter at have accepteret vilkårene, åbnes vinduet Hovedautoruns, som viser dig den komplette liste over al software, der kører, når computeren starter, når du logger ind, eller når du åbner Internet Explorer:

    For midlertidigt at deaktivere et program fra lanceringen skal du fjerne markeringen i feltet ved siden af ​​det. Bemærk: Dette gør ikke Afslut programmet, hvis det kører på det tidspunkt - det forhindrer kun, at det starter Næste tid. For permanent at forhindre et program i at starte, skal du slette posten helt (brug Slet nøgle eller højreklik og vælg Slet fra kontekstmenuen)). Bemærk: Dette gør ikke fjern programmet fra din computer - for at fjerne det helt skal du afinstallere programmet (eller på anden måde slette det fra din harddisk).

    Mistænkelig software

    Det kan tage en rimelig oplevelse (læs "forsøg og fejl") for at blive dygtig til at identificere, hvad der er malware og hvad der ikke er. De fleste af de indlæg, der præsenteres i Autoruns, er legitime programmer, selvom deres navne ikke er kendt for dig. Her er nogle tips til at hjælpe dig med at differentiere malware fra den legitime software:

    • Hvis en post er digitalt underskrevet af en softwareudgiver (dvs. der er en post i Forlægger kolonne) eller har en "beskrivelse", så er der en god chance for at det er legitimt
    • Hvis du genkender softwarens navn, så er det normalt okay. Bemærk, at malware fra tid til anden vil "efterligne" legitim software, men ved at vedtage et navn, der er identisk med eller ligner software, du er bekendt med (for eksempel "AcrobatLauncher" eller "PhotoshopBrowser"). Vær også opmærksom på, at mange malwareprogrammer anvender generiske eller uskyldige navne, f.eks. "Diskfix" eller "SearchHelper" (begge nævnt nedenfor).
    • Malware-indgange vises normalt på Log på Fanen Autoruns (men ikke altid!)
    • Hvis du åbner den mappe, der indeholder EXE- eller DLL-filen (mere nedenfor), undersøge den "sidst ændrede" dato, datoerne er ofte fra de sidste dage (forudsat at din infektion er ret nyligt)
    • Malware er ofte placeret i mappen C: \ Windows eller C: \ Windows \ System32
    • Malware har ofte kun et generisk ikon (til venstre for navnet på posten)

    Hvis du er i tvivl, højreklik på posten og vælg Søg online ...

    Nedenstående liste viser to mistænkelige udgivelser: Diskfix og SearchHelper

    Disse poster, der fremhæves ovenfor, er ret typiske for malware infektioner:

    • De har hverken beskrivelser eller udgivere
    • De har generiske navne
    • Filerne er placeret i C: \ Windows \ System32
    • De har generiske ikoner
    • Filnavnet er tilfældige strenge af tegn
    • Hvis du ser i mappen C: \ Windows \ System32 og finder filerne, vil du se, at de er nogle af de senest ændrede filer i mappen (se nedenfor)

    Dobbeltklik på emnerne fører dig til deres tilsvarende registernøgler:

    Fjernelse af malware

    Når du har identificeret de poster, du mener at være mistænkelige, skal du nu bestemme, hvad du vil gøre med dem. Dine valg omfatter:

    • Deaktiver midlertidigt Autorun-indgangen
    • Slet Autorun-posten permanent
    • Find løbeprocessen (ved hjælp af Task Manager eller lignende) og afslutte den
    • Slet EXE- eller DLL-filen fra din disk (eller i det mindste flytte den til en mappe, hvor den ikke automatisk startes)

    eller alt det ovenstående, afhængigt af hvor sikkert du er, at programmet er malware.

    For at se, om dine ændringer lykkedes, skal du genstarte din maskine og kontrollere nogen af ​​eller alle følgende:

    • Autoruns - for at se om posten er returneret
    • Task Manager (eller lignende) - for at se om programmet blev startet igen efter genstart
    • Kontroller den adfærd, der førte dig til at tro, at din pc blev inficeret i første omgang. Hvis det ikke længere sker, er chancerne for, at din pc nu er ren

    Konklusion

    Denne løsning er ikke for alle og er højst sandsynligt rettet mod avancerede brugere. Normalt ved at bruge et kvalitets Antivirusprogram gør tricket, men hvis ikke Autoruns er et værdifuldt værktøj i dit Anti-Malware kit.

    Husk på, at nogle malware er sværere at fjerne end andre. Nogle gange har du brug for flere gentagelser af trinene ovenfor, med hver iteration, der kræver, at du ser mere omhyggeligt på hver Autorun-post. Nogle gange er det øjeblikkeligt, at du fjerner Autorun-posten, den malware, der kører, erstatter posten. Når dette sker, skal vi blive mere aggressive i vores mord på malware, herunder afslutning af programmer (endda legitime programmer som Explorer.exe), der er inficeret med malware DLL'er.

    Kort tid vil vi udgive en artikel om, hvordan du identificerer, lokaliserer og afslutter processer, der repræsenterer legitime programmer, men kører inficerede DLL'er, for at disse DLL'er kan slettes fra systemet.

    Download Autoruns fra SysInternals