Existuje mnoho programů proti malwaru, které vyčistí váš systém od nepříjemností, ale co se stane, když takový program nemůžete použít? Autoruns, od SysInternals (nedávno získaný společností Microsoft), je nepostradatelný při ručním odstranění malwaru.
Existuje několik důvodů, proč možná budete muset odstranit viry a spyware ručně:
- Možná nemůžete dodržovat spouštění invazivních programů proti malwaru v počítači, které jsou náročné na zdroje
- Možná budete muset vyčistit počítač své matky (nebo někoho jiného, kdo nechápe, že velký blikající znak na webu, který říká „Váš počítač je napaden virem - kliknutím ZDE jej odeberete“, nemusí být nutně zpráva důvěryhodný)
- Malware je tak agresivní, že odolává všem pokusům o jeho automatické odstranění, nebo vám dokonce neumožňuje instalovat software proti malwaru
- Součástí vašeho geek kréda je víra, že anti-spywarové nástroje jsou pro wimpy
Autoruns je neocenitelným doplňkem jakékoli softwarové sady geeků. Umožňuje vám sledovat a ovládat všechny programy (a jejich součásti), které se automaticky spouštějí v systému Windows (nebo v aplikaci Internet Explorer). Prakticky veškerý malware je navržen tak, aby se spouštěl automaticky, takže existuje velká šance, že jej bude možné detekovat a odstranit pomocí automatického spuštění.
O tom, jak používat Autoruns, jsme se zmínili dříve článek , které byste si měli přečíst, pokud se potřebujete nejprve seznámit s programem.
Autoruns je samostatný nástroj, který není nutné do počítače instalovat. Lze jej jednoduše stáhnout, rozbalit a spustit (odkaz níže). Díky tomu je ideální pro přidání do vaší sbírky přenosných nástrojů na vaší jednotce flash.
Když spustíte Autoruns poprvé v počítači, zobrazí se vám licenční smlouva:
Po odsouhlasení podmínek se otevře hlavní okno Autoruns, které vám zobrazí kompletní seznam veškerého softwaru, který se spustí při spuštění počítače, při přihlášení nebo při spuštění aplikace Internet Explorer:
Chcete-li dočasně zakázat spuštění programu, zrušte zaškrtnutí políčka vedle jeho vstupu. Poznámka: To ano ne ukončit program, pokud právě běží - pouze mu brání ve spuštění další čas. Chcete-li trvale zabránit spuštění programu, smažte položku úplně (použijte Vymazat nebo klikněte pravým tlačítkem a vyberte Vymazat z kontextového menu)). Poznámka: To ano ne odebrat program z počítače - k úplnému odebrání je nutné program odinstalovat (nebo jinak odstranit z pevného disku).
Podezřelý software
Může trvat docela dost zkušeností (číst „pokus a omyl“), než se stanete adeptem na identifikaci toho, co je malware a co ne. Většina položek prezentovaných v Autoruns jsou legitimní programy, i když jsou jejich jména neznámá. Zde je několik tipů, které vám pomohou odlišit malware od legitimního softwaru:
- Pokud je položka digitálně podepsána vydavatelem softwaru (tj. Je v ní položka Vydavatel sloupec) nebo má „Popis“, je tedy velká šance, že je legitimní
- Pokud znáte název softwaru, je to obvykle v pořádku. Všimněte si, že malware bude „vydávat“ legitimní software, ale bude mít stejný nebo podobný název jako software, který znáte (např. „AcrobatLauncher“ nebo „PhotoshopBrowser“). Uvědomte si také, že mnoho malwarových programů přijímá obecné nebo neškodně znějící názvy, například „Diskfix“ nebo „SearchHelper“ (oba jsou uvedeny níže).
- Položky malwaru se obvykle objevují na webu Přihlásit se záložka Autoruns (ale ne vždy!)
- Pokud otevřete složku, která obsahuje soubor EXE nebo DLL (více o tom níže), zkontrolujte datum „poslední úpravy“, data jsou často z posledních několika dní (za předpokladu, že vaše infekce je poměrně nedávná)
- Malware se často nachází ve složce C: \ Windows nebo C: \ Windows \ System32
- Malware má často pouze obecnou ikonu (nalevo od názvu položky)
Máte-li pochybnosti, klepněte pravým tlačítkem myši na položku a vyberte Hledat online…
Níže uvedený seznam zobrazuje dvě podezřele vypadající položky: Diskfix a SearchHelper
Tyto položky, zvýrazněné výše, jsou poměrně typické pro malware infekce:
- Nemají ani popisy, ani vydavatele
- Mají obecná jména
- Soubory jsou umístěny v C: \ Windows \ System32
- Mají obecné ikony
- Názvy souborů jsou náhodné řetězce znaků
- Pokud se podíváte do složky C: \ Windows \ System32 a vyhledáte soubory, uvidíte, že jsou to některé z naposledy upravených souborů ve složce (viz níže).
Poklepáním na položky přejdete na odpovídající klíče registru:
Odebrání malwaru
Jakmile identifikujete položky, které považujete za podezřelé, musíte se nyní rozhodnout, co s nimi chcete udělat. Mezi vaše volby patří:
- Dočasně deaktivujte položku Autorun
- Trvale odstraňte položku Autorun
- Vyhledejte spuštěný proces (pomocí Správce úloh apod.) A ukončete jej
- Odstraňte soubor EXE nebo DLL z disku (nebo alespoň přesuňte do složky, kde se automaticky nespustí)
nebo všechny výše uvedené, v závislosti na tom, jak jste si jisti, že program je malware.
Chcete-li zjistit, zda byly změny úspěšné, budete muset restartovat počítač a zkontrolovat některou z následujících možností:
- Autoruns - zjistit, zda se položka vrátila
- Správce úloh (nebo podobný) - chcete-li zjistit, zda byl program po restartu spuštěn znovu
- Nejprve zkontrolujte chování, které vás vedlo k domněnce, že váš počítač byl infikován. Pokud se to již neděje, je pravděpodobné, že váš počítač je nyní čistý
Závěr
Toto řešení není pro každého a je pravděpodobně zaměřeno na pokročilé uživatele. Obvykle trik funguje pomocí kvalitní antivirové aplikace, ale pokud ne, je autoruns cenným nástrojem v soupravě Anti-Malware.
Pamatujte, že některé malware je těžší odstranit než jiné. Někdy potřebujete několik iterací výše uvedených kroků, přičemž každá iterace vyžaduje, abyste se pečlivě podívali na každou položku automatického spuštění. Někdy v okamžiku, kdy odstraníte položku automatického spuštění, ji nahradí spuštěný malware. Když k tomu dojde, musíme být při atentátu na malware agresivnější, včetně ukončení programů (dokonce i legitimních programů, jako je Explorer.exe), které jsou infikovány malwarovými knihovnami DLL.
Krátce budeme publikovat článek o tom, jak identifikovat, lokalizovat a ukončit procesy, které představují legitimní programy, ale běží infikované DLL, aby bylo možné tyto DLL odstranit ze systému.
