Υπάρχουν πολλά προγράμματα προστασίας από κακόβουλο λογισμικό εκεί έξω που θα καθαρίσουν το σύστημά σας, αλλά τι θα συμβεί εάν δεν μπορείτε να χρησιμοποιήσετε ένα τέτοιο πρόγραμμα; Το Autoruns, από το SysInternals (που αποκτήθηκε πρόσφατα από τη Microsoft), είναι απαραίτητο κατά την μη αυτόματη κατάργηση κακόβουλου λογισμικού.
Υπάρχουν μερικοί λόγοι για τους οποίους μπορεί να χρειαστεί να καταργήσετε τους ιούς και το λογισμικό υποκλοπής spyware με μη αυτόματο τρόπο:
- Ίσως δεν μπορείτε να ακολουθήσετε την εκτέλεση προγραμμάτων που διψούν σε πόρους και επεμβατικά προγράμματα κακόβουλου λογισμικού στον υπολογιστή σας
- Ίσως χρειαστεί να καθαρίσετε τον υπολογιστή της μητέρας σας (ή κάποιον άλλο που δεν καταλαβαίνει ότι ένα μεγάλο σημάδι που αναβοσβήνει σε έναν ιστότοπο που λέει "Ο υπολογιστής σας έχει μολυνθεί από ιό - κάντε κλικ ΕΔΩ για να τον αφαιρέσετε" δεν είναι ένα μήνυμα που μπορεί απαραίτητα να είναι έμπιστος)
- Το κακόβουλο λογισμικό είναι τόσο επιθετικό που αντιστέκεται σε όλες τις προσπάθειες αυτόματης κατάργησής του ή δεν θα σας επιτρέψει καν να εγκαταστήσετε λογισμικό προστασίας από κακόβουλο λογισμικό
- Μέρος του geek credo σας είναι η πεποίθηση ότι τα βοηθητικά προγράμματα anti-spyware είναι για τους wimps
Το Autoruns είναι μια ανεκτίμητη προσθήκη στην εργαλειοθήκη λογισμικού οποιουδήποτε geek. Σας επιτρέπει να παρακολουθείτε και να ελέγχετε όλα τα προγράμματα (και τα στοιχεία του προγράμματος) που ξεκινούν αυτόματα με τα Windows (ή με τον Internet Explorer). Σχεδόν όλα τα κακόβουλα προγράμματα έχουν σχεδιαστεί για να ξεκινούν αυτόματα, οπότε υπάρχει πολύ μεγάλη πιθανότητα να εντοπιστεί και να αφαιρεθεί με τη βοήθεια του Autoruns.
Έχουμε καλύψει τον τρόπο χρήσης του Autoruns νωρίτερα άρθρο , το οποίο πρέπει να διαβάσετε εάν πρέπει πρώτα να εξοικειωθείτε με το πρόγραμμα.
Το Autoruns είναι ένα αυτόνομο βοηθητικό πρόγραμμα που δεν χρειάζεται να εγκατασταθεί στον υπολογιστή σας. Μπορεί να μεταφορτωθεί, να αποσυμπιεστεί και να εκτελεστεί (σύνδεσμος παρακάτω). Αυτό είναι ιδανικό για προσθήκη στη φορητή συλλογή βοηθητικών προγραμμάτων στη μονάδα flash.
Όταν ξεκινάτε το Autoruns για πρώτη φορά σε υπολογιστή, σας παρουσιάζεται η άδεια χρήσης:
Αφού αποδεχτείτε τους όρους, ανοίγει το κύριο παράθυρο Autoruns, εμφανίζοντας την πλήρη λίστα όλων των λογισμικών που θα εκτελούνται κατά την εκκίνηση του υπολογιστή σας, κατά τη σύνδεσή σας ή όταν ανοίγετε τον Internet Explorer:
Για προσωρινή απενεργοποίηση της εκκίνησης ενός προγράμματος, αποεπιλέξτε το πλαίσιο δίπλα στην καταχώρισή του. Σημείωση: Αυτό ισχύει δεν τερματίστε το πρόγραμμα εάν εκτελείται εκείνη τη στιγμή - απλώς το εμποδίζει να ξεκινήσει Επόμενο χρόνος. Για να αποτρέψετε οριστικά την εκκίνηση ενός προγράμματος, διαγράψτε εντελώς την καταχώριση (χρησιμοποιήστε το Διαγράφω πλήκτρο ή κάντε δεξί κλικ και επιλέξτε Διαγράφω από το μενού περιβάλλοντος)). Σημείωση: Αυτό ισχύει δεν αφαιρέστε το πρόγραμμα από τον υπολογιστή σας - για να το αφαιρέσετε εντελώς πρέπει να απεγκαταστήσετε το πρόγραμμα (ή να το διαγράψετε διαφορετικά από τον σκληρό σας δίσκο)
Ύποπτο λογισμικό
Μπορεί να χρειαστεί αρκετή εμπειρία (διαβάστε "δοκιμή και σφάλμα") για να εξοικειωθείτε με τον προσδιορισμό του τι είναι κακόβουλο λογισμικό και τι όχι. Οι περισσότερες από τις καταχωρίσεις που παρουσιάζονται στο Autoruns είναι νόμιμα προγράμματα, ακόμα κι αν τα ονόματά τους δεν σας γνωρίζουν. Ακολουθούν ορισμένες συμβουλές που θα σας βοηθήσουν να διαφοροποιήσετε το κακόβουλο λογισμικό από το νόμιμο λογισμικό:
- Εάν μια καταχώριση υπογράφεται ψηφιακά από έναν εκδότη λογισμικού (δηλαδή υπάρχει μια καταχώριση στο Εκδότης στήλη) ή έχει "Περιγραφή", τότε υπάρχει μια καλή πιθανότητα να είναι νόμιμο
- Εάν αναγνωρίζετε το όνομα του λογισμικού, συνήθως είναι εντάξει. Λάβετε υπόψη ότι περιστασιακά το κακόβουλο λογισμικό θα "πλαστοπροσωπεί" νόμιμο λογισμικό, αλλά υιοθετεί ένα όνομα που είναι πανομοιότυπο ή παρόμοιο με το λογισμικό που γνωρίζετε (π.χ. "AcrobatLauncher" ή "PhotoshopBrowser"). Επίσης, λάβετε υπόψη ότι πολλά προγράμματα κακόβουλου λογισμικού υιοθετούν γενικά ή αβλαβή ονόματα, όπως "Diskfix" ή "SearchHelper" (και τα δύο αναφέρονται παρακάτω).
- Οι καταχωρίσεις κακόβουλου λογισμικού εμφανίζονται συνήθως στο Συνδεθείτε καρτέλα Autoruns (αλλά όχι πάντα!)
- Εάν ανοίξετε το φάκελο που περιέχει το αρχείο EXE ή DLL (περισσότερα για αυτό παρακάτω), εξετάστε την ημερομηνία "τελευταίας τροποποίησης", οι ημερομηνίες είναι συχνά από τις τελευταίες ημέρες (υποθέτοντας ότι η μόλυνση σας είναι αρκετά πρόσφατη)
- Το κακόβουλο λογισμικό βρίσκεται συχνά στο φάκελο C: \ Windows ή στο φάκελο C: \ Windows \ System32
- Το κακόβουλο λογισμικό συχνά έχει μόνο ένα γενικό εικονίδιο (στα αριστερά του ονόματος της καταχώρησης)
Εάν έχετε αμφιβολίες, κάντε δεξί κλικ στην καταχώρηση και επιλέξτε Αναζήτηση στο Διαδίκτυο…
Η παρακάτω λίστα δείχνει δύο ύποπτες καταχωρήσεις: Διόρθωση δίσκου και SearchHelper
Αυτές οι εγγραφές, που επισημαίνονται παραπάνω, είναι αρκετά τυπικές από μολύνσεις από κακόβουλα προγράμματα:
- Δεν έχουν ούτε περιγραφές ούτε εκδότες
- Έχουν γενικά ονόματα
- Τα αρχεία βρίσκονται στο C: \ Windows \ System32
- Έχουν γενικές εικόνες
- Τα ονόματα αρχείων είναι τυχαίες σειρές χαρακτήρων
- Εάν κοιτάξετε στο φάκελο C: \ Windows \ System32 και εντοπίσετε τα αρχεία, θα δείτε ότι είναι μερικά από τα πιο πρόσφατα τροποποιημένα αρχεία στο φάκελο (δείτε παρακάτω)
Το διπλό κλικ στα στοιχεία θα σας μεταφέρει στα αντίστοιχα κλειδιά μητρώου:
Κατάργηση του κακόβουλου λογισμικού
Αφού εντοπίσετε τις καταχωρίσεις που πιστεύετε ότι είναι ύποπτες, πρέπει τώρα να αποφασίσετε τι θέλετε να κάνετε με αυτές. Οι επιλογές σας περιλαμβάνουν:
- Απενεργοποιήστε προσωρινά την καταχώρηση Autorun
- Διαγράψτε οριστικά την καταχώριση Autorun
- Εντοπίστε τη διαδικασία που εκτελείται (χρησιμοποιώντας τη Διαχείριση εργασιών ή παρόμοια) και τερματίστε την
- Διαγράψτε το αρχείο EXE ή DLL από το δίσκο σας (ή τουλάχιστον μετακινήστε το σε ένα φάκελο όπου δεν θα ξεκινήσει αυτόματα)
ή όλα τα παραπάνω, ανάλογα με το πόσο σίγουροι είστε ότι το πρόγραμμα είναι κακόβουλο λογισμικό.
Για να δείτε εάν οι αλλαγές σας πέτυχαν, θα χρειαστεί να επανεκκινήσετε το μηχάνημά σας και να ελέγξετε οποιοδήποτε ή όλα τα ακόλουθα:
- Αυτόματη εκτέλεση - για να δείτε αν η καταχώριση έχει επιστρέψει
- Task Manager (ή παρόμοιο) - για να δείτε εάν το πρόγραμμα ξεκίνησε ξανά μετά την επανεκκίνηση
- Ελέγξτε τη συμπεριφορά που σας οδήγησε να πιστέψετε ότι ο υπολογιστής σας είχε μολυνθεί. Εάν δεν συμβαίνει πλέον, είναι πιθανό ο υπολογιστής σας να είναι πλέον καθαρός
συμπέρασμα
Αυτή η λύση δεν είναι για όλους και πιθανότατα απευθύνεται σε προχωρημένους χρήστες. Συνήθως η χρήση μιας ποιοτικής εφαρμογής Antivirus κάνει το κόλπο, αλλά αν όχι το Autoruns είναι ένα πολύτιμο εργαλείο στο κιτ Anti-Malware.
Λάβετε υπόψη ότι ορισμένα κακόβουλα προγράμματα είναι πιο δύσκολο να αφαιρεθούν από άλλα. Μερικές φορές χρειάζεστε αρκετές επαναλήψεις των παραπάνω βημάτων, με κάθε επανάληψη να απαιτεί να κοιτάξετε πιο προσεκτικά σε κάθε καταχώριση Autorun. Μερικές φορές τη στιγμή που καταργείτε την καταχώριση Autorun, το κακόβουλο λογισμικό που εκτελείται αντικαθιστά την καταχώριση. Όταν συμβαίνει αυτό, πρέπει να γίνουμε πιο επιθετικοί στη δολοφονία του κακόβουλου λογισμικού, συμπεριλαμβανομένων τερματισμού προγραμμάτων (ακόμη και νόμιμων προγραμμάτων όπως το Explorer.exe) που έχουν μολυνθεί με κακόβουλα αρχεία DLL.
Σύντομα θα δημοσιεύσουμε ένα άρθρο σχετικά με τον τρόπο εντοπισμού, εντοπισμού και τερματισμού διαδικασιών που αντιπροσωπεύουν νόμιμα προγράμματα, αλλά εκτελούν μολυσμένα DLL, προκειμένου αυτά τα DLL να μπορούν να διαγραφούν από το σύστημα.
