Sok kártevőirtó program létezik, amelyek megtisztítják a rendszert a gonoszságoktól, de mi történik, ha nem tudja használni ezt a programot? A SysInternals (a Microsoft által nemrégiben megszerzett) Autoruns elengedhetetlen a rosszindulatú programok manuális eltávolításakor.
Néhány oka lehet annak, hogy manuálisan kell eltávolítania a vírusokat és a kémprogramokat:
- Talán nem tudja betartani az erőforrás-éhes és invazív rosszindulatú programokat futtató programokat a számítógépén
- Lehet, hogy meg kell tisztítania anyja számítógépét (vagy valaki mást, aki nem érti, hogy egy olyan nagy villogó tábla egy webhelyen, amely azt mondja: „A számítógépe vírussal fertőzött - kattintson IDE az eltávolításhoz”, nem feltétlenül szükséges üzenet megbízható)
- A rosszindulatú program annyira agresszív, hogy ellenáll minden próbálkozásnak az automatikus eltávolításról, vagy nem is engedi meg a rosszindulatú szoftverek telepítését
- Geek hitelképed része az a meggyőződés, hogy a kémprogram-elhárító segédprogramok a wimps számára készültek
Az Autoruns felbecsülhetetlen kiegészítő minden geek szoftver eszköztárához. Lehetővé teszi az összes program (és programösszetevő) nyomon követését és vezérlését, amelyek automatikusan elindulnak a Windows (vagy az Internet Explorer) használatával. Gyakorlatilag minden rosszindulatú programot úgy terveztek, hogy automatikusan elinduljon, így nagyon nagy az esély arra, hogy az Autoruns segítségével felismerhető és eltávolítható legyen.
Korábban már kitértünk az Autoruns használatára cikk , amelyet el kell olvasnia, ha először meg kell ismerkednie a programmal.
Az Autoruns egy önálló segédprogram, amelyet nem kell telepíteni a számítógépre. Egyszerűen letölthető, kicsomagolható és futtatható (link alatt). Ez a készülék ideálisan alkalmas a flash meghajtón lévő hordozható segédprogram-gyűjteményhez történő hozzáadásra.
Amikor először indítja el az Automatikus futtatást számítógépen, megjelenik a licencszerződés:
Miután elfogadta a feltételeket, megnyílik az Autoruns főablak, amely megmutatja az összes olyan szoftver teljes listáját, amely a számítógép indításakor, bejelentkezéskor vagy az Internet Explorer megnyitásakor fog futtatni:
A program indításának ideiglenes letiltásához törölje a jelölést a bejegyzés melletti négyzetből. Megjegyzés: Ez igen nem szüntesse meg a programot, ha éppen fut - csak megakadályozza annak elindítását következő idő. A program indításának végleges megakadályozásához törölje a bejegyzést teljesen (használja a Töröl gombot, vagy kattintson a jobb gombbal, és válassza a lehetőséget Töröl a helyi menüből)). Megjegyzés: Ez igen nem távolítsa el a programot a számítógépről - a teljes eltávolításhoz el kell távolítania a programot (vagy más módon törölnie kell a merevlemezről).
Gyanús szoftver
Kellemes tapasztalatra van szükség (olvassa el a „próba és hiba” című cikket), hogy ügyesen felismerje, mi a rosszindulatú program és mi nem. Az Autorunsban bemutatott bejegyzések többsége törvényes program, még akkor is, ha a nevük ismeretlen az Ön számára. Íme néhány tipp, amelyek segítenek megkülönböztetni a rosszindulatú programokat a legális programtól:
- Ha a bejegyzést egy szoftverkiadó digitálisan aláírja (vagyis van bejegyzés a Kiadó oszlop) vagy rendelkezik „Leírással”, akkor jó eséllyel jogos
- Ha felismeri a szoftver nevét, akkor általában rendben van. Ne feledje, hogy a rosszindulatú programok alkalmanként legitim szoftvert „megszemélyesítenek”, de olyan nevet vesznek fel, amely azonos vagy hasonló az Ön által ismert szoftverekhez (pl. „AcrobatLauncher” vagy „PhotoshopBrowser”). Ne feledje továbbá, hogy sok rosszindulatú program általános vagy ártalmatlan hangzású neveket fogad el, például a „Diskfix” vagy a „SearchHelper” (mindkettőt az alábbiakban említjük).
- A rosszindulatú programok bejegyzései általában a Bejelentkezni az Autoruns fül (de nem mindig!)
- Ha megnyitja az EXE vagy DLL fájlt tartalmazó mappát (erről bővebben alább), vizsgálja meg az „utolsó módosítás” dátumot, a dátumok gyakran az elmúlt napokból származnak (feltételezve, hogy a fertőzés meglehetősen nemrégiben történt)
- A rosszindulatú programok gyakran a C: \ Windows vagy a C: \ Windows \ System32 mappában találhatók
- A rosszindulatú programoknak gyakran csak egy általános ikonja van (a bejegyzés nevétől balra)
Ha kétségei vannak, kattintson a jobb gombbal a bejegyzésre, és válassza a lehetőséget Keresés az interneten…
Az alábbi lista két gyanús megjelenésű bejegyzést mutat: Diskfix és SearchHelper
Ezek a fent kiemelt bejegyzések meglehetősen jellemzőek a rosszindulatú programok fertőzésére:
- Nincsenek leírásaik és kiadóik
- Általános neveik vannak
- A fájlok a C: \ Windows \ System32 könyvtárban találhatók
- Általános ikonjaik vannak
- A fájlnevek véletlenszerű karakterláncok
- Ha megkeresi a C: \ Windows \ System32 mappát, és megkeresi a fájlokat, akkor látni fogja, hogy ezek a mappában található legutóbb módosított fájlok (lásd alább)
Ha duplán kattint az elemekre, a megfelelő rendszerleíró kulcsokhoz jut:
A rosszindulatú program eltávolítása
Miután azonosította a gyanúsnak vélt bejegyzéseket, el kell döntenie, hogy mit szeretne kezdeni velük. A választások a következők:
- Ideiglenesen tiltsa le az Autorun bejegyzést
- Véglegesen törölje az Autorun bejegyzést
- Keresse meg a futó folyamatot (a Feladatkezelővel vagy hasonlóval) és fejezze be
- Törölje az EXE vagy DLL fájlt a lemezéről (vagy legalább helyezze át egy mappába, ahol nem indul el automatikusan)
vagy a fentiek mindegyike, attól függően, hogy mennyire biztos abban, hogy a program kártevő.
Annak megtekintéséhez, hogy a változtatások sikeresek-e, újra kell indítania a gépet, és ellenőriznie kell az alábbiak egyikét vagy mindegyikét:
- Autoruns - annak ellenőrzése, hogy a bejegyzés visszatért-e
- Feladatkezelő (vagy hasonló) - annak ellenőrzése, hogy a program újraindítása után indult-e újra
- Ellenőrizze azt a viselkedést, amely azt hitte, hogy a számítógépe eleve fertőzött. Ha ez már nem történik meg, akkor valószínű, hogy a számítógépe tiszta
Következtetés
Ez a megoldás nem mindenki számára készült, és valószínűleg haladó felhasználóknak szól. Általában egy minőségi víruskereső alkalmazás használata végzi a trükköt, de ha nem, akkor az Autoruns értékes eszköz az Anti-Malware készletben.
Ne feledje, hogy egyes rosszindulatú programokat nehezebb eltávolítani, mint másokat. Néha a fenti lépések többszörös ismétlésére van szükség, minden egyes ismétléshez alaposabban meg kell néznie az Autorun bejegyzéseket. Előfordul, hogy az Autorun bejegyzés eltávolításának pillanatában a futó kártevő helyettesíti a bejegyzést. Amikor ez megtörténik, agresszívebbé kell válnunk a rosszindulatú programok meggyilkolásában, beleértve a rosszindulatú program DLL-ekkel fertőzött programok (még olyan törvényes programok leállítását is).
Rövidesen közzéteszünk egy cikket arról, hogyan lehet azonosítani, megkeresni és megszüntetni a törvényes programokat képviselő, de fertőzött DLL-eket futtató folyamatokat annak érdekében, hogy ezeket a DLL-eket törölni lehessen a rendszerből.
