Există multe programe anti-malware care vă vor curăța sistemul de urât, dar ce se întâmplă dacă nu puteți folosi un astfel de program? Autoruns-urile, de la SysInternals (achiziționate recent de Microsoft), sunt indispensabile atunci când eliminați malware-ul manual.
Există câteva motive pentru care poate fi necesar să eliminați manual virușii și spyware-ul:
- Poate că nu puteți continua să rulați programe anti-malware invadate de resurse și invazive pe computer
- S-ar putea să trebuiască să curățați computerul mamei (sau altcineva care nu înțelege că un semn mare intermitent pe un site web care spune „Computerul dvs. este infectat cu un virus - faceți clic AICI pentru al elimina” nu este un mesaj care poate fi neapărat de încredere)
- Programul malware este atât de agresiv încât rezistă tuturor încercărilor de a-l elimina automat sau nu vă va permite nici măcar să instalați software anti-malware
- O parte din creditul dvs. geek este credința că utilitățile anti-spyware sunt pentru wimps
Autoruns este un plus neprețuit la setul de instrumente software al oricărui geek. Vă permite să urmăriți și să controlați toate programele (și componentele programului) care pornesc automat cu Windows (sau cu Internet Explorer). Practic, toate programele malware sunt concepute pentru a porni automat, deci există șanse foarte mari ca acesta să poată fi detectat și eliminat cu ajutorul Autoruns.
Am prezentat cum să folosim Autoruns într-o versiune anterioară articol , pe care ar trebui să-l citiți dacă trebuie să vă familiarizați mai întâi cu programul.
Autoruns este un utilitar independent care nu trebuie instalat pe computer. Poate fi descărcat, dezarhivat și rulat (link de mai jos). Acest lucru este ideal pentru adăugarea la colecția dvs. de utilități portabile de pe unitatea flash.
Când porniți Autoruns pentru prima dată pe computer, vi se prezintă acordul de licență:
După ce ați acceptat termenii, se deschide fereastra principală Autoruns, care vă arată lista completă a tuturor software-urilor care vor rula când computerul pornește, când vă conectați sau când deschideți Internet Explorer:
Pentru a dezactiva temporar lansarea unui program, debifați caseta de lângă intrarea sa. Notă: Așa este nu terminați programul dacă rulează în acel moment - doar îl împiedică să pornească Următor → timp. Pentru a împiedica definitiv lansarea unui program, ștergeți intrarea complet (utilizați fișierul Șterge sau faceți clic dreapta și alegeți Șterge din meniul contextual)). Notă: Așa este nu eliminați programul de pe computer - pentru a-l elimina complet, trebuie să dezinstalați programul (sau altfel să îl ștergeți de pe hard disk).
Software suspect
Poate dura un pic de experiență (citiți „încercare și eroare”) pentru a deveni abil în identificarea a ceea ce este malware și a ceea ce nu. Majoritatea intrărilor prezentate în Autoruns sunt programe legitime, chiar dacă numele lor nu vă sunt familiare. Iată câteva sfaturi pentru a vă ajuta să diferențiați malware-ul de software-ul legitim:
- Dacă o intrare este semnată digital de un editor de software (adică există o intrare în Editor coloană) sau are o „Descriere”, atunci există șanse mari să fie legitimă
- Dacă recunoașteți numele software-ului, atunci este de obicei în regulă. Rețineți că, ocazional, programele malware vor „identifica” software-ul legitim, dar adoptând un nume identic sau similar cu software-ul pe care îl cunoașteți (de ex. „AcrobatLauncher” sau „PhotoshopBrowser”). De asemenea, rețineți că multe programe malware adoptă nume generice sau cu sunete inofensive, cum ar fi „Diskfix” sau „SearchHelper” (ambele menționate mai jos).
- Intrările malware apar de obicei pe Conectare fila Autoruns (dar nu întotdeauna!)
- Dacă deschideți folderul care conține fișierul EXE sau DLL (mai multe despre acest lucru mai jos), examinați data „ultimei modificări”, datele sunt adesea din ultimele zile (presupunând că infecția dvs. este destul de recentă)
- Programele malware sunt adesea localizate în folderul C: \ Windows sau în folderul C: \ Windows \ System32
- Programele malware au adesea doar o pictogramă generică (în stânga numelui intrării)
Dacă aveți dubii, faceți clic dreapta pe intrare și selectați Search Online…
Lista de mai jos prezintă două intrări cu aspect suspect: Diskfix și SearchHelper
Aceste intrări, evidențiate mai sus, sunt destul de tipice infecțiilor malware:
- Nu au nici descrieri, nici editori
- Au nume generice
- Fișierele se află în C: \ Windows \ System32
- Au icoane generice
- Numele de fișier sunt șiruri aleatoare de caractere
- Dacă vă uitați în folderul C: \ Windows \ System32 și localizați fișierele, veți vedea că acestea sunt unele dintre cele mai recente fișiere modificate din dosar (a se vedea mai jos)
Dacă faceți dublu clic pe elemente, veți ajunge la cheile de registru corespunzătoare:
Eliminarea programului malware
După ce ați identificat intrările pe care credeți că sunt suspecte, acum trebuie să decideți ce doriți să faceți cu ele. Alegerile dvs. includ:
- Dezactivați temporar intrarea Autorun
- Ștergeți definitiv intrarea Autorun
- Localizați procesul care rulează (utilizând Task Manager sau similar) și încheiați-l
- Ștergeți fișierul EXE sau DLL de pe disc (sau cel puțin mutați-l într-un folder în care nu va fi pornit automat)
sau toate cele de mai sus, în funcție de cât de sigur sunteți că programul este malware.
Pentru a vedea dacă modificările dvs. au reușit, va trebui să reporniți computerul și să verificați oricare sau toate următoarele:
- Autoruns - pentru a vedea dacă intrarea a revenit
- Task Manager (sau similar) - pentru a vedea dacă programul a fost pornit din nou după repornire
- Verificați comportamentul care v-a determinat să credeți că PC-ul dvs. a fost infectat în primul rând. Dacă nu se mai întâmplă, este probabil ca computerul dvs. să fie curat
Concluzie
Această soluție nu este pentru toată lumea și este cel mai probabil destinată utilizatorilor avansați. De obicei, utilizarea unei aplicații antivirus de calitate face trucul, dar dacă nu Autoruns este un instrument valoros în kitul dvs. Anti-Malware.
Rețineți că unele programe malware sunt mai greu de înlăturat decât altele. Uneori aveți nevoie de mai multe iterații ale pașilor de mai sus, fiecare iterație necesitând să vă uitați mai atent la fiecare intrare Autorun. Uneori, în momentul în care eliminați intrarea Autorun, malware-ul care rulează înlocuiește intrarea. Când se întâmplă acest lucru, trebuie să devenim mai agresivi în asasinarea malware-ului nostru, inclusiv a programelor de terminare (chiar și a programelor legitime precum Explorer.exe) care sunt infectate cu DLL-uri malware.
În scurt timp vom publica un articol despre cum să identificăm, să localizăm și să terminăm procesele care reprezintă programe legitime, dar care rulează DLL-uri infectate, pentru ca aceste DLL-uri să poată fi șterse din sistem.
