Существует множество антивирусных программ, которые очистят вашу систему от неприятностей, но что произойдет, если вы не сможете использовать такую программу? Автозапуск от SysInternals (недавно приобретенного Microsoft) незаменим при удалении вредоносных программ вручную.
Есть несколько причин, по которым вам может потребоваться удалить вирусы и шпионское ПО вручную:
- Возможно, вы не можете выполнять на своем компьютере ресурсоемкие и агрессивные программы защиты от вредоносных программ.
- Возможно, вам потребуется почистить компьютер своей мамы (или кого-то еще, кто не понимает, что большой мигающий знак на веб-сайте с надписью «Ваш компьютер заражен вирусом - нажмите ЗДЕСЬ, чтобы удалить его») не является сообщением, которое обязательно может быть доверенный)
- Вредоносная программа настолько агрессивна, что сопротивляется всем попыткам ее автоматического удаления или даже не позволяет установить антивирусное программное обеспечение.
- Часть вашего кредо компьютерщика - вера в то, что утилиты для защиты от шпионского ПО созданы для слабаков.
Autoruns - бесценное дополнение к программному набору любого компьютерщика. Он позволяет отслеживать и контролировать все программы (и программные компоненты), которые запускаются автоматически с Windows (или с Internet Explorer). Практически все вредоносные программы рассчитаны на автоматический запуск, поэтому велика вероятность того, что их можно будет обнаружить и удалить с помощью Autoruns.
Мы рассмотрели, как использовать автозапуск в более ранней статья , который вам следует прочитать, если вам нужно сначала ознакомиться с программой.
Autoruns - это отдельная утилита, которую не нужно устанавливать на ваш компьютер. Его можно просто скачать, разархивировать и запустить (ссылка ниже). Эта марка идеально подходит для добавления в коллекцию портативных утилит на флэш-накопителе.
Когда вы впервые запускаете Autoruns на компьютере, вам предоставляется лицензионное соглашение:
После принятия условий открывается главное окно автозапуска, в котором отображается полный список всего программного обеспечения, которое будет запускаться при запуске вашего компьютера, при входе в систему или при открытии Internet Explorer:
Чтобы временно отключить запуск программы, снимите флажок рядом с ее записью. Примечание: это не прекратить программу, если она запущена в данный момент - это просто предотвращает ее запуск следующий время. Чтобы навсегда предотвратить запуск программы, полностью удалите запись (используйте удалять или щелкните правой кнопкой мыши и выберите удалять из контекстного меню)). Примечание: это не удалить программу с вашего компьютера - для полного удаления вам необходимо удалить программу (или иным образом удалить ее с жесткого диска).
Подозрительное ПО
Чтобы научиться определять, что является вредоносным, а что нет, может потребоваться немалый опыт (прочтите «метод проб и ошибок»). Большинство записей, представленных в Autoruns, являются законными программами, даже если их названия вам неизвестны. Вот несколько советов, которые помогут отличить вредоносное ПО от легального:
- Если запись подписана цифровой подписью издателя программного обеспечения (т.е. есть запись в Издатель столбец) или имеет "Описание", то есть большая вероятность, что это законный
- Если вы узнали название программы, то, как правило, все в порядке. Обратите внимание, что иногда вредоносное ПО будет «выдавать себя за» законное программное обеспечение, но принимает имя, идентичное или похожее на знакомое вам программное обеспечение (например, «AcrobatLauncher» или «PhotoshopBrowser»). Также имейте в виду, что многие вредоносные программы принимают общие или безобидно звучащие имена, такие как «Diskfix» или «SearchHelper» (оба упомянуты ниже).
- Записи о вредоносных программах обычно появляются на Вход в систему вкладка Автозапуск (но не всегда!)
- Если вы откроете папку, содержащую файл EXE или DLL (подробнее об этом ниже), проверьте дату «последнего изменения», даты часто относятся к последним нескольким дням (при условии, что ваше заражение было сравнительно недавним)
- Вредоносное ПО часто находится в папке C: \ Windows или C: \ Windows \ System32.
- Вредоносное ПО часто имеет только общий значок (слева от названия записи).
В случае сомнений щелкните запись правой кнопкой мыши и выберите Искать в Интернете…
В списке ниже показаны две подозрительно выглядящие записи: Diskfix а также SearchHelper
Эти выделенные выше записи довольно типичны для заражения вредоносным ПО:
- У них нет ни описаний, ни издателей
- У них есть общие названия
- Файлы находятся в C: \ Windows \ System32
- У них есть общие значки
- Имена файлов представляют собой случайные строки символов.
- Если вы посмотрите в папку C: \ Windows \ System32 и найдете файлы, вы увидите, что это одни из самых последних измененных файлов в папке (см. Ниже).
Двойной щелчок по элементам приведет вас к соответствующим разделам реестра:
Удаление вредоносного ПО
После того как вы определили записи, которые считаете подозрительными, вам нужно решить, что вы хотите с ними делать. Ваш выбор включает:
- Временно отключить запись автозапуска
- Удалить запись автозапуска навсегда
- Найдите запущенный процесс (с помощью диспетчера задач или аналогичного) и завершите его
- Удалите файл EXE или DLL с диска (или, по крайней мере, переместите его в папку, где он не запускается автоматически)
или все вышеперечисленное, в зависимости от того, насколько вы уверены, что программа является вредоносной.
Чтобы узнать, удалось ли внести изменения, вам нужно будет перезагрузить компьютер и проверить одно или все из следующего:
- Автозапуск - чтобы узнать, вернулась ли запись
- Диспетчер задач (или аналогичный) - чтобы узнать, запускалась ли программа снова после перезагрузки
- Проверьте поведение, которое заставило вас поверить, что ваш компьютер изначально был заражен. Если этого больше не происходит, скорее всего, ваш компьютер чистый.
Вывод
Это решение подходит не всем и, скорее всего, ориентировано на опытных пользователей. Обычно помогает качественное антивирусное приложение, но если нет, Autoruns - ценный инструмент в вашем комплекте Anti-Malware.
Помните, что некоторые вредоносные программы удалить сложнее, чем другие. Иногда вам нужно несколько итераций вышеперечисленных шагов, при этом каждая итерация требует более внимательного изучения каждой записи автозапуска. Иногда в тот момент, когда вы удаляете запись автозапуска, запущенная вредоносная программа заменяет ее. Когда это происходит, нам нужно стать более агрессивными в уничтожении вредоносных программ, включая завершение программ (даже законных программ, таких как Explorer.exe), зараженных вредоносными библиотеками DLL.
Вскоре мы опубликуем статью о том, как идентифицировать, определять местонахождение и завершать процессы, представляющие законные программы, но выполняющие зараженные библиотеки DLL, чтобы эти библиотеки можно было удалить из системы.
