Sử dụng Autoruns để làm sạch thủ công một PC bị nhiễm bệnh

NỘI DUNG KHÔNG ĐƯỢC CHỨNG MINH

Có rất nhiều chương trình chống phần mềm độc hại có sẵn sẽ làm sạch hệ thống của bạn, nhưng điều gì sẽ xảy ra nếu bạn không thể sử dụng một chương trình như vậy? Autoruns, từ SysInternals (được Microsoft mua lại gần đây), không thể thiếu khi loại bỏ phần mềm độc hại theo cách thủ công.

Có một số lý do tại sao bạn có thể cần phải loại bỏ vi rút và phần mềm gián điệp theo cách thủ công:

• Có lẽ bạn không thể tiếp tục chạy các chương trình chống phần mềm độc hại xâm lấn và ngốn tài nguyên trên PC của mình
• Bạn có thể cần phải dọn dẹp máy tính của mẹ bạn (hoặc ai đó không hiểu rằng một dấu hiệu nhấp nháy lớn trên trang web có nội dung “Máy tính của bạn bị nhiễm vi-rút - hãy nhấp vào ĐÂY để xóa nó” không phải là một thông báo nhất thiết phải có đáng tin cậy)
• Phần mềm độc hại rất hung hãn đến nỗi nó chống lại mọi nỗ lực tự động xóa hoặc thậm chí không cho phép bạn cài đặt phần mềm chống phần mềm độc hại
• Một phần trong quan điểm đam mê của bạn là niềm tin rằng các tiện ích chống phần mềm gián điệp là dành cho những kẻ xấu

Autoruns là một bổ sung vô giá cho bất kỳ bộ công cụ phần mềm của người đam mê nào. Nó cho phép bạn theo dõi và kiểm soát tất cả các chương trình (và các thành phần chương trình) khởi động tự động với Windows (hoặc với Internet Explorer). Hầu như tất cả các phần mềm độc hại đều được thiết kế để khởi động tự động, vì vậy rất có khả năng phần mềm độc hại đó có thể được phát hiện và loại bỏ với sự trợ giúp của Autoruns.

Chúng tôi đã trình bày cách sử dụng Autoruns trong phần trước bài báo , bạn nên đọc nếu trước tiên bạn cần làm quen với chương trình.

Autoruns là một tiện ích độc lập không cần cài đặt trên máy tính của bạn. Nó có thể được tải xuống, giải nén và chạy một cách đơn giản (liên kết bên dưới). Điều này làm cho lý tưởng để thêm vào bộ sưu tập tiện ích di động trên ổ đĩa flash của bạn.

Khi bạn khởi động Autoruns lần đầu tiên trên máy tính, bạn sẽ thấy thỏa thuận cấp phép:

Sau khi đồng ý với các điều khoản, cửa sổ Autoruns chính sẽ mở ra, hiển thị cho bạn danh sách đầy đủ tất cả phần mềm sẽ chạy khi máy tính của bạn khởi động, khi bạn đăng nhập hoặc khi bạn mở Internet Explorer:

Để tạm thời vô hiệu hóa chương trình khởi chạy, hãy bỏ chọn hộp bên cạnh mục nhập của chương trình đó. Lưu ý: Điều này không không phải chấm dứt chương trình nếu nó đang chạy vào thời điểm đó - nó chỉ ngăn nó khởi động kế tiếp thời gian. Để ngăn chặn vĩnh viễn một chương trình khởi chạy, hãy xóa hoàn toàn mục nhập (sử dụng Xóa bỏ hoặc nhấp chuột phải và chọn Xóa bỏ từ menu ngữ cảnh)). Lưu ý: Điều này không không phải xóa chương trình khỏi máy tính của bạn - để xóa hoàn toàn, bạn cần gỡ cài đặt chương trình (hoặc xóa nó khỏi đĩa cứng của bạn).

Phần mềm đáng ngờ

Có thể cần một chút kinh nghiệm (đọc “thử và sai”) để trở nên thành thạo trong việc xác định đâu là phần mềm độc hại và đâu là không. Hầu hết các mục được trình bày trong Autoruns là các chương trình hợp pháp, ngay cả khi tên của chúng không quen thuộc với bạn. Dưới đây là một số mẹo giúp bạn phân biệt phần mềm độc hại với phần mềm hợp pháp:

• Nếu một mục được nhà xuất bản phần mềm ký kỹ thuật số (tức là có một mục trong Nhà xuất bản ) hoặc có "Mô tả", thì rất có thể nó là hợp pháp
• Nếu bạn nhận ra tên của phần mềm thì điều đó thường ổn. Xin lưu ý rằng đôi khi phần mềm độc hại sẽ “mạo danh” phần mềm hợp pháp, nhưng sử dụng tên giống hoặc tương tự với phần mềm mà bạn quen thuộc (ví dụ: “AcrobatLauncher” hoặc “PhotoshopBrowser”). Ngoài ra, hãy lưu ý rằng nhiều chương trình phần mềm độc hại sử dụng tên chung chung hoặc nghe có vẻ vô hại, chẳng hạn như “Diskfix” hoặc “SearchHelper” (cả hai đều được đề cập bên dưới).
• Các mục nhập phần mềm độc hại thường xuất hiện trên Đăng nhập tab Autoruns (nhưng không phải lúc nào cũng vậy!)
• Nếu bạn mở thư mục có chứa tệp EXE hoặc DLL (thêm về điều này bên dưới), hãy kiểm tra ngày "sửa đổi lần cuối", ngày thường là từ vài ngày trước (giả sử rằng nhiễm trùng của bạn là khá gần đây)
• Phần mềm độc hại thường nằm trong thư mục C: \ Windows hoặc thư mục C: \ Windows \ System32
• Phần mềm độc hại thường chỉ có một biểu tượng chung chung (ở bên trái tên của mục nhập)

Nếu nghi ngờ, hãy nhấp chuột phải vào mục nhập và chọn Search Online…

Danh sách dưới đây cho thấy hai mục nhập đáng ngờ: Sửa chữa đĩa và SearchHelper

Những mục này, được đánh dấu ở trên, là khá điển hình của việc lây nhiễm phần mềm độc hại:

• Họ không có mô tả và nhà xuất bản
• Họ có tên chung
• Các tệp được đặt trong C: \ Windows \ System32
• Họ có các biểu tượng chung
• Tên tệp là các chuỗi ký tự ngẫu nhiên
• Nếu bạn nhìn vào thư mục C: \ Windows \ System32 và tìm các tệp, bạn sẽ thấy rằng chúng là một số tệp được sửa đổi gần đây nhất trong thư mục (xem bên dưới)

Nhấp đúp vào các mục sẽ đưa bạn đến các khóa đăng ký tương ứng của chúng:

Loại bỏ phần mềm độc hại

Khi bạn đã xác định được các mục nhập mà bạn cho là đáng ngờ, bây giờ bạn cần quyết định xem bạn muốn làm gì với chúng. Các lựa chọn của bạn bao gồm:

• Tạm thời vô hiệu hóa mục Autorun
• Xóa vĩnh viễn mục nhập Tự động chạy
• Xác định vị trí quá trình đang chạy (bằng Trình quản lý tác vụ hoặc tương tự) và kết thúc quá trình đó
• Xóa tệp EXE hoặc DLL khỏi đĩa của bạn (hoặc ít nhất là di chuyển nó vào một thư mục nơi nó sẽ không được khởi động tự động)

hoặc tất cả những điều trên, tùy thuộc vào mức độ chắc chắn của bạn rằng chương trình là phần mềm độc hại.

Để xem liệu các thay đổi của bạn có thành công hay không, bạn sẽ cần khởi động lại máy và kiểm tra bất kỳ hoặc tất cả những điều sau:

• Autoruns - để xem mục nhập đã trả lại chưa
• Trình quản lý tác vụ (hoặc tương tự) - để xem chương trình có được khởi động lại sau khi khởi động lại hay không
• Kiểm tra hành vi khiến bạn tin rằng PC của bạn đã bị nhiễm virus ngay từ đầu. Nếu điều đó không còn xảy ra nữa, rất có thể PC của bạn hiện đã sạch

Phần kết luận

Giải pháp này không dành cho tất cả mọi người và có nhiều khả năng hướng đến người dùng nâng cao. Thông thường, việc sử dụng một ứng dụng Antivirus chất lượng sẽ có tác dụng, nhưng nếu không thì Autoruns là một công cụ có giá trị trong bộ Anti-Malware của bạn.

Hãy nhớ rằng một số phần mềm độc hại khó xóa hơn những phần mềm độc hại khác. Đôi khi bạn cần nhiều lần lặp lại các bước trên, với mỗi lần lặp lại yêu cầu bạn xem xét kỹ hơn từng mục nhập Autorun. Đôi khi ngay khi bạn xóa mục nhập Tự động chạy, phần mềm độc hại đang chạy sẽ thay thế mục nhập. Khi điều này xảy ra, chúng ta cần phải tích cực hơn trong việc ám sát phần mềm độc hại, bao gồm việc chấm dứt các chương trình (ngay cả các chương trình hợp pháp như Explorer.exe) bị nhiễm DLL phần mềm độc hại.

Trong thời gian ngắn, chúng tôi sẽ xuất bản một bài viết về cách xác định, định vị và chấm dứt các quy trình đại diện cho các chương trình hợp pháp nhưng đang chạy các tệp DLL bị nhiễm, để có thể xóa các tệp DLL đó khỏi hệ thống.

Tải xuống Autoruns từ SysInternals