Använd Autoruns för att manuellt rengöra en infekterad dator
Det finns många anti-malware program där ute som kommer att rengöra ditt system av nasties, men vad händer om du inte kan använda ett sådant program? Autoruns, från SysInternals (nyligen förvärvad av Microsoft), är oumbärlig när man tar bort skadlig kod manuellt.
Det finns några anledningar till varför du kanske behöver ta bort virus och spionprogram manuellt:
- Kanske kan du inte hålla köra resurshushiga och invasiva anti-malware-program på datorn
- Du kanske behöver rengöra din mammas dator (eller någon annan som inte förstår det som ett stort blinkande tecken på en webbplats som säger "Din dator är infekterad med ett virus - klicka HÄR för att ta bort det" är inte ett meddelande som nödvändigtvis kan vara betrodd)
- Malware är så aggressiv att den motstår alla försök att automatiskt ta bort det, eller kommer inte ens tillåta dig att installera programvara mot skadlig kod
- En del av din geek credo är tron att anti-spyware verktyg är för wimps
Autoruns är ett ovärderligt tillägg till någon geeks programvara verktygslåda. Det låter dig spåra och styra alla program (och programkomponenter) som startar automatiskt med Windows (eller med Internet Explorer). Nästan alla skadliga program är utformade för att starta automatiskt, så det finns en mycket stark chans att det kan detekteras och tas bort med hjälp av Autoruns.
Vi har täckt hur du använder Autoruns i en tidigare artikel, som du bör läsa om du först måste känna till programmet.
Autoruns är ett fristående verktyg som inte behöver installeras på din dator. Det kan enkelt hämtas, släppas ut och köras (länk nedan). Detta gör det idealiskt för att lägga till din bärbara verktygssamling på din flash-enhet.
När du startar Autoruns för första gången på en dator presenteras du licensavtalet:
Efter att ha godkänt villkoren öppnas fönstret Autoruns, som visar dig en fullständig lista över all programvara som körs när datorn startar, när du loggar in eller när du öppnar Internet Explorer:
För att tillfälligt inaktivera ett program från att starta, avmarkera rutan bredvid det. Obs! Detta gör det inte avsluta programmet om det körs vid den tiden - det förhindrar bara att det börjar Nästa tid. För att permanent förhindra att ett program startas, raderar du hela inlägget (använd Radera tangent eller högerklicka och välj Radera från kontextmenyn)). Obs! Detta gör det inte ta bort programmet från din dator - för att ta bort det helt måste du avinstallera programmet (eller på annat sätt ta bort det från hårddisken).
Misstänkt programvara
Det kan ta en hel del erfarenhet (läs "rättegång och fel") för att bli skicklig för att identifiera vad som är skadligt program och vad som inte är. De flesta av de poster som presenteras i Autoruns är legitima program, även om deras namn inte är känt för dig. Här är några tips som hjälper dig att skilja malware från den legitima mjukvaran:
- Om en post är digitalt signerad av en programvaruleverantör (dvs det finns en post i Utgivare kolumn) eller har en "beskrivning", då finns det en bra chans att det är legitimt
- Om du känner igen programvarans namn, är det vanligtvis okej. Observera att skadlig kod ibland kommer att "efterlikna" legitim programvara, men anta ett namn som är identiskt med eller liknar programvara du är bekant med (till exempel "AcrobatLauncher" eller "PhotoshopBrowser"). Också vara medveten om att många malwareprogram antar generiska eller oskadliga namn, till exempel "Diskfix" eller "SearchHelper" (båda nämnda nedan).
- Malware-poster visas vanligen på Logga in fliken Autoruns (men inte alltid!)
- Om du öppnar mappen som innehåller EXE- eller DLL-filen (mer nedan), undersök det senast ändrade datumet, datumen är ofta från de senaste dagarna (förutsatt att din infektion är ganska ny)
- Malware finns ofta i mappen C: \ Windows eller C: \ Windows \ System32
- Malware har ofta bara en generisk ikon (till vänster om namnet på posten)
Om du är osäker, högerklicka på posten och välj Sök på nätet ...
Listan nedan visar två misstänkta utseenden: Diskfix och SearchHelper
Dessa poster, som markeras ovan, är ganska typiska för malwareinfektioner:
- De har varken beskrivningar eller utgivare
- De har generiska namn
- Filerna finns i C: \ Windows \ System32
- De har generiska ikoner
- Filnamnen är slumpmässiga strängar av tecken
- Om du tittar i mappen C: \ Windows \ System32 och hittar filerna ser du att de är några av de senast ändrade filerna i mappen (se nedan)
Dubbelklicka på objekten tar dig till deras motsvarande registernycklar:
Ta bort skadlig kod
När du väl har identifierat de uppgifter som du anser vara misstänksama måste du bestämma vad du vill göra med dem. Dina val inkluderar:
- Avaktivera tillfälligt Autorun-posten
- Ta bort autorun-posten permanent
- Leta reda på körprocessen (med hjälp av Aktivitetshanteraren eller liknande) och avsluta den
- Ta bort EXE- eller DLL-filen från din disk (eller åtminstone flytta den till en mapp där den inte startas automatiskt)
eller allt ovanstående, beroende på hur säkert du är att programmet är skadlig kod.
För att se om dina ändringar lyckades måste du starta om datorn och kontrollera något av följande:
- Autoruns - för att se om posten har returnerats
- Aktivitetshanteraren (eller liknande) - för att se om programmet startades igen efter omstart
- Kontrollera det beteende som ledde till att du trodde att din dator var infekterad i första hand. Om det inte längre händer är chansen att datorn nu är ren
Slutsats
Denna lösning är inte för alla och är mest sannolikt inriktad på avancerade användare. Vanligtvis använder du en kvalitet Antivirusprogram gör tricket, men om inte Autoruns är ett värdefullt verktyg i ditt Anti-Malware-kit.
Tänk på att vissa skadliga program är svårare att ta bort än andra. Ibland behöver du flera iterationer av stegen ovan, med varje iteration som kräver att du tittar noga på varje Autorun-post. Ibland är det omedelbart att du tar bort Autorun-posten, den skadliga programvaran ersätter posten. När det händer måste vi bli mer aggressiva i vårt mördande av malware, inklusive avslutande program (även legitima program som Explorer.exe) som är infekterade med skadliga DLL-filer.
Vi kommer snart att publicera en artikel om hur man identifierar, lokaliserar och avslutar processer som representerar legitima program men kör infekterade DLL-filer, så att de DLL-filer kan raderas från systemet.
Hämta Autoruns från SysInternals