Skip to content

Użyj Autoruns, aby ręcznie wyczyścić zainfekowany komputer

22 de lipiec de 2021
agreement

Istnieje wiele programów chroniących przed złośliwym oprogramowaniem, które oczyszczą Twój system ze złośliwości, ale co się stanie, jeśli nie będziesz w stanie korzystać z takiego programu? Autoruns firmy SysInternals (niedawno przejęty przez firmę Microsoft) jest niezbędny podczas ręcznego usuwania złośliwego oprogramowania.

Istnieje kilka powodów, dla których konieczne może być ręczne usunięcie wirusów i programów szpiegujących:

  • Być może nie możesz znieść uruchamiania zasobożernych i inwazyjnych programów chroniących przed złośliwym oprogramowaniem na swoim komputerze
  • Być może będziesz musiał wyczyścić komputer swojej mamy (lub kogoś, kto nie rozumie, że duży migający znak na stronie internetowej z napisem „Twój komputer jest zainfekowany wirusem – kliknij TUTAJ, aby go usunąć” nie jest komunikatem, który musi być zaufany)
  • Złośliwe oprogramowanie jest tak agresywne, że opiera się wszelkim próbom automatycznego usunięcia lub nawet nie pozwala na zainstalowanie oprogramowania antymalware
  • Częścią twojego credo geeków jest przekonanie, że narzędzia antyszpiegowskie są dla mięczaków

Autoruns to nieoceniony dodatek do zestawu narzędzi oprogramowania każdego geeka. Umożliwia śledzenie i kontrolowanie wszystkich programów (i komponentów programów), które uruchamiają się automatycznie w systemie Windows (lub w przeglądarce Internet Explorer). Praktycznie każde złośliwe oprogramowanie jest zaprojektowane tak, aby uruchamiało się automatycznie, więc istnieje bardzo duża szansa, że ​​może zostać wykryte i usunięte za pomocą Autoruns.

Omówiliśmy sposób korzystania z Autoruns we wcześniejszym artykule, który powinieneś przeczytać, jeśli chcesz najpierw zapoznać się z programem.

Autoruns to samodzielne narzędzie, którego nie trzeba instalować na komputerze. Można go po prostu pobrać, rozpakować i uruchomić (link poniżej). To sprawia, że ​​idealnie nadaje się do dodania do przenośnej kolekcji narzędzi na dysku flash.


Gdy uruchamiasz Autoruns po raz pierwszy na komputerze, wyświetlana jest umowa licencyjna:

Po zaakceptowaniu warunków otworzy się główne okno Autoruns, zawierające pełną listę wszystkich programów, które będą uruchamiane podczas uruchamiania komputera, logowania lub otwierania przeglądarki Internet Explorer:

Okno autouruchamiania

Aby tymczasowo wyłączyć uruchamianie programu, usuń zaznaczenie pola obok jego wpisu. Uwaga: to nie nie zakończyć program, jeśli jest uruchomiony – to jedynie uniemożliwia jego uruchomienie Kolejny czas. Aby trwale uniemożliwić uruchomienie programu, całkowicie usuń wpis (użyj przycisku Kasować lub kliknij prawym przyciskiem myszy i wybierz Kasować z menu kontekstowego)). Uwaga: to nie nie usuń program z komputera – aby go całkowicie usunąć, musisz odinstalować program (lub w inny sposób usunąć go z dysku twardego).

Podejrzane oprogramowanie

Nabycie biegłości w identyfikacji złośliwego oprogramowania może wymagać sporego doświadczenia (czytaj „próby i błędy”). Większość wpisów prezentowanych w Autoruns to legalne programy, nawet jeśli ich nazwy nie są ci znane. Oto kilka wskazówek, które pomogą Ci odróżnić złośliwe oprogramowanie od legalnego oprogramowania:

  • Jeśli wpis jest podpisany cyfrowo przez wydawcę oprogramowania (tzn. istnieje wpis w Wydawca kolumna) lub zawiera „Opis”, to jest duża szansa, że ​​jest to prawidłowe
  • Jeśli rozpoznajesz nazwę oprogramowania, zwykle jest w porządku. Pamiętaj, że czasami złośliwe oprogramowanie „podszywa się” pod legalne oprogramowanie, ale przybiera nazwę identyczną lub podobną do oprogramowania, które znasz (np. „AcrobatLauncher” lub „PhotoshopBrowser”). Należy również pamiętać, że wiele złośliwych programów przyjmuje ogólne lub nieszkodliwie brzmiące nazwy, takie jak „Diskfix” lub „SearchHelper” (obie wymienione poniżej).
  • Wpisy dotyczące złośliwego oprogramowania zwykle pojawiają się na Zalogować się zakładka Autoruns (ale nie zawsze!)
  • Jeśli otworzysz folder zawierający plik EXE lub DLL (więcej na ten temat poniżej), sprawdź datę „ostatniej modyfikacji”, daty często pochodzą z ostatnich kilku dni (zakładając, że Twoja infekcja jest dość niedawna)
  • Złośliwe oprogramowanie często znajduje się w folderze C:Windows lub C:WindowsSystem32
  • Złośliwe oprogramowanie często ma tylko ogólną ikonę (po lewej stronie nazwy wpisu)

W razie wątpliwości kliknij wpis prawym przyciskiem myszy i wybierz Szukaj online…

Poniższa lista zawiera dwa podejrzanie wyglądające wpisy: Diskfix i SzukajPomocnik

1626968483 333 Uzyj Autoruns aby recznie wyczyscic zainfekowany komputer


Te wpisy, wyróżnione powyżej, są dość typowe dla infekcji złośliwym oprogramowaniem:

  • Nie mają opisów ani wydawców
  • Mają nazwy rodzajowe
  • Pliki znajdują się w C:WindowsSystem32
  • Mają ogólne ikony
  • Nazwy plików to losowe ciągi znaków
  • Jeśli zajrzysz do folderu C:WindowsSystem32 i zlokalizujesz pliki, zobaczysz, że są to jedne z ostatnio zmodyfikowanych plików w folderze (patrz poniżej)

Podejrzane wpisy w folderze System32

Dwukrotne kliknięcie elementów przeniesie Cię do odpowiednich kluczy rejestru:

Podejrzane wpisy w Rejestrze

Usuwanie złośliwego oprogramowania

Po zidentyfikowaniu wpisów, które uważasz za podejrzane, musisz teraz zdecydować, co chcesz z nimi zrobić. Twoje wybory obejmują:

  • Tymczasowo wyłącz wpis Autorun
  • Usuń trwale wpis Autorun
  • Zlokalizuj uruchomiony proces (za pomocą Menedżera zadań lub podobnego) i zakończ go
  • Usuń plik EXE lub DLL z dysku (lub przynajmniej przenieś go do folderu, w którym nie zostanie automatycznie uruchomiony)

lub wszystkie powyższe, w zależności od tego, na ile masz pewność, że program jest złośliwym oprogramowaniem.

Aby sprawdzić, czy zmiany się powiodły, musisz ponownie uruchomić komputer i sprawdzić dowolne lub wszystkie z poniższych:

  • Autoruns – aby sprawdzić, czy wpis powrócił
  • Menedżer zadań (lub podobny) – aby sprawdzić, czy program został uruchomiony ponownie po ponownym uruchomieniu
  • Sprawdź zachowanie, które doprowadziło Cię do przekonania, że ​​Twój komputer został zainfekowany. Jeśli to już się nie dzieje, prawdopodobnie Twój komputer jest teraz czysty

Wniosek

To rozwiązanie nie jest dla wszystkich i najprawdopodobniej jest przeznaczone dla zaawansowanych użytkowników. Zwykle korzystanie z wysokiej jakości aplikacji antywirusowej załatwia sprawę, ale jeśli nie, Autoruns jest cennym narzędziem w zestawie Anti-Malware.


Pamiętaj, że niektóre złośliwe oprogramowanie jest trudniejsze do usunięcia niż inne. Czasami potrzebujesz kilku iteracji powyższych kroków, a każda iteracja wymaga dokładniejszego przyjrzenia się każdemu wpisowi Autorun. Czasami w momencie usunięcia wpisu Autorun uruchomione złośliwe oprogramowanie zastępuje ten wpis. Kiedy tak się dzieje, musimy bardziej agresywnie eliminować złośliwe oprogramowanie, w tym eliminować programy (nawet legalne programy, takie jak Explorer.exe), które są zainfekowane plikami DLL złośliwego oprogramowania.

Wkrótce opublikujemy artykuł o tym, jak identyfikować, lokalizować i kończyć procesy, które reprezentują legalne programy, ale uruchamiają zainfekowane biblioteki DLL, aby można je było usunąć z systemu.

Pobierz Autoruns z SysInternals

Czy ten post był pomocny?