Головна » як » Використовуйте автозапуски для ручного очищення зараженого ПК

    Використовуйте автозапуски для ручного очищення зараженого ПК

    Є багато анти-шкідливих програм, які очистять вашу систему неточностей, але що станеться, якщо ви не зможете скористатися такою програмою? Засоби автозапуску від SysInternals (нещодавно придбані компанією Microsoft) є незамінним при ручному видаленні шкідливих програм.

    Існує декілька причин, чому вам потрібно видалити віруси та шпигунські програми вручну:

    • Можливо, ви не можете виконувати запущені в ресурсах і інвазивні анти-шкідливі програми на вашому ПК
    • Можливо, вам доведеться очистити комп'ютер вашої мами (або хтось інший, хто не розуміє, що великий мигаючий знак на сайті, який говорить: "Ваш комп'ютер заражений вірусом - натисніть ТУТ, щоб видалити його" - це не повідомлення, яке може бути довірений)
    • Шкідливе програмне забезпечення настільки агресивне, що протистоїть всім спробам його автоматичного видалення або не дозволить навіть встановити антивірусне програмне забезпечення
    • Частина вашого комп'ютерного кредо є переконання, що анти-шпигунські утиліти для слабаків

    Autoruns є безцінним доповненням до програмного забезпечення будь-якого виродка. Вона дозволяє відстежувати і контролювати всі програми (і компоненти програми), які запускаються автоматично за допомогою Windows (або з Internet Explorer). Практично вся шкідлива програма розроблена для автоматичного запуску, тому існує дуже велика ймовірність того, що її можна виявити та видалити за допомогою автозапуску.

    Ми розглянули, як використовувати автозапуски в попередній статті, яку ви повинні прочитати, якщо вам потрібно спочатку ознайомитися з програмою.

    Autoruns - це окрема утиліта, яку не потрібно встановлювати на вашому комп'ютері. Його можна просто завантажити, розпакувати і запустити (посилання нижче). Це робить його ідеально підходить для додавання до вашої колекції портативних утиліт на флеш-накопичувачі.

    Коли ви запускаєте автозапуски вперше на комп'ютері, вам буде надано ліцензійну угоду:

    Після прийняття цих умов відкриється головне вікно автозапуску, у якому буде показано повний список всього програмного забезпечення, яке буде запускатися під час запуску комп'ютера, під час входу в систему або під час відкриття браузера Internet Explorer.

    Щоб тимчасово відключити програму від запуску, зніміть прапорець поруч із його записом. Примітка ні завершити програму, якщо вона запущена в той час - вона просто запобігає її запуску далі час. Щоб назавжди запобігти запуску програми, видаліть запис повністю (використовуйте Видалити або клацніть правою кнопкою миші та виберіть Видалити з контекстного меню)). Примітка ні видалити програму з комп'ютера - щоб повністю видалити її, потрібно видалити програму (або видалити її з жорсткого диска).

    Підозріле програмне забезпечення

    Це може зайняти чимало досвіду (прочитати “проб і помилок”), щоб стати адептом у виявленні того, що таке шкідливе програмне забезпечення, а що ні. Більшість записів, представлених у автозапуску, є законними програмами, навіть якщо їхні імена вам незнайомі. Нижче наведено кілька порад, які допоможуть вам відрізнити шкідливе програмне забезпечення від законного програмного забезпечення.

    • Якщо запис у цифровій формі підписано видавцем програмного забезпечення (тобто у запиті є запис Видавець стовпчик) або має опис, то є хороший шанс, що це є законним
    • Якщо ви впізнаєте ім'я програмного забезпечення, то зазвичай це нормально. Зауважте, що іноді шкідливе програмне забезпечення «видає себе» за законне програмне забезпечення, але приймає ім'я, яке ідентичне або подібне до програмного забезпечення, яке ви знайомі (наприклад, «AcrobatLauncher» або «PhotoshopBrowser»). Також пам'ятайте, що багато шкідливих програм приймають загальні або нешкідливі назви, такі як "Diskfix" або "SearchHelper" (обидва вказані нижче).
    • Записи зловмисного програмного забезпечення зазвичай з'являються на Увійти вкладки автозапуску (але не завжди!)
    • Якщо ви відкриєте папку, яка містить файл EXE або DLL (докладніше про це нижче), перевірте дату "останньої модифікації", дати часто з останніх декількох днів (припускаючи, що ваша інфекція досить недавньо)
    • Зловмисне програмне забезпечення часто знаходиться в папці C: Windows або папці C: Windows System32
    • Шкідлива програма часто має лише загальний значок (зліва від назви запису)

    Якщо ви сумніваєтеся, клацніть запис правою кнопкою миші та виберіть Пошук в Інтернеті…

    У списку нижче показано дві підозрілі записи: Diskfix і SearchHelper

    Ці записи, виділені вище, досить типові для шкідливих програм:

    • Вони не мають ні описів, ні видавців
    • Вони мають загальні назви
    • Файли знаходяться в папці C: Windows System32
    • Вони мають загальні іконки
    • Імена файлів є випадковими рядками символів
    • Якщо ви подивитеся в папку C: Windows System32 і знайдете файли, ви побачите, що вони є деякими з останніх змінених файлів у папці (див. Нижче).

    Двічі клацнувши елементи, ви перейдете до відповідних розділів реєстру:

    Видалення шкідливого програмного забезпечення

    Після того, як ви визначите записи, які, на вашу думку, є підозрілими, тепер потрібно вирішити, що ви хочете зробити з ними. Ваш вибір включає:

    • Тимчасово вимкніть запис автозапуску
    • Постійно видалити запис автозапуску
    • Знайдіть запущений процес (за допомогою диспетчера завдань або подібне) і припиніть його
    • Видаліть файл EXE або DLL з вашого диска (або принаймні перемістіть його до папки, де він не буде автоматично запущений)

    або все вищезазначене, залежно від того, наскільки ви певні, що програма є шкідливим.

    Щоб дізнатися, чи змінилися ваші зміни, потрібно перезавантажити машину та перевірити будь-який з наступних:

    • Autoruns - щоб побачити, чи повернуто запис
    • Диспетчер завдань (або подібний) - щоб побачити, чи програма була запущена знову після перезавантаження
    • Перевірте поведінку, яка привела вас до того, що ваш комп'ютер був заражений. Якщо це більше не відбувається, ймовірно, що ваш комп'ютер зараз чистий

    Висновок

    Це рішення не для всіх і, швидше за все, призначене для досвідчених користувачів. Зазвичай, використовуючи якісне антивірусне програмне забезпечення, це спрацьовує, але якщо це не так, автозапуски є цінним інструментом у вашому наборі антивірусних програм.

    Майте на увазі, що деякі зловмисні програми важче видалити, ніж інші. Іноді потрібно кілька ітерацій вищевказаних кроків, причому кожна ітерація вимагає уважнішого перегляду кожного запису автозапуску. Іноді, коли ви вилучите запис автозапуску, запущена шкідлива програма замінює запис. Коли це відбувається, ми повинні стати більш агресивними в нашому вбивстві зловмисного програмного забезпечення, включаючи припинення програм (навіть легітимних програм, таких як Explorer.exe), які заражені DLL-шкідливими програмами.

    Незабаром ми опублікуємо статтю про те, як ідентифікувати, знайти і припинити процеси, які представляють легітимні програми, але запущені інфіковані DLL, щоб ці DLL могли бути видалені з системи.

    Завантажити Autoruns від SysInternals