Puhdista tartunnan saaneen PC manuaalisesti käyttämällä Autorunsia
On olemassa monia anti-malware-ohjelmia, jotka puhdistavat nasties-järjestelmän, mutta mitä tapahtuu, jos et pysty käyttämään tällaista ohjelmaa? Autoruns, SysInternals (äskettäin Microsoft hankki), on välttämätön haittaohjelmien poistamiseksi manuaalisesti.
On olemassa muutamia syitä, joiden vuoksi sinun on ehkä poistettava virukset ja vakoiluohjelmat manuaalisesti:
- Ehkä et voi noudattaa käynnissä olevia resurssien nälkäisiä ja invasiivisia haittaohjelmien torjuntaohjelmia tietokoneellasi
- Sinun täytyy ehkä puhdistaa äitisi tietokone (tai joku muu, joka ei ymmärrä, että suuri vilkkuva merkki verkkosivustolla, jossa sanotaan, että "tietokone on saanut viruksen - napsauta HERE poistaaksesi sen" ei ole viesti, joka voi välttämättä olla luotettu)
- Haittaohjelma on niin aggressiivinen, että se vastustaa kaikkia yrityksiä poistaa se automaattisesti, tai ei edes salli haittaohjelmien torjuntaohjelmien asentamista
- Osa geek-luottoistasi on usko, että vakoiluohjelmien apuohjelmat ovat wimps-sovelluksia
Autoruns on korvaamaton lisä jokaiselle geek-ohjelmistopaketille. Sen avulla voit seurata ja hallita kaikkia ohjelmia (ja ohjelmakomponentteja), jotka alkavat automaattisesti Windowsin (tai Internet Explorerin) kanssa. Lähes kaikki haittaohjelmat on suunniteltu käynnistymään automaattisesti, joten on olemassa erittäin vahva mahdollisuus, että se voidaan havaita ja poistaa Autorunsin avulla.
Olemme kattaneet, miten Autorunsia käytetään aikaisemmassa artikkelissa, jonka pitäisi lukea, jos sinun täytyy ensin tutustua ohjelmaan.
Autoruns on itsenäinen apuohjelma, jota ei tarvitse asentaa tietokoneeseen. Se on helppo ladata, purkaa ja suorittaa (linkki alla). Tämä soveltuu erinomaisesti kannettavaan apuohjelman kokoamiseen flash-asemaan.
Kun käynnistät Autorunsin ensimmäistä kertaa tietokoneessa, sinulle esitetään lisenssisopimus:
Kun olet hyväksynyt ehdot, Autoruns-pääikkuna avautuu, jolloin näet täydellisen luettelon kaikista ohjelmistoista, jotka käynnistyvät, kun tietokone käynnistyy, kun kirjaudut sisään tai kun avaat Internet Explorerin:
Jos haluat poistaa ohjelman väliaikaisesti käytöstä, poista valinta sen merkinnän vierestä. Huomautus: Tämä tapahtuu ei lopeta ohjelma, jos se toimii tuolloin - se vain estää sitä käynnistymästä Seuraava aika. Jos haluat estää ohjelman pysyvästi käynnistämisen, poista merkintä kokonaan (käytä Poistaa tai napsauta hiiren kakkospainikkeella ja valitse Poistaa kontekstivalikosta)). Huomautus: Tämä tapahtuu ei poista ohjelma tietokoneesta - poistaaksesi sen kokonaan sinun on poistettava ohjelma (tai muuten poistettava se kiintolevyltä).
Epäilyttävä ohjelmisto
Se voi kestää reilun kokemuksen (lue "kokeiluversio"), jotta voisit ymmärtää, mikä on haittaohjelma ja mikä ei ole. Useimmat Autorunsissa esitetyistä merkinnöistä ovat oikeutettuja ohjelmia, vaikka heidän nimensä eivät olekaan sinulle tuntemattomia. Seuraavassa on muutamia vinkkejä, joiden avulla voit erottaa haittaohjelmat laillisesta ohjelmistosta:
- Jos ohjelmistojulkaisija allekirjoittaa digitaalisen merkinnän (so Kustantaja sarakkeessa) tai sillä on ”Kuvaus”, sitten on hyvä mahdollisuus, että se on oikeutettua
- Jos tunnistat ohjelmiston nimen, se on yleensä kunnossa. Huomaa, että toisinaan haittaohjelma "tuntee" oikeutettua ohjelmistoa, mutta hyväksyy nimen, joka on samanlainen tai samanlainen kuin tuttu ohjelmisto (esim. "AcrobatLauncher" tai "PhotoshopBrowser"). Huomaa myös, että monet haittaohjelmat ottavat käyttöön yleisiä tai vaarattomia kuulostavia nimiä, kuten "Diskfix" tai "SearchHelper" (molemmat mainitaan alla).
- Haittaohjelmien merkinnät näkyvät yleensä Kirjautua sisään Autorunsin välilehti (mutta ei aina!)
- Jos avaat EXE- tai DLL-tiedoston sisältävän kansion (lisätietoja tästä), tutki viimeisin muutettu päivämäärä, päivämäärät ovat usein viime päivinä (olettaen, että infektio on melko uusi)
- Haittaohjelmat sijaitsevat usein C: Windows-kansiossa tai C: Windows System32-kansiossa
- Haittaohjelmalla on usein vain yleinen kuvake (merkinnän nimen vasemmalla puolella)
Jos olet epävarma, napsauta merkintää hiiren kakkospainikkeella ja valitse Hae verkossa…
Alla olevassa luettelossa on kaksi epäilyttävää hakua: Diskfix ja SearchHelper
Nämä edellä mainitut merkinnät ovat melko tyypillisiä haittaohjelmatartunnoille:
- Heillä ei ole kuvauksia eikä kustantajia
- Niillä on yleisnimet
- Tiedostot sijaitsevat C: ssä: Windows System32
- Niillä on yleisiä kuvakkeita
- Tiedostonimet ovat merkkien satunnaisia merkkijonoja
- Jos näet C: Windows System32 -kansiossa ja etsit tiedostot, näet, että ne ovat joitakin viimeksi muokattuja kansiossa olevia tiedostoja (katso alla)
Kaksoisnapsauttamalla kohteet vievät sinut vastaaviin rekisteriavaimiin:
Haittaohjelmien poistaminen
Kun olet tunnistanut epäilyttävät oletukset, sinun on nyt päätettävä, mitä haluat tehdä niiden kanssa. Valintasi ovat:
- Poista automaattinen syöttö tilapäisesti käytöstä
- Poista Autorun-merkintä pysyvästi
- Etsi käynnissä oleva prosessi (käyttämällä Task Manageria tai vastaavaa) ja lopeta se
- Poista EXE- tai DLL-tiedosto levyltä (tai siirrä se ainakin kansioon, jossa sitä ei käynnistetä automaattisesti)
tai kaikki edellä mainitut, riippuen siitä, miten varma olet, että ohjelma on haittaohjelma.
Jos haluat nähdä, ovatko muutokset onnistuneet, sinun on käynnistettävä laite uudelleen ja tarkistettava jokin seuraavista:
- Autoruns - nähdä, onko merkintä palautettu
- Tehtävienhallinta (tai vastaava) - voit tarkistaa, onko ohjelma käynnistetty uudelleen uudelleenkäynnistyksen jälkeen
- Tarkista käyttäytyminen, joka johti sinuun uskomaan, että tietokoneesi tarttui ensiksi. Jos se ei enää tapahdu, on todennäköistä, että tietokone on nyt puhdas
johtopäätös
Tämä ratkaisu ei ole kaikille ja se on todennäköisesti suunnattu kehittyneille käyttäjille. Yleensä käyttämällä laadukasta virustorjuntaohjelmaa temppu, mutta jos ei, Autoruns on arvokas työkalu Anti-Malware-paketissa.
Muista, että joitakin haittaohjelmia on vaikeampi poistaa kuin toiset. Joskus tarvitset useita vaiheita yllä olevista vaiheista, ja jokainen iterointi vaatii sinua tarkastelemaan tarkemmin jokaisella automaattisen tulon kohdalla. Joskus automaattinen merkintä poistetaan heti, kun käynnissä oleva haittaohjelma korvaa merkinnän. Kun näin tapahtuu, meidän on tultava aggressiivisemmiksi haittaohjelmien murhasta, mukaan lukien ohjelmien lopettaminen (jopa lailliset ohjelmat, kuten Explorer.exe), jotka ovat tartunnanneet haittaohjelmien DLL-ohjelmiin.
Pian julkaisemme artikkelin siitä, miten tunnistaa, paikantaa ja lopettaa prosessit, jotka edustavat laillisia ohjelmia, mutta jotka käyttävät tartunnan saaneita DLL-tiedostoja, jotta nämä DLL-tiedostot voidaan poistaa järjestelmästä.
Lataa Autoruns SysInternalsilta