Использование автозапуска для ручной очистки зараженного ПК

Использование автозапуска для ручной очистки зараженного ПК
Использование автозапуска для ручной очистки зараженного ПК

Видео: Использование автозапуска для ручной очистки зараженного ПК

Видео: Использование автозапуска для ручной очистки зараженного ПК
Видео: Установил полноценный Windows на смартфон. Жесть! - YouTube 2024, Май
Anonim

Есть много программ защиты от вредоносных программ, которые будут очищать вашу систему гадостей, но что произойдет, если вы не сможете использовать такую программу? Автозапуск от SysInternals (недавно приобретенный Microsoft) незаменим при удалении вредоносных программ вручную.

Существует несколько причин, по которым вам может потребоваться вручную удалить вирусы и шпионские программы:

  • Возможно, вы не можете выполнять запущенные ресурсоемкие и инвазивные антивирусные программы на вашем ПК

  • Возможно, вам придется очистить компьютер вашей мамы (или кто-то еще, кто не понимает, что на веб-сайте появляется большой мигающий знак, в котором говорится: «Ваш компьютер заражен вирусом - нажмите ЗДЕСЬ, чтобы удалить его» - это не сообщение, которое обязательно может быть доверенный)

  • Вредоносная программа настолько агрессивна, что она не поддерживает все попытки автоматического ее удаления или даже не позволяет устанавливать антивирусное ПО
  • Часть вашего кредо-разработчика - это убеждение, что утилиты для защиты от шпионских программ предназначены для слабых сторон

Autoruns - неоценимое дополнение к любому программному инструментарию geek. Он позволяет отслеживать и контролировать все программы (и компоненты программы), которые автоматически запускаются с Windows (или с помощью Internet Explorer). Практически все вредоносные программы предназначены для автоматического запуска, поэтому есть очень сильный шанс, что его можно обнаружить и удалить с помощью Autoruns.

Мы рассмотрели, как использовать Autoruns в более ранней статье, которую вы должны прочитать, если вам нужно сначала ознакомиться с программой.

Автозапуск - это автономная утилита, которая не требуется устанавливать на ваш компьютер. Его можно просто загрузить, распаковать и запустить (ссылка ниже). Это идеально подходит для добавления в вашу портативную коллекцию утилиты на флеш-накопителе.

При первом запуске Autoruns на компьютере вам предоставляется лицензионное соглашение:

После согласования условий открывается главное окно Autoruns, в котором отображается полный список всего программного обеспечения, которое будет запускаться при запуске вашего компьютера при входе в систему или при открытии Internet Explorer:
После согласования условий открывается главное окно Autoruns, в котором отображается полный список всего программного обеспечения, которое будет запускаться при запуске вашего компьютера при входе в систему или при открытии Internet Explorer:
Image
Image

Чтобы временно отключить запуск программы, снимите флажок рядом с ее входом. Примечание. Это делает не завершите программу, если она работает в то время, - она просто препятствует ее запуску следующий время. Чтобы навсегда предотвратить запуск программы, полностью удалите запись (используйте удалять или щелкните правой кнопкой мыши и выберите удалять из контекстного меню)). Примечание. Это делает не удалите программу со своего компьютера - чтобы полностью удалить ее, вам необходимо удалить программу (или удалить ее иным образом с жесткого диска).

Подозрительное программное обеспечение

Он может принять справедливый опыт (прочитайте «проб и ошибок»), чтобы стать искусным в определении того, что такое вредоносное ПО, а что нет. Большинство записей, представленных в Autoruns, являются законными программами, даже если их имена незнакомы вам. Вот несколько советов, которые помогут вам отличить вредоносное ПО от законного программного обеспечения:

  • Если запись подписана цифровой подписью издателем программного обеспечения (т. Е. Есть запись в издатель столбец) или имеет «Описание», тогда есть хороший шанс, что это законно

  • Если вы узнаете имя программного обеспечения, то это нормально. Обратите внимание, что иногда вредоносное ПО «выдаёт себя за законное программное обеспечение», но использует имя, идентичное или похожее на программное обеспечение, с которым вы знакомы (например, «AcrobatLauncher» или «PhotoshopBrowser»). Также имейте в виду, что многие вредоносные программы используют общие или безобидные имена, такие как «Diskfix» или «SearchHelper» (оба упомянуты ниже).

  • Записи вредоносных программ обычно появляются на Вход в систему вкладка Autoruns (но не всегда!)

  • Если вы откроете папку, в которой находится EXE или DLL-файл (подробнее об этом ниже), проверьте дату последнего изменения, даты часто происходят с последних нескольких дней (при условии, что ваша инфекция довольно недавняя)

  • Вредоносная программа часто находится в папке C: Windows или в папке C: Windows System32
  • Вредоносная программа часто имеет только общий значок (слева от названия записи)

Если есть сомнения, щелкните правой кнопкой мыши запись и выберите Поиск в Интернете …

В приведенном ниже списке показаны две подозрительные записи: Diskfix а также SearchHelper

Эти записи, выделенные выше, довольно типичны для заражения вредоносными программами:
Эти записи, выделенные выше, довольно типичны для заражения вредоносными программами:

  • У них нет ни описаний, ни издательств

  • У них есть общие имена

  • Файлы находятся в папке C: Windows System32

  • У них есть общие значки

  • Имена файлов представляют собой случайные строки символов

  • Если вы посмотрите в папку C: Windows System32 и найдите файлы, вы увидите, что они являются одними из последних измененных файлов в папке (см. Ниже)
Двойной щелчок по элементам приведет вас к соответствующим разделам реестра:
Двойной щелчок по элементам приведет вас к соответствующим разделам реестра:
Image
Image

Удаление вредоносных программ

Как только вы определили записи, которые, как вы считаете, были подозрительными, теперь вам нужно решить, что вы хотите с ними делать. Ваш выбор включает:

  • Временно отключите запись автозапуска

  • Навсегда удалить запись автозапуска

  • Найдите выполняемый процесс (используя диспетчер задач или аналогичный) и завершите его
  • Удалите EXE или DLL-файл с вашего диска (или, по крайней мере, переместите его в папку, где он не будет автоматически запущен)

или все вышеперечисленное, в зависимости от того, насколько вы уверены в том, что программа является вредоносным ПО.

Чтобы убедиться, что ваши изменения преуспели, вам необходимо перезагрузить компьютер и проверить все или все из следующих действий:

  • Автозапуска - чтобы увидеть, вернулась ли запись

  • Диспетчер задач (или аналогичный) - чтобы увидеть, была ли программа запущена снова после перезагрузки

  • Проверьте поведение, которое заставило вас поверить, что ваш компьютер был заражен в первую очередь. Если этого больше не происходит, есть вероятность, что ваш компьютер теперь чист

Заключение

Это решение не для всех и, скорее всего, предназначено для продвинутых пользователей. Обычно использование качественного антивирусного приложения делает трюк, но если не Autoruns - это ценный инструмент в вашем наборе Anti-Malware.

Имейте в виду, что некоторые вредоносные программы сложнее удалить, чем другие. Иногда вам нужно несколько итераций шагов выше, с каждой итерацией, требующей, чтобы вы более внимательно относились к каждой записи Autorun. Иногда, когда вы удаляете запись Autorun, вредоносное ПО, которое работает, заменяет запись. Когда это происходит, мы должны стать более агрессивными в нашем убийстве вредоносного ПО, включая завершающие программы (даже законные программы, такие как Explorer.exe), которые заражены вредоносными DLL-файлами.

Вскоре мы опубликуем статью о том, как идентифицировать, находить и завершать процессы, которые представляют собой законные программы, но запускают зараженные DLL, чтобы эти библиотеки DLL могли быть удалены из системы.

Загрузка автозапуска из SysInternals

Рекомендуемые:

Использование автозапуска для работы с процессами запуска и вредоносными программами

Использование автозапуска для работы с процессами запуска и вредоносными программами

У большинства вундеркиндов есть свой выбор для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 8, - но ни один из них не обладает такими же мощными возможностями, как Autoruns, что также является нашим уроком по программе Geek School сегодня.

Как использовать компакт-диск Avira Rescue для очистки зараженного ПК

Как использовать компакт-диск Avira Rescue для очистки зараженного ПК

Когда у вас есть ПК, полностью зараженный вирусами, иногда лучше перезагрузиться на аварийный диск и запустить полную проверку на вирусы оттуда. Вот как использовать компакт-диск Avira Rescue для очистки зараженного ПК.

Как использовать Kaspersky Rescue Disk для очистки зараженного ПК

Как использовать Kaspersky Rescue Disk для очистки зараженного ПК

Когда вы имеете дело с ПК, который полностью заражен вирусами, иногда самое лучшее, что нужно сделать, это перезагрузка на аварийный диск и запуск полного сканирования вирусов оттуда. Вот как использовать Kaspersky Rescue Disk для очистки зараженного ПК.

Средство подсистемы Microsoft Standalone System Sweeper, средство восстановления для зараженного ПК с ОС Windows

Средство подсистемы Microsoft Standalone System Sweeper, средство восстановления для зараженного ПК с ОС Windows

Средство автономной системы Microsoft Sweeper можно использовать, если вы не можете запустить или установить антивирусное решение на своем ПК.

Элегантная клавиатура и мышь ручной работы Bamboo для вашего компьютера

Элегантная клавиатура и мышь ручной работы Bamboo для вашего компьютера

Impecca предлагает 100-процентные натуральные бамбуковые биоразлагаемые, экологически чистые аксессуары. К ним относятся хорошо продуманная клавиатура и мышь.