Домашняя » как » Используйте автозапуск для очистки зараженного компьютера вручную

    Используйте автозапуск для очистки зараженного компьютера вручную

    Существует множество антивирусных программ, которые очистят вашу систему от неприятностей, но что произойдет, если вы не сможете использовать такую ​​программу? Автозапуск от SysInternals (недавно приобретенный Microsoft) необходим при удалении вредоносных программ вручную..

    Существует несколько причин, по которым вам может потребоваться удалить вирусы и шпионское ПО вручную:

    • Возможно, вы не можете продолжать использовать ресурсоемкие и агрессивные антивирусные программы на вашем ПК
    • Возможно, вам придется почистить компьютер вашей мамы (или кого-то еще, кто не понимает, что большой мигающий знак на веб-сайте, который говорит: «Ваш компьютер заражен вирусом - нажмите ЗДЕСЬ, чтобы удалить его», это не сообщение, которое обязательно может быть доверенный)
    • Вредоносная программа настолько агрессивна, что противостоит всем попыткам ее автоматического удаления или даже не позволяет устанавливать антивирусное ПО.
    • Часть вашего увлеченного кредо - вера в то, что антишпионские утилиты предназначены для слабаков

    Autoruns является бесценным дополнением к программному обеспечению любого гика. Он позволяет отслеживать и контролировать все программы (и программные компоненты), которые автоматически запускаются в Windows (или в Internet Explorer). Практически все вредоносные программы предназначены для автоматического запуска, поэтому существует очень высокая вероятность того, что они могут быть обнаружены и удалены с помощью автозапуска.

    Мы рассмотрели, как использовать автозапуск в предыдущей статье, которую вы должны прочитать, если вам нужно сначала ознакомиться с программой.

    Autoruns - это отдельная утилита, которую не нужно устанавливать на ваш компьютер. Его можно просто загрузить, распаковать и запустить (ссылка ниже). Это делает идеально подходит для добавления в вашу коллекцию портативных утилит на флешке.

    Когда вы впервые запускаете автозапуск на компьютере, вам предоставляется лицензионное соглашение:

    После принятия условий откроется главное окно автозапуска с полным списком всех программ, которые будут запускаться при запуске компьютера, при входе в систему или при открытии Internet Explorer:

    Чтобы временно отключить запуск программы, снимите флажок рядом с ее записью. Примечание: это делает не завершить программу, если она запущена в данный момент - это просто предотвращает ее запуск следующий время. Чтобы навсегда предотвратить запуск программы, удалите запись целиком (используйте удалять ключ или щелкните правой кнопкой мыши и выберите удалять из контекстного меню)). Примечание: это делает не удалить программу с вашего компьютера - чтобы полностью удалить ее, вам нужно удалить программу (или удалить ее с жесткого диска иным способом).

    Подозрительное ПО

    Может потребоваться немало опыта (читай «методом проб и ошибок»), чтобы научиться определять, что такое вредоносное ПО, а что нет. Большинство записей, представленных в Autoruns, являются законными программами, даже если их имена вам незнакомы. Вот несколько советов, которые помогут вам отличить вредоносное ПО от легального программного обеспечения:

    • Если запись имеет цифровую подпись издателя программного обеспечения (то есть запись в издатель столбец) или имеет «Описание», то есть хороший шанс, что это законно
    • Если вы узнаете название программного обеспечения, то это нормально. Обратите внимание, что иногда вредоносное ПО будет «олицетворять» законное программное обеспечение, но при этом его имя будет идентичным или похожим на то, с которым вы знакомы (например, «AcrobatLauncher» или «PhotoshopBrowser»). Также имейте в виду, что многие вредоносные программы используют общие или безвредно звучащие имена, такие как «Diskfix» или «SearchHelper» (обе упомянутые ниже).
    • Записи о вредоносных программах обычно появляются на Вход в систему вкладка автозапуска (но не всегда!)
    • Если вы откроете папку, содержащую файл EXE или DLL (подробнее об этом ниже), изучите дату «последнего изменения», даты часто бывают из последних нескольких дней (при условии, что ваша инфекция довольно недавняя)
    • Вредоносное ПО часто находится в папке C: \ Windows или в папке C: \ Windows \ System32.
    • Вредоносное ПО часто имеет только общий значок (слева от названия записи)

    Если сомневаетесь, щелкните правой кнопкой мыши на записи и выберите Поиск в Интернете ...

    В списке ниже показаны две подозрительно выглядящие записи: Diskfix а также SearchHelper

    Эти записи, выделенные выше, довольно типичны для вредоносных программ:

    • У них нет ни описаний, ни издателей
    • У них есть общие имена
    • Файлы расположены в C: \ Windows \ System32
    • У них есть общие иконки
    • Имена файлов представляют собой случайные строки символов
    • Если вы загляните в папку C: \ Windows \ System32 и найдете файлы, вы увидите, что они являются одними из самых последних измененных файлов в папке (см. Ниже).

    Двойной щелчок по элементам приведет вас к соответствующим ключам реестра:

    Удаление вредоносных программ

    После того, как вы определили записи, которые вы считаете подозрительными, вам нужно решить, что вы хотите с ними делать. Ваш выбор включает в себя:

    • Временно отключите запись автозапуска
    • Удалить запись автозапуска без возможности восстановления
    • Найдите запущенный процесс (с помощью диспетчера задач или аналогичный) и завершите его
    • Удалите файл EXE или DLL с вашего диска (или, по крайней мере, переместите его в папку, где он не будет запускаться автоматически)

    или все вышеперечисленное, в зависимости от того, насколько вы уверены, что программа является вредоносной.

    Чтобы убедиться, что ваши изменения были успешными, вам нужно перезагрузить компьютер и проверить одно или все из следующего:

    • Автозапуск - чтобы увидеть, вернулась ли запись
    • Диспетчер задач (или аналогичный) - чтобы увидеть, была ли программа запущена снова после перезагрузки
    • Проверьте поведение, которое заставило вас поверить, что ваш компьютер был заражен в первую очередь. Если это больше не происходит, скорее всего, ваш компьютер теперь чист

    Заключение

    Это решение не для всех и, скорее всего, предназначено для опытных пользователей. Обычно использование качественного антивирусного приложения делает свое дело, но если нет, автозапуск является ценным инструментом в вашем наборе Anti-Malware.

    Имейте в виду, что некоторые вредоносные программы сложнее удалить, чем другие. Иногда вам требуется несколько итераций описанных выше шагов, причем каждая итерация требует от вас более внимательного изучения каждой записи автозапуска. Иногда, как только вы удаляете запись автозапуска, работающая вредоносная программа заменяет запись. Когда это происходит, мы должны стать более агрессивными в нашем убийстве вредоносного ПО, включая прекращение работы программ (даже таких легитимных программ, как Explorer.exe), зараженных вредоносными DLL-библиотеками..

    В скором времени мы опубликуем статью о том, как идентифицировать, определять местоположение и завершать процессы, которые представляют легитимные программы, но на которых запущены зараженные библиотеки DLL, чтобы эти библиотеки DLL можно было удалить из системы..

    Скачать автозапуск с SysInternals