Существует множество антивирусных программ, которые очистят вашу систему от неприятностей, но что произойдет, если вы не сможете использовать такую программу? Автозапуск от SysInternals (недавно приобретенный Microsoft) незаменим при удалении вредоносных программ вручную.
Существует несколько причин, по которым вам может потребоваться удалить вирусы и шпионское ПО вручную:
- Возможно, вы не можете использовать ресурсоемкие и агрессивные антивирусные программы на своем ПК.
- Возможно, вам придется почистить компьютер вашей мамы (или кого-то еще, кто не понимает, что большой мигающий знак на веб-сайте, который говорит: «Ваш компьютер заражен вирусом – нажмите ЗДЕСЬ, чтобы удалить его», это не сообщение, которое обязательно может быть доверенный)
- Вредоносная программа настолько агрессивна, что противостоит всем попыткам ее автоматического удаления или даже не позволяет устанавливать антивирусное ПО.
- Часть вашего увлеченного кредо – вера в то, что антишпионские утилиты предназначены для слабаков
Autoruns является бесценным дополнением к программному обеспечению любого гика. Это позволяет вам отслеживать и контролировать все программы (и программные компоненты), которые запускаются автоматически с Windows (или с Internet Explorer). Практически все вредоносные программы предназначены для автоматического запуска, поэтому существует очень высокая вероятность того, что они могут быть обнаружены и удалены с помощью автозапуска.
Мы рассмотрели, как использовать автозапуск в предыдущей статье, которую вы должны прочитать, если вам необходимо сначала ознакомиться с программой.
Autoruns – это отдельная утилита, которую не нужно устанавливать на ваш компьютер. Его можно просто загрузить, распаковать и запустить (ссылка ниже). Это делает идеально подходит для добавления в вашу коллекцию портативных утилит на флешке.
Когда вы впервые запускаете автозапуск на компьютере, вам предоставляется лицензионное соглашение:
После принятия условий откроется главное окно автозапуска, в котором показан полный список всех программ, которые будут запускаться при запуске компьютера, при входе в систему или при открытии Internet Explorer:
Чтобы временно отключить запуск программы, снимите флажок рядом с ее записью. Примечание. Это не завершает программу, если она выполняется в данный момент, а просто предотвращает запуск в следующий раз . Чтобы навсегда запретить запуск программы, полностью удалите запись (используйте клавишу Удалить или щелкните правой кнопкой мыши и выберите Удалить в контекстном меню)). Примечание. Это не удаляет программу с вашего компьютера – чтобы полностью удалить ее, необходимо удалить программу (или иным образом удалить ее с жесткого диска).
Подозрительное программное обеспечение
Может потребоваться немало опыта (читай «методом проб и ошибок»), чтобы научиться определять, что такое вредоносное ПО, а что нет. Большинство записей, представленных в Autoruns, являются законными программами, даже если их имена вам незнакомы. Вот несколько советов, которые помогут вам отличить вредоносное ПО от легального программного обеспечения:
- Если запись имеет цифровую подпись издателя программного обеспечения (т. Е. Есть запись в столбце Publisher ) или имеет «Описание», то есть хороший шанс, что она является законной
- Если вы узнаете название программного обеспечения, то обычно все в порядке. Обратите внимание, что иногда вредоносное ПО будет «олицетворять» законное программное обеспечение, но при этом будет иметь имя, идентичное или похожее на программное обеспечение, с которым вы знакомы (например, «AcrobatLauncher» или «PhotoshopBrowser»). Также имейте в виду, что многие вредоносные программы используют общие или безвредно звучащие имена, такие как «Diskfix» или «SearchHelper» (оба упомянуты ниже).
- Записи о вредоносных программах обычно отображаются на вкладке Вход в автозапуске (но не всегда!)
- Если вы открываете папку, содержащую файл EXE или DLL (подробнее об этом ниже), изучите дату «последнего изменения», даты часто относятся к последним нескольким дням (при условии, что ваша инфекция довольно недавняя)
- Вредоносное ПО часто находится в папке C: \ Windows или в папке C: \ Windows \ System32.
- Вредоносное ПО часто имеет только общий значок (слева от названия записи)
Если вы сомневаетесь, нажмите на запись правой кнопкой мыши и выберите Поиск в Интернете… .
В списке ниже показаны две подозрительно выглядящие записи: Diskfix и SearchHelper .
Эти записи, выделенные выше, довольно типичны для вредоносных программ:
- У них нет ни описаний, ни издателей
- У них есть общие имена
- Файлы расположены в C: \ Windows \ System32
- У них есть общие иконки
- Имена файлов представляют собой случайные строки символов
- Если вы загляните в папку C: \ Windows \ System32 и найдете файлы, вы увидите, что они являются одними из самых последних измененных файлов в папке (см. Ниже).
Двойной щелчок по элементам приведет вас к соответствующим ключам реестра:
Удаление вредоносных программ
После того, как вы определили записи, которые вы считаете подозрительными, вам нужно решить, что вы хотите с ними делать. Ваш выбор включает в себя:
- Временно отключить запись автозапуска
- Удалить запись автозапуска без возможности восстановления
- Найдите запущенный процесс (с помощью диспетчера задач или аналогичный) и завершите его
- Удалите файл EXE или DLL с вашего диска (или, по крайней мере, переместите его в папку, где он не будет запускаться автоматически)
или все вышеперечисленное, в зависимости от того, насколько вы уверены, что программа является вредоносной программой.
Чтобы убедиться, что ваши изменения были успешными, вам нужно перезагрузить компьютер и проверить одно или все из следующего:
- Автозапуск – чтобы увидеть, вернулась ли запись
- Диспетчер задач (или аналогичный) – чтобы увидеть, была ли программа запущена снова после перезагрузки
- Проверьте поведение, которое заставило вас поверить, что ваш компьютер был заражен в первую очередь. Если это больше не происходит, скорее всего, ваш компьютер теперь чист
Заключение
Это решение не для всех и, скорее всего, предназначено для опытных пользователей. Обычно использование качественного антивирусного приложения делает свое дело, но если нет, автозапуск является ценным инструментом в вашем наборе Anti-Malware.
Имейте в виду, что некоторые вредоносные программы сложнее удалить, чем другие. Иногда вам требуется несколько итераций описанных выше шагов, при этом каждая итерация требует от вас более тщательного изучения каждой записи автозапуска. Иногда, как только вы удаляете запись автозапуска, работающее вредоносное ПО заменяет запись. Когда это происходит, мы должны стать более агрессивными в нашем убийстве вредоносных программ, в том числе и в программах-прерывателях (даже таких легитимных программах, как Explorer.exe), которые заражены вредоносными DLL-библиотеками.
В скором времени мы опубликуем статью о том, как идентифицировать, определять местонахождение и завершать процессы, которые представляют легитимные программы, но на которых запущены зараженные библиотеки DLL, чтобы эти библиотеки DLL можно было удалить из системы.
Скачать автозапуск с SysInternals
