Sử dụng Autorun để dọn dẹp PC bị nhiễm thủ công
Có rất nhiều chương trình chống phần mềm độc hại ngoài kia sẽ dọn sạch hệ thống của bạn, nhưng điều gì xảy ra nếu bạn không thể sử dụng một chương trình như vậy? Autorun, từ SysIternals (được Microsoft mua lại gần đây), không thể thiếu khi xóa phần mềm độc hại theo cách thủ công.
Có một vài lý do tại sao bạn có thể cần phải loại bỏ vi-rút và phần mềm gián điệp theo cách thủ công:
- Có lẽ bạn không thể tuân theo việc chạy các chương trình chống phần mềm độc hại và xâm lấn tài nguyên trên PC của bạn
- Bạn có thể cần phải dọn dẹp máy tính của mẹ bạn (hoặc người khác không hiểu rằng một dấu hiệu nhấp nháy lớn trên trang web có nội dung Máy tính của bạn bị nhiễm vi-rút - nhấp vào ĐÂY để xóa nó. đáng tin cậy)
- Phần mềm độc hại mạnh đến mức nó chống lại mọi nỗ lực tự động xóa phần mềm hoặc thậm chí sẽ không cho phép bạn cài đặt phần mềm chống phần mềm độc hại
- Một phần của sự đáng tin cậy của bạn là niềm tin rằng các tiện ích chống phần mềm gián điệp dành cho wimps
Autorun là một bổ sung vô giá cho bất kỳ bộ công cụ phần mềm nào. Nó cho phép bạn theo dõi và kiểm soát tất cả các chương trình (và các thành phần chương trình) bắt đầu tự động với Windows (hoặc với Internet Explorer). Hầu như tất cả các phần mềm độc hại được thiết kế để bắt đầu tự động, vì vậy rất có khả năng nó có thể được phát hiện và loại bỏ với sự trợ giúp của Autorun.
Chúng tôi đã đề cập đến cách sử dụng Autorun trong một bài viết trước, bạn nên đọc nếu trước tiên bạn cần làm quen với chương trình.
Autorun là một tiện ích độc lập không cần cài đặt trên máy tính của bạn. Nó có thể được tải xuống, giải nén và chạy đơn giản (liên kết bên dưới). Điều này là lý tưởng phù hợp để thêm vào bộ sưu tập tiện ích di động của bạn trên ổ đĩa flash của bạn.
Khi bạn khởi động Autorun lần đầu tiên trên máy tính, bạn sẽ được cung cấp thỏa thuận cấp phép:
Sau khi đồng ý với các điều khoản, cửa sổ Tự động chạy chính sẽ mở ra, hiển thị cho bạn danh sách đầy đủ tất cả các phần mềm sẽ chạy khi máy tính của bạn khởi động, khi bạn đăng nhập hoặc khi bạn mở Internet Explorer:
Để tạm thời vô hiệu hóa chương trình khởi chạy, bỏ chọn hộp bên cạnh mục nhập của nó. Lưu ý: Điều này không không phải chấm dứt chương trình nếu nó đang chạy vào thời điểm đó - nó chỉ ngăn chương trình bắt đầu kế tiếp thời gian. Để ngăn chặn vĩnh viễn một chương trình khởi chạy, hãy xóa mục nhập hoàn toàn (sử dụng Xóa bỏ Phím hoặc nhấp chuột phải và chọn Xóa bỏ từ menu ngữ cảnh)). Lưu ý: Điều này không không phải gỡ bỏ chương trình khỏi máy tính của bạn - để xóa nó hoàn toàn, bạn cần gỡ cài đặt chương trình (hoặc nếu không thì xóa nó khỏi đĩa cứng của bạn).
Phần mềm đáng ngờ
Có thể mất một chút kinh nghiệm (đọc bản dùng thử và lỗi lỗi) để trở nên lão luyện trong việc xác định phần mềm độc hại là gì và phần nào không. Hầu hết các mục được trình bày trong Autorun là các chương trình hợp pháp, ngay cả khi tên của chúng không quen thuộc với bạn. Dưới đây là một số mẹo giúp bạn phân biệt phần mềm độc hại với phần mềm hợp pháp:
- Nếu một mục nhập được ký điện tử bởi nhà xuất bản phần mềm (nghĩa là có một mục trong Nhà xuất bản cột) hoặc có một Mô tả của người nổi tiếng, thì rất có thể đó là hợp pháp
- Nếu bạn nhận ra tên của phần mềm, thì nó thường ổn. Lưu ý rằng đôi khi phần mềm độc hại sẽ lừa đảo phần mềm hợp pháp, nhưng sử dụng một tên giống hệt hoặc tương tự với phần mềm mà bạn quen thuộc (ví dụ: Ac Ac AcLiluncher, hoặc Photoshop PhotoshopBrowser). Ngoài ra, hãy lưu ý rằng nhiều chương trình phần mềm độc hại áp dụng các tên nghe có vẻ chung chung hoặc vô hại, chẳng hạn như, Disk Diskfix hay hoặc Search SearchHelper tựa (cả hai được đề cập dưới đây).
- Các mục phần mềm độc hại thường xuất hiện trên Đăng nhập tab Autorun (nhưng không phải lúc nào cũng vậy!)
- Nếu bạn mở thư mục chứa tệp EXE hoặc DLL (nhiều hơn về điều này bên dưới), hãy kiểm tra ngày ngày sửa đổi cuối cùng của LINE, ngày thường diễn ra trong vài ngày qua (giả sử rằng sự lây nhiễm của bạn khá gần đây)
- Phần mềm độc hại thường nằm trong thư mục C: \ Windows hoặc thư mục C: \ Windows \ System32
- Phần mềm độc hại thường chỉ có một biểu tượng chung (bên trái tên của mục nhập)
Nếu nghi ngờ, bấm chuột phải vào mục và chọn Tìm kiếm trực tuyến
Danh sách dưới đây cho thấy hai mục đáng ngờ: Tiền tố và Tìm kiếm
Các mục này, được đánh dấu ở trên, là khá điển hình của nhiễm phần mềm độc hại:
- Họ không có mô tả cũng không phải nhà xuất bản
- Họ có tên chung
- Các tệp được đặt trong C: \ Windows \ System32
- Họ có biểu tượng chung
- Tên tệp là các chuỗi ký tự ngẫu nhiên
- Nếu bạn xem trong thư mục C: \ Windows \ System32 và định vị các tệp, bạn sẽ thấy rằng chúng là một số tệp được sửa đổi gần đây nhất trong thư mục (xem bên dưới)
Nhấp đúp vào các mục sẽ đưa bạn đến các khóa đăng ký tương ứng của họ:
Loại bỏ phần mềm độc hại
Khi bạn đã xác định các mục mà bạn cho là đáng ngờ, bây giờ bạn cần quyết định những gì bạn muốn làm với chúng. Sự lựa chọn của bạn bao gồm:
- Tạm thời vô hiệu hóa mục nhập Autorun
- Xóa vĩnh viễn mục nhập Autorun
- Xác định vị trí quá trình đang chạy (sử dụng Trình quản lý tác vụ hoặc tương tự) và chấm dứt nó
- Xóa tệp EXE hoặc DLL khỏi đĩa của bạn (hoặc ít nhất là di chuyển nó vào thư mục nơi nó sẽ không được tự động bắt đầu)
hoặc tất cả những điều trên, tùy thuộc vào mức độ chắc chắn của bạn rằng chương trình là phần mềm độc hại.
Để xem các thay đổi của bạn có thành công hay không, bạn sẽ cần khởi động lại máy và kiểm tra bất kỳ hoặc tất cả những điều sau đây:
- Tự động chạy - để xem mục đã trở lại chưa
- Trình quản lý tác vụ (hoặc tương tự) - để xem chương trình có được khởi động lại sau khi khởi động lại không
- Kiểm tra hành vi khiến bạn tin rằng PC của bạn đã bị nhiễm ngay từ đầu. Nếu nó không còn xảy ra nữa, rất có thể PC của bạn đã sạch
Phần kết luận
Giải pháp này không dành cho tất cả mọi người và rất có thể hướng đến người dùng cao cấp. Thông thường sử dụng một ứng dụng Antivirus chất lượng thực hiện thủ thuật, nhưng nếu không Autorun là một công cụ có giá trị trong bộ phần mềm chống phần mềm độc hại của bạn.
Hãy nhớ rằng một số phần mềm độc hại khó loại bỏ hơn những phần mềm khác. Đôi khi bạn cần một vài lần lặp lại các bước ở trên, với mỗi lần lặp lại yêu cầu bạn xem xét kỹ hơn ở mỗi mục nhập Autorun. Đôi khi, ngay lập tức bạn xóa mục nhập Autorun, phần mềm độc hại đang chạy thay thế mục nhập. Khi điều này xảy ra, chúng ta cần trở nên mạnh mẽ hơn trong việc ám sát phần mềm độc hại, bao gồm cả việc chấm dứt các chương trình (ngay cả các chương trình hợp pháp như Explorer.exe) bị nhiễm DLL phần mềm độc hại.
Chúng tôi sẽ sớm xuất bản một bài viết về cách xác định, định vị và chấm dứt các quy trình đại diện cho các chương trình hợp pháp nhưng đang chạy các DLL bị nhiễm, để các DLL đó có thể bị xóa khỏi hệ thống.
Tải xuống Autorun từ SysIternals