Startpagina » hoe » Gebruik Autoruns om handmatig een geïnfecteerde pc te reinigen

    Gebruik Autoruns om handmatig een geïnfecteerde pc te reinigen

    Er zijn veel anti-malware programma's die je systeem van nasties zullen opruimen, maar wat gebeurt er als je een dergelijk programma niet kunt gebruiken? Autoruns, van SysInternals (onlangs overgenomen door Microsoft), is onmisbaar bij het handmatig verwijderen van malware.

    Er zijn een paar redenen waarom u mogelijk handmatig virussen en spyware moet verwijderen:

    • Misschien kun je niet vasthouden aan het runnen van resource-hongerige en invasieve anti-malware programma's op je pc
    • U moet mogelijk de computer van uw moeder reinigen (of iemand anders die niet begrijpt dat een groot knipperend bord op een website waarop staat "Uw computer is geïnfecteerd met een virus - klik HIER om het te verwijderen") is geen bericht dat noodzakelijkerwijs kan zijn vertrouwd)
    • De malware is zo agressief dat deze bestand is tegen alle pogingen om deze automatisch te verwijderen of zelfs om anti-malware software te installeren
    • Een deel van je geek credo is de overtuiging dat anti-spyware utilities voor souteneurs zijn

    Autoruns is een onschatbare toevoeging aan de toolkit van elke nerdsoftware. Hiermee kunt u alle programma's (en programmacomponenten) die automatisch starten met Windows (of met Internet Explorer) volgen en besturen. Vrijwel alle malware is ontworpen om automatisch te starten, dus er is een zeer grote kans dat het kan worden gedetecteerd en verwijderd met de hulp van Autoruns.

    We hebben behandeld hoe u Autoruns in een eerder artikel kunt gebruiken, dat u moet lezen als u eerst vertrouwd wilt raken met het programma.

    Autoruns is een zelfstandig hulpprogramma dat niet op uw computer hoeft te worden geïnstalleerd. Het kan eenvoudig worden gedownload, uitgepakt en uitgevoerd (link hieronder). Dit maakt het uitermate geschikt om toe te voegen aan je draagbare utility-collectie op je flash-drive.

    Wanneer u Autoruns voor de eerste keer start op een computer, krijgt u de licentieovereenkomst te zien:

    Nadat u akkoord bent gegaan met de voorwaarden, wordt het hoofdvenster van Autoruns geopend met daarin de volledige lijst met alle software die wordt uitgevoerd wanneer uw computer wordt gestart, wanneer u inlogt of wanneer u Internet Explorer opent:

    Om een ​​programma tijdelijk uit te schakelen, verwijdert u het vinkje uit het selectievakje naast het item. Opmerking: dit doet niet beëindig het programma als het op dat moment draait - het voorkomt alleen dat het start volgende tijd. Als u wilt voorkomen dat een programma wordt gestart, verwijdert u het item helemaal (gebruik de Verwijder sleutel, of klik met de rechtermuisknop en kies Verwijder vanuit het context-menu)). Opmerking: dit doet niet verwijder het programma van uw computer - om het volledig te verwijderen moet u het programma verwijderen (of anders het van uw harde schijf verwijderen).

    Verdachte software

    Het kan nogal wat ervaring kosten (lees "vallen en opstaan") om bedreven in te worden in het identificeren van wat malware is en wat niet. De meeste inzendingen in Autoruns zijn legitieme programma's, zelfs als hun namen onbekend voor u zijn. Hier zijn enkele tips om u te helpen de malware te onderscheiden van de legitieme software:

    • Als een item digitaal is ondertekend door een software-uitgever (dat wil zeggen, er is een vermelding in de Uitgeverij kolom) of heeft een "Beschrijving", dan is er een grote kans dat het legitiem is
    • Als je de naam van de software herkent, dan is het meestal goed. Houd er rekening mee dat malware zich soms voordoet als "legitieme software", maar een naam gebruikt die identiek is aan of vergelijkbaar is met software die u kent (bijvoorbeeld "AcrobatLauncher" of "PhotoshopBrowser"). Houd er ook rekening mee dat veel malwareprogramma's generieke of onschuldig klinkende namen aannemen, zoals "Diskfix" of "SearchHelper" (beide hieronder vermeld).
    • Malware-vermeldingen verschijnen meestal op de Inloggen tab van Autoruns (maar niet altijd!)
    • Als u de map opent die het EXE- of DLL-bestand bevat (meer hierover hieronder), onderzoekt u de "laatst gewijzigde" datum, de datums zijn vaak van de laatste paar dagen (ervan uitgaande dat uw infectie tamelijk recent is)
    • Malware bevindt zich vaak in de map C: \ Windows of de map C: \ Windows \ System32
    • Malware heeft vaak alleen een generiek pictogram (links van de naam van het item)

    Klik in geval van twijfel met de rechtermuisknop op het item en selecteer Zoek online ...

    De onderstaande lijst toont twee verdacht uitziende vermeldingen: Diskfix en SearchHelper

    Deze hierboven gemarkeerde items zijn vrij typerend voor malware-infecties:

    • Ze hebben geen beschrijvingen noch uitgevers
    • Ze hebben generieke namen
    • De bestanden bevinden zich in C: \ Windows \ System32
    • Ze hebben generieke pictogrammen
    • De bestandsnamen zijn willekeurige tekenreeksen
    • Als u in de map C: \ Windows \ System32 kijkt en de bestanden zoekt, ziet u dat dit enkele van de laatst gewijzigde bestanden in de map zijn (zie hieronder).

    Als u dubbelklikt op de items, gaat u naar de bijbehorende registersleutels:

    De malware verwijderen

    Zodra u de vermeldingen die u als verdacht beschouwt, hebt geïdentificeerd, moet u nu beslissen wat u ermee wilt doen. Je keuzes omvatten:

    • Schakel het Autorun-item tijdelijk uit
    • Verwijder de Autorun-invoer definitief
    • Zoek het lopende proces (met Taakbeheer of iets dergelijks) en beëindig het
    • Verwijder het EXE- of DLL-bestand van uw schijf (of verplaats het in ieder geval naar een map waar het niet automatisch wordt gestart)

    of al het bovenstaande, afhankelijk van hoe zeker je bent dat het programma malware is.

    Om te zien of uw wijzigingen zijn gelukt, moet u uw machine opnieuw opstarten en een of meer van de volgende zaken controleren:

    • Autoruns - om te zien of het item is teruggekeerd
    • Taakbeheer (of vergelijkbaar) - om te zien of het programma opnieuw is gestart na het opnieuw opstarten
    • Controleer het gedrag waardoor je denkt dat je pc in de eerste plaats is geïnfecteerd. Als het niet meer gebeurt, is de kans groot dat je pc nu schoon is

    Conclusie

    Deze oplossing is niet voor iedereen en is waarschijnlijk gericht op ervaren gebruikers. Meestal doet een antivirusprogramma van goede kwaliteit het goed, maar zo niet, dan is Autoruns een waardevol hulpmiddel in uw anti-malwareset..

    Houd er rekening mee dat sommige malware moeilijker te verwijderen is dan andere. Soms hebt u meerdere iteraties nodig van de bovenstaande stappen, waarbij elke iteratie vereist dat u elke Autorun-invoer nauwkeuriger bekijkt. Soms is het moment dat u het Autorun-item verwijdert, de malware die wordt uitgevoerd, de invoer vervangen. Wanneer dit gebeurt, moeten we agressiever worden in onze moord op de malware, inclusief beëindiging van programma's (zelfs legitieme programma's zoals Explorer.exe) die zijn geïnfecteerd met malware-DLL's.

    Binnenkort publiceren we een artikel over het identificeren, lokaliseren en beëindigen van processen die legitieme programma's vertegenwoordigen, maar waarin geïnfecteerde DLL's worden uitgevoerd, zodat die DLL's uit het systeem kunnen worden verwijderd.

    Autoruns downloaden van SysInternals