Autoruns gebruiken om opstartprocessen en malware aan te pakken
De meeste nerds hebben hun gereedschap bij uitstek om te gaan met processen die automatisch opstarten, of dat nu MS Config, CCleaner of zelfs Task Manager is in Windows 8 - maar geen enkele is zo krachtig als Autoruns, wat ook onze Geek School-les is voor vandaag.
SCHOOLNAVIGATIE- Wat zijn de SysInternals-hulpmiddelen en hoe gebruikt u ze??
- Procesverkenner begrijpen
- Procesverkenner gebruiken om problemen op te lossen en te stellen
- Procesmonitor begrijpen
- Procesmonitor gebruiken om registerhacks op te sporen en te vinden
- Autoruns gebruiken om opstartprocessen en malware aan te pakken
- BGInfo gebruiken om systeeminformatie op het bureaublad weer te geven
- PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
- Analyse en beheer van uw bestanden, mappen en stations
- Inpakken en de hulpmiddelen samen gebruiken
Vroeger begon de software automatisch automatisch door een vermelding toe te voegen aan de map Opstarten in het menu Start of door een waarde toe te voegen aan de sleutel Uitvoeren in het register, maar doordat mensen en software meer gewiekst werden in het vinden van ongewenste items en het verwijderen ervan , de makers van dubieuze software begonnen manieren te vinden om meer en meer stiekem te worden.
Deze schaduwrijke crapware-bedrijven begonnen uit te zoeken hoe ze hun software automatisch konden laden via browserhelperobjecten, services, stuurprogramma's, geplande taken en zelfs via een aantal uiterst geavanceerde technieken zoals image hijacks en AppInit_dlls.
Het handmatig controleren van elk van deze voorwaarden zou niet alleen tijdrovend zijn, maar bijna onmogelijk voor de gemiddelde persoon.
Dat is waar Autoruns binnenkomt en de dag redt. Natuurlijk, je kunt Process Explorer gebruiken om door de proceslijst te bladeren en diep in threads en handles te duiken, en Process Monitor kan erachter komen welke registersleutels worden geopend door welk proces en je ongelofelijke hoeveelheden informatie laten zien. Maar geen van beide stopt met het opnieuw laden van crapware of malware de volgende keer dat u uw pc opstart.
Natuurlijk is een slimme strategie om alle drie samen te gebruiken. Process Explorer ziet wat er momenteel wordt uitgevoerd en gebruikt uw CPU en geheugen, Process Monitor ziet wat de toepassing onder de motorkap doet en vervolgens komt Autoruns om dingen op te ruimen zodat ze niet terugkomen.
Met Autoruns kunt u vrijwel elk ding zien dat automatisch op uw computer wordt geladen, en het uitschakelen net zo eenvoudig als klikken op een selectievakje. Het is ongelooflijk eenvoudig te gebruiken en bijna vanzelfsprekend, behalve enkele van de echt ingewikkelde dingen die je moet weten om te begrijpen wat sommige tabbladen eigenlijk betekenen. Dat is wat deze les gaat leren.
Werken met de Autoruns-interface
U kunt de Autoruns-tool van de SysInternals-website net als de rest pakken en zonder installeren uitvoeren. U wilt dat doen voordat u doorgaat.
Notitie: Autoruns hoeft niet te worden uitgevoerd als beheerder, maar realistisch gezien is het het meest logisch om dat gewoon te doen, omdat er een paar functies zijn die anders niet werken en de kans groot is dat uw malware ook als beheerder wordt uitgevoerd.
Wanneer u de interface voor het eerst start, ziet u een massa tabbladen en een lijst met dingen die automatisch op uw computer worden gestart. Het standaard tabblad Alles toont alles van elk tabblad, maar het kan een beetje verwarrend en langdurig zijn, dus we raden aan om elk tabblad afzonderlijk door te nemen.
Het is vermeldenswaard dat Autoruns standaard alles bevat dat in Windows is ingebouwd en is ingesteld om automatisch te starten. U kunt het weergeven van die items in de opties inschakelen, maar we zouden het niet aanbevelen.
Items uitschakelen
Om een item in de lijst uit te schakelen, kunt u het selectievakje gewoon verwijderen. Dat is alles wat je hoeft te doen, ga gewoon door de lijst en verwijder alles wat je niet nodig hebt, start je computer opnieuw op en voer hem opnieuw uit om te controleren of alles goed is.
Notitie: sommige malware controleert constant de locaties waar ze automatisch starten activeren en zet de waarde onmiddellijk terug. U kunt de F5-toets gebruiken om opnieuw te scannen en om te zien of de items zijn teruggekomen nadat ze zijn uitgeschakeld. Als een van hen weer verschijnt, moet u Process Explorer gebruiken om die malware op te schorten of te beëindigen voordat u deze hier uitschakelt.
De kleuren
Zoals de meeste SysInternals-hulpmiddelen kunnen de items in de lijst verschillende kleuren zijn, en dit is wat ze betekenen:
- Roze - dit betekent dat er geen uitgeversinformatie is gevonden of dat codeverificatie is ingeschakeld, betekent dat de digitale handtekening niet bestaat of niet overeenkomt, of dat er geen informatie over de uitgever is.
- Groen - deze kleur wordt gebruikt bij vergelijking met een eerdere set Autoruns-gegevens om een item aan te geven dat er de vorige keer niet was.
- Geel - de startup-vermelding is er, maar het bestand of de taak waarnaar het verwijst, bestaat niet meer.
Net als bij de meeste SysInternals-hulpmiddelen, kunt u met de rechtermuisknop op een item klikken en een aantal acties uitvoeren, waaronder naar het item of de afbeelding springen (het eigenlijke bestand in Explorer). U kunt online zoeken naar de naam van het proces of de gegevens in de kolom, de gedetailleerde eigenschappen bekijken, of zien of dat item wordt uitgevoerd door snel te zoeken in Process Explorer - hoewel veel processen een loader hebben die dan iets anders opslaat voordat afsluiten, dus gewoon omdat die functie geen resultaten laat zien, betekent niets.
Als u op Jump to Entry hebt geklikt, gaat u rechtstreeks naar de Register-editor, waar u die bepaalde registersleutel kunt zien en rondkijken. Als het item iets anders was, wordt u mogelijk naar een ander hulpprogramma geleid, zoals de Taakplanner. De realiteit is dat Autoruns meestal dezelfde informatie direct in de interface weergeeft, dus u hoeft zich meestal niet te storen, tenzij u meer wilt weten.
In het menu Gebruiker kunt u een ander gebruikersaccount analyseren, wat erg handig kan zijn als u Autoruns op een ander account op dezelfde computer hebt geladen. Het is vermeldenswaard dat u uiteraard als beheerder moet worden uitgevoerd om andere gebruikersaccounts op de pc te zien.
Codehandtekeningen verifiëren
Het menu-item Filteropties brengt u naar een optiepaneel waar u een zeer nuttige optie kunt selecteren: Codehandtekeningen verifiëren. Hiermee wordt gecontroleerd of elke digitale handtekening is geanalyseerd en geverifieerd en worden de resultaten direct in het venster weergegeven. U zult opmerken dat alle items in het roze in de onderstaande schermafbeelding niet zijn geverifieerd of dat de informatie van de uitgever niet bestaat.
En voor extra krediet, merkt u misschien dat deze schermafbeelding hieronder bijna hetzelfde is als die vlakbij het begin, behalve in dat ene van de items in de lijst die niet als roze zijn gemarkeerd. Het verschil is dat Autoruns standaard zonder de optie Codeignaturen verifiëren ingeschakeld is, u alleen waarschuwt met de roze rij als er geen informatie over de uitgever bestaat.
Analyseer een offline systeem (zoals bij het aansluiten van een harde schijf op een andere pc)
Stel je voor dat de computer van je vriend volledig in de war is en dat beide niet zullen opstarten of gewoon zo langzaam opstarten dat je het niet echt kunt gebruiken. U hebt opties voor veilige modus en herstel geprobeerd, zoals Systeemherstel, maar dat doet er niet toe, omdat het onbruikbaar is.
In plaats van de "herinstallatiekaart" te trekken, wat vaak de "ik geef" -kaart is, kunt u de harde schijf eruit rukken en aansluiten op uw pc of laptop met uw handige USB-harde schijfdock. Je hebt er wel een, toch? Daarna laad je gewoon Autoruns op en ga je naar Bestand -> Offline systeem analyseren.
Blader naar de Windows-map op de andere harde schijf en het gebruikersprofiel van de gebruiker die u probeert te diagnosticeren, en klik op OK om te starten.
Je hebt natuurlijk schrijftoegang tot de schijf nodig, want je wilt de instellingen opslaan om alle onzin die je uiteindelijk opdoet te verwijderen.
Vergelijken met een andere pc (of vorige schone installatie)
De File -> Compare-optie lijkt onlogisch, maar het kan een van de krachtigste manieren zijn om een pc te analyseren en te zien wat er is toegevoegd sinds de laatste keer dat je gescand hebt, of om te vergelijken met een bekende schone pc.
Om deze functie te gebruiken, laadt u Autoruns op de pc die u probeert te inspecteren, of gebruikt u de offline modus die we eerder hebben beschreven en gaat u naar Bestand -> Vergelijken. Alles dat is toegevoegd sinds de versie van het vergeleken bestand wordt weergegeven in fel groen. Zo simpel is het. Als u een nieuwe versie wilt opslaan, gebruikt u de optie Bestand -> Opslaan.
Als je echt een professional wilt zijn, kun je een schone configuratie opslaan vanaf een nieuwe installatie van Windows en die op een flashstation zetten om mee te nemen. Sla een nieuwe versie op elke keer dat u een pc voor de eerste keer aanraakt, zodat u snel kunt zien welke nieuwe crapware door de eigenaar is toegevoegd.
Kijken naar de tabbladen
Zoals je tot nu toe hebt gezien, is Autoruns een zeer eenvoudig maar krachtig hulpprogramma dat waarschijnlijk door bijna iedereen kan worden gebruikt. Ik bedoel, het enige wat je hoeft te doen is een vakje uitzetten, toch? Het is echter nuttig om wat meer informatie te hebben over wat al deze tabbladen betekenen, dus we zullen u hier proberen te leren.
Volgende pagina: Aanmelden, Geplande taken en Beeldkaping