Autoruns gebruiken om een ​​geïnfecteerde pc handmatig op te schonen

Er zijn veel anti-malwareprogramma's die je systeem van vervelende dingen zullen opschonen, maar wat gebeurt er als je zo'n programma niet kunt gebruiken? Autoruns, van SysInternals (recent overgenomen door Microsoft), is onmisbaar bij het handmatig verwijderen van malware.

Er zijn een paar redenen waarom u virussen en spyware mogelijk handmatig moet verwijderen:

  • Misschien kunt u het niet verdragen om resource-hongerige en invasieve anti-malwareprogramma's op uw pc te draaien
  • Mogelijk moet je de computer van je moeder opschonen (of iemand anders die niet begrijpt dat een groot knipperend teken op een website dat zegt dat je computer is geïnfecteerd met een virus - klik HIER om het te verwijderen, geen bericht is dat per se kan worden vertrouwd)
  • De malware is zo agressief dat het alle pogingen weerstaat om het automatisch te verwijderen, of je zelfs niet toestaat om anti-malwaresoftware te installeren
  • Een deel van je geek credo is de overtuiging dat anti-spyware hulpprogramma's voor watjes zijn

Autoruns is een onschatbare aanvulling op de softwaretoolkit van elke nerd. Hiermee kunt u alle programma's (en programmacomponenten) die automatisch starten met Windows (of met Internet Explorer) volgen en besturen. Vrijwel alle malware is ontworpen om automatisch te starten, dus de kans is zeer groot dat deze kan worden gedetecteerd en verwijderd met behulp van Autoruns.



We hebben in een eerder artikel besproken hoe u Autoruns kunt gebruiken, dat u moet lezen als u eerst vertrouwd wilt raken met het programma.

Autoruns is een op zichzelf staand hulpprogramma dat niet op uw computer hoeft te worden geïnstalleerd. Het kan eenvoudig worden gedownload, uitgepakt en worden uitgevoerd (link hieronder). Dit maakt het bij uitstek geschikt om toe te voegen aan uw verzameling draagbare hulpprogramma's op uw flashstation.

Wanneer u Autoruns voor de eerste keer op een computer start, krijgt u de licentieovereenkomst te zien:

gebruik-autoruns-om-een-geïnfecteerde-pc-handmatig-schoon te maken foto 1

Nadat u akkoord bent gegaan met de voorwaarden, wordt het hoofdvenster van Autoruns geopend, waarin u de volledige lijst ziet van alle software die wordt uitgevoerd wanneer uw computer opstart, wanneer u zich aanmeldt of wanneer u Internet Explorer opent:

gebruik-autoruns-om-een-geïnfecteerde-pc-handmatig-schoon te maken foto 2

Als u tijdelijk wilt voorkomen dat een programma wordt gestart, schakelt u het selectievakje naast het item uit. Opmerking: dit beëindigt het programma niet als het op dat moment actief is - het voorkomt alleen dat het de volgende keer wordt gestart. Om permanent te voorkomen dat een programma wordt gestart, verwijdert u het item helemaal (gebruik de Delete-toets of klik met de rechtermuisknop en kies Verwijderen in het contextmenu). Opmerking: hiermee wordt het programma niet van uw computer verwijderd. Om het volledig te verwijderen, moet u het programma verwijderen (of het op een andere manier van uw harde schijf verwijderen).

Verdachte software

Het kan behoorlijk wat ervaring vergen (lees vallen en opstaan) om bedreven te worden in het identificeren van wat malware is en wat niet. De meeste items die in Autoruns worden weergegeven, zijn legitieme programma's, zelfs als de namen u niet bekend zijn. Hier zijn enkele tips om u te helpen de malware te onderscheiden van de legitieme software:

  • Als een item digitaal is ondertekend door een software-uitgever (d.w.z. er staat een item in de kolom Uitgever) of een Beschrijving heeft, is de kans groot dat het legitiem is
  • Als u de naam van de software herkent, is dit meestal goed. Merk op dat malware zich af en toe voor legitieme software zal voordoen, maar een naam aanneemt die identiek is aan of lijkt op software waarmee u bekend bent (bijv. AcrobatLauncher of PhotoshopBrowser). Houd er ook rekening mee dat veel malwareprogramma's generieke of onschuldig klinkende namen gebruiken, zoals Diskfix of SearchHelper (beide hieronder genoemd).
  • Malware-items verschijnen meestal op het tabblad Aanmelden van Autoruns (maar niet altijd!)
  • Als u de map opent die het EXE- of DLL-bestand bevat (meer hierover hieronder), en de laatste wijzigingsdatum bekijkt, zijn de datums vaak van de laatste paar dagen (ervan uitgaande dat uw infectie vrij recent is)
  • Malware bevindt zich vaak in de map C:Windows of de map C:WindowsSystem32
  • Malware heeft vaak alleen een generiek pictogram (links van de naam van het item)

Klik bij twijfel met de rechtermuisknop op het item en selecteer Online zoeken...

De onderstaande lijst toont twee verdacht uitziende vermeldingen: Diskfix en SearchHelper

gebruik-autoruns-om-een-geïnfecteerde-pc-handmatig-schoon te maken foto 3

Deze vermeldingen, hierboven gemarkeerd, zijn vrij typerend voor malware-infecties:

  • Ze hebben geen beschrijvingen of uitgevers
  • Ze hebben generieke namen
  • De bestanden bevinden zich in C:WindowsSystem32
  • Ze hebben generieke pictogrammen
  • De bestandsnamen zijn willekeurige tekenreeksen
  • Als u in de map C:WindowsSystem32 kijkt en de bestanden vindt, ziet u dat dit enkele van de meest recent gewijzigde bestanden in de map zijn (zie hieronder)

gebruik-autoruns-om-een-geïnfecteerde-pc-handmatig-schoon te maken foto 4

Dubbelklikken op de items brengt u naar de bijbehorende registersleutels:

gebruik-autoruns-om-een-geïnfecteerde-pc-handmatig-schoon te maken foto 5

De malware verwijderen

Nadat u de vermeldingen heeft geïdentificeerd waarvan u denkt dat ze verdacht zijn, moet u nu beslissen wat u ermee wilt doen. Uw keuzes omvatten:

  • Schakel het item Autorun tijdelijk uit
  • Het Autorun-item permanent verwijderen
  • Lokaliseer het lopende proces (met Taakbeheer of iets dergelijks) en beëindig het
  • Verwijder het EXE- of DLL-bestand van uw schijf (of verplaats het in ieder geval naar een map waar het niet automatisch wordt gestart)

of al het bovenstaande, afhankelijk van hoe zeker u bent dat het programma malware is.

Om te zien of uw wijzigingen zijn gelukt, moet u uw machine opnieuw opstarten en een of meer van de volgende zaken controleren:

  • Autoruns - om te zien of de invoer is teruggekeerd
  • Taakbeheer (of vergelijkbaar) - om te zien of het programma opnieuw is gestart na het opnieuw opstarten
  • Controleer het gedrag waardoor u dacht dat uw pc überhaupt was geïnfecteerd. Als het niet meer gebeurt, is de kans groot dat uw pc nu schoon is

Conclusie

Deze oplossing is niet voor iedereen en is hoogstwaarschijnlijk gericht op geavanceerde gebruikers. Gewoonlijk is het gebruik van een antivirusprogramma van hoge kwaliteit voldoende, maar als dat niet het geval is, is Autoruns een waardevol hulpmiddel in uw Anti-Malware-kit.

Houd er rekening mee dat sommige malware moeilijker te verwijderen is dan andere. Soms hebt u meerdere herhalingen van de bovenstaande stappen nodig, waarbij u voor elke herhaling zorgvuldiger naar elk Autorun-item moet kijken. Soms vervangt de malware die actief is het item op het moment dat u het Autorun-item verwijdert. Wanneer dit gebeurt, moeten we agressiever worden in onze moord op de malware, inclusief het beëindigen van programma's (zelfs legitieme programma's zoals Explorer.exe) die zijn geïnfecteerd met malware-DLL's.

Binnenkort zullen we een artikel publiceren over het identificeren, lokaliseren en beëindigen van processen die legitieme programma's vertegenwoordigen maar geïnfecteerde DLL's uitvoeren, zodat die DLL's van het systeem kunnen worden verwijderd.

Autoruns downloaden van SysInternals

Meer verhalen

Spotify installeren in Ubuntu 9.10 met Wine

Spotify is misschien wel de beste streaming muziekservice die online beschikbaar is. Spotify is beschikbaar onder Windows en Mac. Door Wine te gebruiken, kunt u Spotify echter ook op Ubuntu installeren.

Integreer Boxee met Media Center in Windows 7

Op zoek naar een manier om toegang te krijgen tot meer inhoud via Windows 7 Media Center? Misschien wil je een goede manier om heen en weer te springen tussen Boxee en Media Center met slechts een klik op de afstandsbediening? Vandaag laten we u zien hoe u toegang krijgt tot Boxee via Media Center met Boxee Integration 1.0.

Schakel de vertragingstijd voor Aero Peek in Windows 7 uit of wijzig deze

Bent u op zoek naar een gemakkelijke manier om de vertragingstijd voor Aero Peek in Windows 7 aan te passen of wilt u de functie misschien helemaal uitschakelen? Kijk dan hoe eenvoudig het is om een ​​van beide te doen met de Desktop Peek Tweak.

Vergeet nooit een e-mailbijlage in Outlook te verzenden

We hebben allemaal haastig een e-mail gestuurd, om even later te onthouden dat we waren vergeten het bestand bij te voegen waarvan we zeiden dat we het bij de e-mail hadden gevoegd. Forgotten Attachment Detector is een geweldige, gratis invoegtoepassing voor Microsoft Outlook die u kan helpen dit gênante scenario te vermijden.

Gebruikersaccountbeheer begrijpen in Windows 7

Gebruikersaccountbeheer, ook wel bekend als UAC, werd regelmatig genoemd als een van de problemen van Vista en was zelfs het onderwerp van een Apple-advertentie. Deze functie heeft echter de beveiliging van Vista-computers aanzienlijk verbeterd en vandaag zullen we zien hoe deze is verbeterd in Windows 7.

Speel lawine!! in Google Chrome

Iedereen heeft tijdens de werkdag een paar minuten nodig om te ontspannen en tot rust te komen. Voor sommige mensen is het bezoeken van hun favoriete sociale netwerk de perfecte oplossing, maar als je van games houdt, wil je zeker een kijkje nemen in de Avalanche!! extensie voor Google Chrome.

Vrijdagpret: Mechanisch Commando 2

Het is vrijdag en je bent het zat dat de baas je vertelt over de TPS-rapporten die eraan komen. Tijd om wat plezier te hebben in de bedrijfstijd en het leuke flashspel Mechanical Commando 2 te spelen.

Opstartaanpassingen voor Media Center in Windows 7

Zou je willen dat je meteen in het afspelen van muziek kon springen als je Media Center opent? Of misschien gewoon die opstartanimatie overslaan? Vandaag laten we u verschillende opstartschakelaars zien waarmee u de manier kunt aanpassen waarop Media Center wordt geopend in Windows 7.

Schakel het toetsenbord uit met een sneltoets in Windows

Als je een huisdier of peuter hebt, weet je dat een onbewaakt toetsenbord een ramp is: verwijderde bestanden, verloren werk en moeilijk uit te leggen Facebook-statusupdates zijn nog maar het begin. In dit artikel laten we u zien hoe u uw toetsenbord met één druk op de knop kunt uitschakelen - en natuurlijk

Geek Fun: gevirtualiseerde old school Windows 3.11

Wat heeft een nerd te maken met VMware, extra ruimte op de harde schijf en RAM-geheugen? Waarom het vullen met alle besturingssystemen die hij kan! Voor de lol bekijken we het virtualiseren van een klassieke versie van Windows.