Startseite » wie man » Verwenden Sie Autoruns, um einen infizierten PC manuell zu reinigen

    Verwenden Sie Autoruns, um einen infizierten PC manuell zu reinigen

    Es gibt viele Anti-Malware-Programme, die Ihr System von Unreinheiten befreien, aber was passiert, wenn Sie ein solches Programm nicht verwenden können? Autoruns von SysInternals (kürzlich von Microsoft übernommen) sind für das manuelle Entfernen von Malware unverzichtbar.

    Es gibt einige Gründe, warum Sie Viren und Spyware manuell entfernen müssen:

    • Möglicherweise können Sie keine ressourcenhungrigen und invasiven Anti-Malware-Programme auf Ihrem PC ausführen
    • Möglicherweise müssen Sie den Computer Ihrer Mutter reinigen (oder jemand anderes, der nicht versteht, dass ein großes blinkendes Zeichen auf einer Website mit der Aufschrift "Ihr Computer ist mit einem Virus infiziert ist - klicken Sie HIER, um ihn zu entfernen") nicht unbedingt eine Nachricht Vertrauenswürdige)
    • Die Malware ist so aggressiv, dass sie allen Versuchen widersteht, sie automatisch zu entfernen, oder es Ihnen nicht einmal erlaubt, Anti-Malware-Software zu installieren
    • Zu Ihrem Geek-Credo gehört auch der Glaube, dass Anti-Spyware-Dienstprogramme für Wimps sind

    Autoruns sind eine unschätzbare Ergänzung zum Software-Toolkit jedes Geeks. Damit können Sie alle Programme (und Programmkomponenten), die automatisch mit Windows (oder mit Internet Explorer) gestartet werden, überwachen und steuern. Praktisch die gesamte Malware ist so konzipiert, dass sie automatisch startet. Daher besteht eine sehr hohe Chance, dass sie mit Hilfe von Autoruns erkannt und entfernt werden kann.

    Wir haben in einem früheren Artikel die Verwendung von Autoruns behandelt, die Sie lesen sollten, wenn Sie sich zuerst mit dem Programm vertraut machen müssen.

    Autoruns ist ein eigenständiges Dienstprogramm, das nicht auf Ihrem Computer installiert werden muss. Es kann einfach heruntergeladen, entpackt und ausgeführt werden (Link unten). Dies ist ideal für die Erweiterung Ihrer tragbaren Hilfsprogrammsammlung auf Ihrem Flash-Laufwerk.

    Wenn Sie Autoruns zum ersten Mal auf einem Computer starten, wird die Lizenzvereinbarung angezeigt:

    Nachdem Sie den Bedingungen zugestimmt haben, wird das Hauptfenster von Autoruns geöffnet, in dem die vollständige Liste aller Software angezeigt wird, die beim Starten des Computers, beim Anmelden oder beim Öffnen von Internet Explorer ausgeführt wird:

    Um das Starten eines Programms vorübergehend zu deaktivieren, deaktivieren Sie das Kontrollkästchen neben dem Eintrag. Hinweis: Das tut es nicht Beenden Sie das Programm, wenn es gerade läuft - es verhindert lediglich das Starten Nächster Zeit. Um ein Programm dauerhaft zu verhindern, löschen Sie den gesamten Eintrag (verwenden Sie die Löschen oder klicken Sie mit der rechten Maustaste und wählen Sie Löschen aus dem Kontextmenü)). Hinweis: Das tut es nicht Entfernen Sie das Programm von Ihrem Computer. Um es vollständig zu entfernen, müssen Sie es deinstallieren (oder es anderweitig von Ihrer Festplatte löschen)..

    Verdächtige Software

    Es kann einiges an Erfahrung erfordern (lesen Sie „Versuch und Irrtum“), um sich zu verstehen, was Malware ist und was nicht. Bei den meisten in Autoruns enthaltenen Einträgen handelt es sich um legitime Programme, selbst wenn deren Namen Ihnen unbekannt sind. Hier sind einige Tipps, mit denen Sie die Malware von der legitimen Software unterscheiden können:

    • Wenn ein Eintrag von einem Softwarehersteller digital signiert ist (d. H Herausgeber Spalte) oder hat eine "Beschreibung", dann besteht eine gute Chance, dass es legitim ist
    • Wenn Sie den Namen der Software erkennen, ist dies normalerweise in Ordnung. Beachten Sie, dass Malware legitime Software gelegentlich „annimmt“, wenn Sie jedoch einen Namen verwenden, der mit bekannter oder ähnlicher Software identisch ist (z. B. „AcrobatLauncher“ oder „PhotoshopBrowser“). Beachten Sie auch, dass viele Malware-Programme generische oder harmlos klingende Namen wie "Diskfix" oder "SearchHelper" (beide unten genannt) annehmen..
    • Malware-Einträge erscheinen normalerweise auf der Einloggen Reiter von Autoruns (aber nicht immer!)
    • Wenn Sie den Ordner öffnen, der die EXE- oder DLL-Datei enthält (mehr dazu weiter unten) und das Datum der letzten Änderung überprüfen, werden die Daten häufig aus den letzten Tagen stammen (vorausgesetzt, Ihre Infektion ist relativ neu).
    • Malware befindet sich häufig im Ordner C: \ Windows oder im Ordner C: \ Windows \ System32
    • Malware hat oft nur ein generisches Symbol (links neben dem Namen des Eintrags)

    Klicken Sie im Zweifelsfall mit der rechten Maustaste auf den Eintrag und wählen Sie Online suchen…

    Die folgende Liste zeigt zwei verdächtige Einträge: Diskfix und SearchHelper

    Diese Einträge, die oben hervorgehoben sind, sind ziemlich typisch für Malware-Infektionen:

    • Sie haben weder Beschreibungen noch Verlage
    • Sie haben generische Namen
    • Die Dateien befinden sich in C: \ Windows \ System32
    • Sie haben generische Symbole
    • Die Dateinamen sind zufällige Zeichenfolgen
    • Wenn Sie im Ordner C: \ Windows \ System32 nach den Dateien suchen, werden Sie feststellen, dass es sich um einige der zuletzt geänderten Dateien im Ordner handelt (siehe unten).

    Durch Doppelklicken auf die Elemente gelangen Sie zu den entsprechenden Registrierungsschlüsseln:

    Malware entfernen

    Wenn Sie die Einträge identifiziert haben, die Sie für verdächtig halten, müssen Sie nun entscheiden, was Sie mit ihnen tun möchten. Ihre Auswahl umfasst:

    • Deaktivieren Sie den Autorun-Eintrag vorübergehend
    • Löschen Sie den Autorun-Eintrag dauerhaft
    • Suchen Sie den laufenden Prozess (mit dem Task-Manager oder ähnlichem) und beenden Sie ihn
    • Löschen Sie die EXE- oder DLL-Datei von Ihrer Festplatte (oder verschieben Sie sie mindestens in einen Ordner, in dem sie nicht automatisch gestartet wird).

    oder alle oben genannten, je nachdem, wie sicher Sie sind, dass das Programm Malware ist.

    Um festzustellen, ob Ihre Änderungen erfolgreich waren, müssen Sie Ihren Computer neu starten und Folgendes überprüfen:

    • Autoruns - um zu sehen, ob der Eintrag zurückgekehrt ist
    • Task-Manager (oder ähnliches), um zu sehen, ob das Programm nach dem Neustart erneut gestartet wurde
    • Überprüfen Sie das Verhalten, das Sie zu der Annahme geführt hat, dass Ihr PC überhaupt infiziert wurde. Wenn dies nicht mehr der Fall ist, besteht die Chance, dass Ihr PC jetzt sauber ist

    Fazit

    Diese Lösung ist nicht jedermanns Sache und richtet sich höchstwahrscheinlich an fortgeschrittene Benutzer. Normalerweise ist die Verwendung einer hochwertigen Antivirus-Anwendung der Trick, aber Autoruns ist ein wertvolles Werkzeug in Ihrem Anti-Malware-Kit.

    Beachten Sie, dass manche Malware schwerer zu entfernen ist als andere. Manchmal benötigen Sie mehrere Iterationen der obigen Schritte. Bei jeder Iteration müssen Sie sich jeden Autorun-Eintrag genauer ansehen. In dem Moment, in dem Sie den Autorun-Eintrag entfernen, ersetzt die ausgeführte Malware den Eintrag. Wenn dies geschieht, müssen wir bei der Ermordung der Malware aggressiver werden, einschließlich der Beendigung von Programmen (auch legitimen Programmen wie Explorer.exe), die mit Malware-DLLs infiziert sind.

    In Kürze werden wir einen Artikel zum Identifizieren, Suchen und Beenden von Prozessen veröffentlichen, die legitime Programme darstellen, aber infizierte DLLs ausführen, damit diese DLLs aus dem System gelöscht werden können.

    Laden Sie Autoruns von SysInternals herunter