Startseite » Schule » Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware

    Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware

    Die meisten Geeks haben die Wahl, sich mit Prozessen zu beschäftigen, die automatisch gestartet werden, egal ob es sich um MS Config, CCleaner oder sogar den Task-Manager in Windows 8 handelt. Keiner von ihnen ist jedoch so leistungsfähig wie Autoruns heute.

    SCHULNAVIGATION
    1. Was sind die SysInternals-Tools und wie verwenden Sie sie??
    2. Prozess-Explorer verstehen
    3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
    4. Prozessmonitor verstehen
    5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
    6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
    7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
    8. Verwenden von PsTools zur Steuerung anderer PCs über die Befehlszeile
    9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
    10. Zusammenfassen und Verwenden der Tools

    In früheren Zeiten wurde Software automatisch gestartet, indem sie einen Eintrag zum Startordner im Startmenü hinzufügte oder einen Wert zum Ausführen-Schlüssel in der Registrierung hinzufügte. Mit zunehmender Erfahrung von Personen und Software wurden unerwünschte Einträge gesucht und gelöscht Die Hersteller fragwürdiger Software begannen, Wege zu finden, um immer mehr hinterlistig zu werden.

    Diese zwielichtigen Crapware-Unternehmen begannen, herauszufinden, wie sie ihre Software mithilfe von Browser-Hilfsobjekten, Diensten, Treibern, geplanten Aufgaben und sogar durch einige sehr fortschrittliche Techniken wie Image Hijacks und AppInit_dlls automatisch laden können.

    Eine manuelle Überprüfung dieser Bedingungen wäre nicht nur zeitaufwändig, sondern für die durchschnittliche Person nahezu unmöglich.

    Hier kommt Autoruns ins Spiel und rettet den Tag. Sicher, Sie können Process Explorer verwenden, um die Prozessliste zu durchsuchen und tief in Threads und Handles einzutauchen, und Process Monitor kann genau herausfinden, welche Registrierungsschlüssel von welchem ​​Prozess geöffnet werden, und Ihnen unglaubliche Mengen an Informationen anzeigen. Beides verhindert jedoch nicht, dass beim nächsten Systemstart Crapware oder Malware erneut geladen wird.

    Eine kluge Strategie wäre natürlich, alle drei zusammen zu verwenden. Process Explorer erkennt, was gerade läuft und beansprucht CPU und Arbeitsspeicher, Prozessmonitor sieht, was die Anwendung unter der Haube tut, und dann werden Autoruns aufgerufen, um Dinge zu bereinigen, damit sie nicht zurückkommen.

    Mit Autoruns können Sie fast alles, was automatisch auf Ihrem Computer geladen ist, sehen und deaktivieren, indem Sie auf ein Kontrollkästchen klicken. Es ist unglaublich einfach zu bedienen und fast selbsterklärend, mit Ausnahme einiger wirklich komplizierter Dinge, die Sie wissen müssen, um zu verstehen, was einige der Registerkarten tatsächlich bedeuten. Das wird diese Lektion lehren.

    Arbeiten mit der Autoruns-Oberfläche

    Sie können das Autoruns-Tool wie alle anderen von der SysInternals-Website abrufen und ohne Installation ausführen. Sie möchten das tun, bevor Sie fortfahren.

    Hinweis: Autoruns müssen nicht als Administrator ausgeführt werden, aber realistisch ist es am sinnvollsten, dies zu tun, da es einige Funktionen gibt, die sonst nicht so gut funktionieren, und es besteht eine gute Chance, dass Malware auch als Administrator ausgeführt wird.

    Wenn Sie die Benutzeroberfläche zum ersten Mal starten, sehen Sie eine Vielzahl von Registerkarten und eine Liste der Dinge, die automatisch auf Ihrem Computer gestartet werden. Die Registerkarte "Alles anzeigen" enthält alles von jeder Registerkarte, kann jedoch etwas verwirrend und langwierig sein. Wir empfehlen daher, jede Registerkarte einzeln durchzugehen.

    Es ist erwähnenswert, dass Autoruns standardmäßig alles verbirgt, das in Windows integriert ist und automatisch gestartet wird. Sie können die Anzeige dieser Elemente in den Optionen aktivieren, wir würden sie jedoch nicht empfehlen.

    Elemente deaktivieren

    Um ein Element in der Liste zu deaktivieren, entfernen Sie einfach das Kontrollkästchen. Das ist alles, was Sie tun müssen. Gehen Sie einfach durch die Liste und entfernen Sie alles, was Sie nicht brauchen, starten Sie den Computer neu und führen Sie ihn erneut aus, um sicherzustellen, dass alles in Ordnung ist.

    Hinweis: Einige Malware überwacht ständig die Standorte, von denen sie automatisch gestartet werden, und gibt den Wert sofort zurück. Sie können die Taste F5 verwenden, um erneut zu scannen und zu sehen, ob einer der Einträge nach dem Deaktivieren zurückgekehrt ist. Wenn einer von ihnen erneut angezeigt wurde, sollten Sie den Prozess-Explorer verwenden, um die Malware auszusetzen oder zu beenden, bevor Sie sie hier deaktivieren.

    Die Farben

    Wie bei den meisten SysInternals-Tools können die Elemente in der Liste verschiedene Farben haben. Dies bedeutet, was sie bedeuten:

    • Rosa - Dies bedeutet, dass keine Publisher-Informationen gefunden wurden. Wenn die Code-Überprüfung aktiviert ist, ist die digitale Signatur entweder nicht vorhanden oder stimmt nicht überein, oder es liegen keine Publisher-Informationen vor.
    • Grün - Diese Farbe wird beim Vergleich mit einem vorherigen Satz von Autoruns-Daten verwendet, um ein Element anzuzeigen, das zuletzt nicht vorhanden war.
    • Gelb - Der Starteintrag ist vorhanden, aber die Datei oder der Job, auf die er verweist, sind nicht mehr vorhanden.

    Ebenso wie die meisten SysInternals-Tools können Sie mit der rechten Maustaste auf einen beliebigen Eintrag klicken und eine Reihe von Aktionen ausführen, einschließlich des Sprunges zu dem Eintrag oder Bild (der eigentlichen Datei im Explorer). Sie können online nach dem Namen des Prozesses oder den Daten in der Spalte suchen, die detaillierten Eigenschaften anzeigen oder durch Ausführen einer Schnellsuche im Prozess-Explorer nachsehen, ob dieser Eintrag ausgeführt wird. Viele Prozesse verfügen jedoch über einen Loader, der zuvor etwas anderes startet zu beenden, nur weil diese Funktion keine Ergebnisse zeigt, hat dies nichts zu bedeuten.

    Wenn Sie auf "Zum Eintrag springen" geklickt haben, werden Sie direkt zum Registrierungs-Editor weitergeleitet, wo Sie den jeweiligen Registrierungsschlüssel sehen und sich umsehen können. Wenn der Eintrag etwas anderes war, werden Sie möglicherweise zu einem anderen Dienstprogramm wie dem Taskplaner weitergeleitet. Die Realität ist, dass Autoruns die meiste Zeit alle dieselben Informationen direkt in der Benutzeroberfläche anzeigt, sodass Sie sich normalerweise keine Mühe machen müssen, es sei denn, Sie möchten mehr darüber erfahren.

    Über das Benutzermenü können Sie ein anderes Benutzerkonto analysieren. Dies kann sehr nützlich sein, wenn Sie Autoruns auf einem anderen Konto auf demselben Computer geladen haben. Es ist erwähnenswert, dass Sie offensichtlich als Administrator ausgeführt werden müssen, um andere Benutzerkonten auf dem PC anzuzeigen.

    Überprüfen der Codesignaturen

    Über das Menüelement Filteroptionen gelangen Sie zu einem Optionsfenster, in dem Sie eine sehr nützliche Option auswählen können: Code-Signaturen überprüfen. Dadurch wird geprüft, ob jede digitale Signatur analysiert und überprüft wurde, und die Ergebnisse werden direkt im Fenster angezeigt. Sie werden feststellen, dass alle Elemente in Rosa in der Abbildung unten nicht überprüft werden oder die Herausgeberinformationen nicht vorhanden sind.

    Und für zusätzliches Guthaben stellen Sie möglicherweise fest, dass dieser Screenshot fast derselbe ist wie der am Anfang, außer dass einige der Elemente in der Liste nicht als rosa markiert sind. Der Unterschied besteht darin, dass Autoruns Sie standardmäßig ohne aktivierte Option zur Überprüfung von Codesignaturen nur mit der rosa Zeile darauf aufmerksam macht, wenn keine Herausgeberinformationen vorhanden sind.

    Analysieren eines Offline-Systems (wie beim Anschließen einer Festplatte an einen anderen PC)

    Stellen Sie sich vor, der Computer Ihres Freundes ist völlig durcheinander und wird entweder nicht booten oder nur so langsam booten, dass Sie ihn nicht wirklich verwenden können. Sie haben den abgesicherten Modus und Wiederherstellungsoptionen wie die Systemwiederherstellung ausprobiert, es spielt jedoch keine Rolle, da es unbrauchbar ist.

    Anstatt die "Neuinstallations" -Karte zu ziehen, die oft nur die "Ich gebe auf" -Karte, können Sie die Festplatte herausziehen und sie mit Ihrem praktischen USB-Festplatten-Dock an Ihren PC oder Laptop anschließen. Sie haben eine, richtig? Dann laden Sie einfach Autoruns und gehen Sie zu Datei -> Analyses Offline-System.

    Suchen Sie nach dem Windows-Verzeichnis auf der anderen Festplatte und dem Benutzerprofil des Benutzers, den Sie diagnostizieren möchten, und klicken Sie auf OK, um zu beginnen.

    Sie benötigen natürlich Schreibzugriff auf das Laufwerk, da Sie die Einstellungen speichern möchten, um den Unsinn zu entfernen, den Sie am Ende finden.

    Vergleich mit einem anderen PC (oder einer früheren sauberen Installation)

    Die Option Datei -> Vergleichen scheint unscheinbar, kann jedoch eine der leistungsfähigsten Methoden sein, um einen PC zu analysieren und zu sehen, was seit dem letzten Scannen hinzugefügt wurde, oder um einen Vergleich mit einem bekannten, sauberen PC durchzuführen.

    Um diese Funktion zu verwenden, laden Sie einfach Autoruns auf den PC, den Sie untersuchen möchten, oder verwenden Sie den zuvor beschriebenen Offline-Modus. Gehen Sie dann zu Datei -> Vergleichen. Alles, was seit der verglichenen Dateiversion hinzugefügt wurde, wird hellgrün angezeigt. So einfach ist das. Um eine neue Version zu speichern, verwenden Sie die Option Datei -> Speichern.

    Wenn Sie wirklich ein Profi sein möchten, können Sie eine saubere Konfiguration von einer neuen Windows-Installation speichern und diese auf einem Flash-Laufwerk ablegen. Speichern Sie jedes Mal, wenn Sie zum ersten Mal einen PC berühren, eine neue Version, um sicherzustellen, dass Sie schnell alle neuen Crapware-Elemente erkennen können, die der Besitzer hinzugefügt hat.

    Blick auf die Tabs

    Wie Sie bisher gesehen haben, ist Autoruns ein sehr einfaches, aber leistungsfähiges Dienstprogramm, das wahrscheinlich von fast jedem verwendet werden kann. Ich meine, Sie müssen nur ein Kästchen deaktivieren, oder? Es ist jedoch nützlich, ein paar weitere Informationen zu haben, was all diese Registerkarten bedeuten. Wir werden Sie hier also informieren.

    Nächste Seite: Anmeldung, geplante Aufgaben und Hijacking von Bildern