Connect with us

Wie man

Verwenden Sie Autoruns, um einen infizierten PC manuell zu reinigen

Verwenden Sie Autoruns, um einen infizierten PC manuell zu reinigen

Es gibt viele Anti-Malware-Programme, die Ihr System von Unangenehmen reinigen. Was passiert jedoch, wenn Sie ein solches Programm nicht verwenden können? Autoruns von SysInternals (kürzlich von Microsoft erworben) sind unverzichtbar, wenn Malware manuell entfernt werden soll.

Es gibt einige Gründe, warum Sie Viren und Spyware möglicherweise manuell entfernen müssen:

  • Vielleicht können Sie es nicht ertragen, ressourcenhungrige und invasive Anti-Malware-Programme auf Ihrem PC auszuführen
  • Möglicherweise müssen Sie den Computer Ihrer Mutter reinigen (oder jemand anderes, der nicht versteht, dass ein großes blinkendes Schild auf einer Website mit der Aufschrift „Ihr Computer ist mit einem Virus infiziert – klicken Sie HIER, um ihn zu entfernen“ keine Meldung sein kann Vertrauenswürdige)
  • Die Malware ist so aggressiv, dass sie sich allen Versuchen widersetzt, sie automatisch zu entfernen, oder Ihnen nicht einmal die Installation von Anti-Malware-Software ermöglicht
  • Ein Teil Ihres Geek-Credo ist der Glaube, dass Anti-Spyware-Dienstprogramme für Weicheier sind

Autoruns ist eine unschätzbare Ergänzung zum Software-Toolkit eines jeden Geeks. Sie können alle Programme (und Programmkomponenten) verfolgen und steuern, die automatisch mit Windows (oder mit Internet Explorer) gestartet werden. Praktisch jede Malware ist so konzipiert, dass sie automatisch gestartet wird. Daher besteht eine sehr hohe Wahrscheinlichkeit, dass sie mithilfe von Autoruns erkannt und entfernt werden kann.

Wir haben in einem früheren Artikel beschrieben, wie Sie Autoruns verwenden, den Sie lesen sollten, wenn Sie sich zuerst mit dem Programm vertraut machen müssen.

Autoruns ist ein eigenständiges Dienstprogramm, das nicht auf Ihrem Computer installiert werden muss. Es kann einfach heruntergeladen, entpackt und ausgeführt werden (Link unten). Dies macht sich ideal zum Hinzufügen zu Ihrer Sammlung tragbarer Dienstprogramme auf Ihrem Flash-Laufwerk.

Wenn Sie Autoruns zum ersten Mal auf einem Computer starten, wird Ihnen die Lizenzvereinbarung angezeigt:

Nachdem Sie den Bedingungen zugestimmt haben, wird das Hauptfenster von Autoruns geöffnet, in dem die vollständige Liste aller Software angezeigt wird, die beim Starten Ihres Computers, beim Anmelden oder beim Öffnen von Internet Explorer ausgeführt wird:

Autoruns-Fenster

Deaktivieren Sie das Kontrollkästchen neben dem Eintrag, um das Starten eines Programms vorübergehend zu deaktivieren. Hinweis: Dies ist der Fall nicht Beenden Sie das Programm, wenn es gerade ausgeführt wird – es verhindert lediglich, dass es gestartet wird. Um den Start eines Programms dauerhaft zu verhindern, löschen Sie den Eintrag vollständig (verwenden Sie die Löschen Taste oder klicken Sie mit der rechten Maustaste und wählen Sie Löschen aus dem Kontextmenü)). Hinweis: Dies ist der Fall nicht Entfernen Sie das Programm von Ihrem Computer. Um es vollständig zu entfernen, müssen Sie das Programm deinstallieren (oder auf andere Weise von Ihrer Festplatte löschen).

Verdächtige Software

Es kann einiges an Erfahrung erfordern (lesen Sie „Versuch und Irrtum“), um zu erkennen, was Malware ist und was nicht. Die meisten Einträge in Autoruns sind legitime Programme, auch wenn ihre Namen Ihnen unbekannt sind. Hier sind einige Tipps, mit denen Sie die Malware von der legitimen Software unterscheiden können:

  • Wenn ein Eintrag von einem Softwarehersteller digital signiert ist (dh es gibt einen Eintrag in der Herausgeber Spalte) oder hat eine „Beschreibung“, dann besteht eine gute Chance, dass es legitim ist
  • Wenn Sie den Namen der Software erkennen, ist dies normalerweise in Ordnung. Beachten Sie, dass Malware gelegentlich legitime Software „verkörpert“, jedoch einen Namen annimmt, der mit der Ihnen bekannten Software identisch oder ähnlich ist (z. B. „AcrobatLauncher“ oder „PhotoshopBrowser“). Beachten Sie auch, dass viele Malware-Programme generische oder harmlos klingende Namen verwenden, z. B. „Diskfix“ oder „SearchHelper“ (beide unten erwähnt).
  • Malware-Einträge erscheinen normalerweise auf der Einloggen Registerkarte Autoruns (aber nicht immer!)
  • Wenn Sie den Ordner öffnen, der die EXE- oder DLL-Datei enthält (mehr dazu weiter unten), und das Datum der letzten Änderung überprüfen, stammen die Daten häufig aus den letzten Tagen (vorausgesetzt, Ihre Infektion ist relativ neu).
  • Malware befindet sich häufig im Ordner C: Windows oder im Ordner C: Windows System32
  • Malware hat oft nur ein allgemeines Symbol (links neben dem Namen des Eintrags).

Klicken Sie im Zweifelsfall mit der rechten Maustaste auf den Eintrag und wählen Sie Online suchen…

Die folgende Liste zeigt zwei verdächtig aussehende Einträge: Diskfix und SearchHelper

ar_entries

Diese oben hervorgehobenen Einträge sind ziemlich typisch für Malware-Infektionen:

  • Sie haben weder Beschreibungen noch Verlage
  • Sie haben generische Namen
  • Die Dateien befinden sich in C: Windows System32
  • Sie haben generische Symbole
  • Die Dateinamen sind zufällige Zeichenfolgen
  • Wenn Sie im Ordner C: Windows System32 nach den Dateien suchen, werden Sie feststellen, dass es sich um einige der zuletzt geänderten Dateien im Ordner handelt (siehe unten).

Verdächtige Einträge im System32-Ordner

Durch Doppelklicken auf die Elemente gelangen Sie zu den entsprechenden Registrierungsschlüsseln:

Verdächtige Einträge in der Registrierung

Malware entfernen

Sobald Sie die Einträge identifiziert haben, die Sie für verdächtig halten, müssen Sie jetzt entscheiden, was Sie mit ihnen tun möchten. Ihre Auswahl umfasst:

  • Deaktivieren Sie den Autorun-Eintrag vorübergehend
  • Löschen Sie den Autorun-Eintrag dauerhaft
  • Suchen Sie den laufenden Prozess (mit dem Task-Manager oder ähnlichem) und beenden Sie ihn
  • Löschen Sie die EXE- oder DLL-Datei von Ihrer Festplatte (oder verschieben Sie sie zumindest in einen Ordner, in dem sie nicht automatisch gestartet wird).

oder alle oben genannten Punkte, je nachdem, wie sicher Sie sind, dass es sich bei dem Programm um Malware handelt.

Um festzustellen, ob Ihre Änderungen erfolgreich waren, müssen Sie Ihren Computer neu starten und einige oder alle der folgenden Punkte überprüfen:

  • Autoruns – um zu sehen, ob der Eintrag zurückgegeben wurde
  • Task-Manager (oder ähnliches) – um festzustellen, ob das Programm nach dem Neustart erneut gestartet wurde
  • Überprüfen Sie das Verhalten, das Sie zu der Annahme geführt hat, dass Ihr PC überhaupt infiziert war. Wenn dies nicht mehr geschieht, ist Ihr PC wahrscheinlich jetzt sauber

Fazit

Diese Lösung ist nicht jedermanns Sache und richtet sich höchstwahrscheinlich an fortgeschrittene Benutzer. Normalerweise reicht die Verwendung einer hochwertigen Antiviren-Anwendung aus, aber wenn nicht, ist Autoruns ein wertvolles Werkzeug in Ihrem Anti-Malware-Kit.

Beachten Sie, dass einige Malware schwerer zu entfernen ist als andere. Manchmal benötigen Sie mehrere Iterationen der obigen Schritte, wobei Sie bei jeder Iteration jeden Autorun-Eintrag genauer betrachten müssen. In dem Moment, in dem Sie den Autorun-Eintrag entfernen, ersetzt manchmal die ausgeführte Malware den Eintrag. In diesem Fall müssen wir aggressiver gegen Malware vorgehen, einschließlich der Beendigung von Programmen (sogar legitimen Programmen wie Explorer.exe), die mit Malware-DLLs infiziert sind.

In Kürze werden wir einen Artikel darüber veröffentlichen, wie Prozesse identifiziert, gefunden und beendet werden können, die legitime Programme darstellen, aber infizierte DLLs ausführen, damit diese DLLs aus dem System gelöscht werden können.

Laden Sie Autoruns von SysInternals herunter

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia