Gunakan Autoruns untuk membersihkan PC yang terinfeksi secara manual

Ada banyak program anti-malware di luar sana yang akan membersihkan sistem privilege Anda, tetapi apa yang terjadi jika Anda tidak dapat menggunakan program semacam itu? Autoruns, dari SysInternals (baru-baru ini diakuisisi oleh Microsoft), sangat diperlukan saat menghapus malware secara manual.

Ada beberapa alasan mengapa Anda mungkin perlu menghapus virus dan spyware secara manual:

• Mungkin Anda tidak bisa menjalankan program anti-malware yang haus sumber daya dan invasif pada PC Anda
• Anda mungkin perlu membersihkan komputer ibu Anda (atau orang lain yang tidak mengerti bahwa ada tanda yang berkedip di situs web yang mengatakan "Komputer Anda terinfeksi virus - klik DI SINI untuk menghapusnya" bukan pesan yang bisa saja tepercaya)
• Perangkat lunak perusak sangat agresif sehingga menolak semua upaya untuk menghapusnya secara otomatis, atau bahkan tidak memungkinkan Anda memasang perangkat lunak anti-malware
• Bagian dari kredo geek Anda adalah keyakinan bahwa utilitas anti-spyware adalah untuk pengecut

Autoruns adalah tambahan yang tak ternilai untuk perangkat lunak setiap geek's toolkit. Ini memungkinkan Anda untuk melacak dan mengontrol semua program (dan komponen program) yang mulai secara otomatis dengan Windows (atau dengan Internet Explorer). Hampir semua malware dirancang untuk memulai secara otomatis, jadi ada kemungkinan yang sangat kuat yang dapat dideteksi dan dihapus dengan bantuan Autoruns.

Kami telah membahas cara menggunakan Autoruns di artikel sebelumnya, yang harus Anda baca jika Anda perlu membiasakan diri dengan program ini terlebih dahulu.

Autoruns adalah utilitas mandiri yang tidak perlu diinstal pada komputer Anda. Ini dapat dengan mudah diunduh, dibuka ritsleting dan dijalankan (tautan di bawah). Ini sangat cocok untuk menambah koleksi utilitas portabel Anda pada flash drive Anda.

Ketika Anda memulai Autoruns untuk pertama kalinya di komputer, Anda disajikan dengan perjanjian lisensi:

Setelah menyetujui persyaratan, jendela Autoruns utama akan terbuka, menunjukkan kepada Anda daftar lengkap semua perangkat lunak yang akan dijalankan saat komputer Anda dijalankan, saat Anda masuk, atau ketika Anda membuka Internet Explorer:

Untuk menonaktifkan sementara program dari peluncuran, hapus centang pada kotak di sebelah entri itu. Catatan: Ini tidak menghentikan program jika berjalan pada saat itu - itu hanya mencegahnya dari awal berikutnya waktu. Untuk secara permanen mencegah program dari peluncuran, hapus entri sama sekali (gunakan Menghapus kunci, atau klik kanan dan pilih Menghapus dari menu konteks)). Catatan: Ini tidak hapus program dari komputer Anda - untuk menghapusnya sepenuhnya Anda harus menghapus program (atau menghapusnya dari hard disk Anda).

Perangkat Lunak yang Mencurigakan

Ini dapat mengambil sedikit pengalaman yang adil (baca "trial and error") untuk menjadi mahir mengidentifikasi apa itu malware dan apa yang tidak. Sebagian besar entri yang disajikan di Autoruns adalah program yang sah, bahkan jika nama mereka tidak dikenal oleh Anda. Berikut ini beberapa kiat untuk membantu Anda membedakan perangkat lunak perusak dari perangkat lunak yang sah:

• Jika entri ditandatangani secara digital oleh penerbit perangkat lunak (yaitu ada entri di Penerbit kolom) atau memiliki "Deskripsi", maka ada kemungkinan besar itu sah
• Jika Anda mengenali nama perangkat lunak, maka biasanya tidak apa-apa. Perhatikan bahwa terkadang malware akan "meniru" perangkat lunak yang sah, tetapi mengadopsi nama yang identik atau mirip dengan perangkat lunak yang Anda kenal (mis. "AcrobatLauncher" atau "PhotoshopBrowser"). Selain itu, ketahuilah bahwa banyak program malware yang menggunakan nama generik atau tidak berbahaya, seperti "Diskfix" atau "SearchHelper" (keduanya disebutkan di bawah).
• Entri malware biasanya muncul di Logon tab Autoruns (tetapi tidak selalu!)
• Jika Anda membuka folder yang berisi file EXE atau DLL (lebih lanjut di bawah ini), periksa tanggal "terakhir dimodifikasi", tanggal sering dari beberapa hari terakhir (dengan asumsi bahwa infeksi Anda cukup baru)
• Malware sering berada di folder C: \ Windows atau folder C: \ Windows \ System32
• Malware sering hanya memiliki ikon generik (di sebelah kiri nama entri)

Jika ragu, klik kanan entri dan pilih Cari Daring…

Daftar di bawah ini menunjukkan dua entri yang mencurigakan: Diskfix dan SearchHelper

Entri-entri ini, yang disorot di atas, cukup tipikal infeksi malware:

• Mereka tidak memiliki deskripsi atau penerbit
• Mereka memiliki nama generik
• File-file tersebut terletak di C: \ Windows \ System32
• Mereka memiliki ikon generik
• Nama file adalah string karakter acak
• Jika Anda melihat di folder C: \ Windows \ System32 dan mencari file, Anda akan melihat bahwa mereka adalah beberapa file yang paling baru dimodifikasi dalam folder (lihat di bawah)

Mengklik dua kali pada item akan membawa Anda ke kunci registri yang sesuai:

Menghapus Malware

Setelah Anda mengidentifikasi entri yang Anda yakini mencurigakan, Anda sekarang perlu memutuskan apa yang ingin Anda lakukan dengan mereka. Pilihan Anda termasuk:

• Nonaktifkan sementara entri Autorun
• Hapus entri Autorun secara permanen
• Temukan proses yang sedang berjalan (menggunakan Pengelola Tugas atau serupa) dan menghentikannya
• Hapus file EXE atau DLL dari disk Anda (atau setidaknya pindahkan ke folder di mana tidak akan secara otomatis dimulai)

atau semua hal di atas, tergantung pada seberapa yakin Anda bahwa program tersebut adalah malware.

Untuk melihat apakah perubahan Anda berhasil, Anda harus mereboot komputer Anda, dan periksa salah satu atau semua hal berikut:

• Autoruns - untuk melihat apakah entri telah kembali
• Task Manager (atau yang serupa) - untuk melihat apakah program dimulai lagi setelah reboot
• Periksa perilaku yang membuat Anda percaya bahwa PC Anda terinfeksi di tempat pertama. Jika tidak lagi terjadi, kemungkinan PC Anda sekarang bersih

Kesimpulan

Solusi ini bukan untuk semua orang dan kemungkinan besar ditujukan untuk pengguna tingkat lanjut. Biasanya menggunakan aplikasi Antivirus yang berkualitas melakukan trik, tetapi jika tidak Autoruns adalah alat yang berharga dalam kit Anti-Malware Anda.

Perlu diingat bahwa beberapa malware lebih sulit dihapus daripada yang lain. Terkadang Anda memerlukan beberapa iterasi dari langkah-langkah di atas, dengan setiap iterasi yang mengharuskan Anda untuk melihat lebih teliti pada setiap entri Autorun. Terkadang saat Anda menghapus entri Autorun, malware yang menjalankan menggantikan entri. Ketika ini terjadi, kita perlu menjadi lebih agresif dalam pembunuhan malware kami, termasuk mengakhiri program (bahkan program yang sah seperti Explorer.exe) yang terinfeksi DLL malware.

Sebentar lagi kami akan menerbitkan artikel tentang cara mengidentifikasi, mencari dan menghentikan proses yang mewakili program yang sah tetapi menjalankan DLL yang terinfeksi, agar DLL tersebut dapat dihapus dari sistem.

Unduh Autoruns dari SysInternals