Usando o Autoruns para lidar com processos de inicialização e malware

Índice:

Usando o Autoruns para lidar com processos de inicialização e malware
Usando o Autoruns para lidar com processos de inicialização e malware

Vídeo: Usando o Autoruns para lidar com processos de inicialização e malware

Vídeo: Usando o Autoruns para lidar com processos de inicialização e malware
Vídeo: What is the Best VPN to Reduce Gaming Lag and Ping in Fortnite and other Games 🔥 - YouTube 2024, Maio
Anonim
A maioria dos geeks tem sua ferramenta de escolha para lidar com processos que iniciam automaticamente, seja o MS Config, o CCleaner ou o Gerenciador de Tarefas no Windows 8 - mas nenhum deles é tão poderoso quanto o Autoruns, que também é nossa lição da Escola Geek para hoje.
A maioria dos geeks tem sua ferramenta de escolha para lidar com processos que iniciam automaticamente, seja o MS Config, o CCleaner ou o Gerenciador de Tarefas no Windows 8 - mas nenhum deles é tão poderoso quanto o Autoruns, que também é nossa lição da Escola Geek para hoje.

NAVEGAÇÃO ESCOLAR

  1. Quais são as ferramentas SysInternals e como você as usa?
  2. Entendendo o Process Explorer
  3. Usando o Process Explorer para solucionar problemas e diagnosticar
  4. Entendendo o Process Monitor
  5. Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
  6. Usando o Autoruns para lidar com processos de inicialização e malware
  7. Usando o BgInfo para exibir informações do sistema na área de trabalho
  8. Usando o PsTools para controlar outros PCs a partir da linha de comando
  9. Analisando e gerenciando seus arquivos, pastas e unidades
  10. Encerrando e usando as ferramentas juntas

Antigamente, o software começava automaticamente adicionando uma entrada à pasta Startup no menu Iniciar ou adicionando um valor à chave Run no registro, mas à medida que as pessoas e o software se tornavam mais experientes em encontrar entradas indesejadas e excluí-las, os criadores de software questionável começaram a encontrar maneiras de se tornar cada vez mais sorrateiro.

Essas empresas de crapware obscuros começaram a descobrir como carregar automaticamente seu software através de objetos auxiliares do navegador, serviços, drivers, tarefas agendadas e até mesmo através de algumas técnicas extremamente avançadas, como o hijack de imagens e AppInit_dlls.

Verificar cada uma dessas condições manualmente não seria apenas demorado, mas quase impossível para a pessoa média.

É aí que o Autoruns entra e salva o dia. Claro, você pode usar o Process Explorer para examinar a lista de processos e aprofundar-se em threads e identificadores, e o Process Monitor pode descobrir exatamente quais chaves de registro estão sendo abertas por cada processo e mostrar uma quantidade incrível de informações. Mas nenhum deles impede que o malware ou o malware sejam carregados novamente na próxima vez que você inicializar o seu PC.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

O Autoruns permite que você veja quase tudo que é carregado automaticamente no seu computador e desative-o tão facilmente quanto clicar em uma caixa de seleção. É incrivelmente fácil de usar e quase autoexplicativo, exceto algumas das coisas realmente complicadas que você precisa saber para entender o que algumas das guias realmente significam. Isso é o que esta lição vai ensinar.

Trabalhando com a interface do Autoruns

Você pode pegar a ferramenta Autoruns do site da SysInternals da mesma forma que todo o resto e executá-la sem instalá-la. Você vai querer fazer isso antes de prosseguir.

Nota: O Autoruns não precisa ser executado como administrador, mas, de forma realista, faz mais sentido apenas fazer isso, pois há alguns recursos que também não funcionam, e há uma boa chance de seu malware também funcionar como administrador.

Quando você abrir a interface pela primeira vez, verá várias guias e uma lista das coisas que estão sendo iniciadas automaticamente no seu computador. A guia "Tudo" padrão mostra tudo de todas as guias, mas pode ser um pouco confusa e demorada, por isso, aconselhamos que você passe por cada guia separadamente.

Vale a pena notar que, por padrão, o Autoruns oculta tudo o que é incorporado no Windows e define para iniciar automaticamente. Você pode ativar a exibição desses itens nas opções, mas não recomendamos isso.
Vale a pena notar que, por padrão, o Autoruns oculta tudo o que é incorporado no Windows e define para iniciar automaticamente. Você pode ativar a exibição desses itens nas opções, mas não recomendamos isso.

Desabilitando Itens

Para desabilitar qualquer item da lista, basta remover a caixa de seleção. Isso é tudo que você precisa fazer, basta percorrer a lista e remover tudo o que não precisa, reiniciar o computador e executá-lo novamente para garantir que tudo esteja bem.

Nota:alguns malwares monitoram constantemente os locais de onde eles disparam o início automático e imediatamente colocam o valor de volta. Você pode usar a tecla F5 para verificar novamente e ver se alguma das entradas retornou após desativá-las. Se um deles aparecer novamente, você deve usar o Process Explorer para suspender ou eliminar esse malware antes de desativá-lo aqui.

As cores

Como a maioria das ferramentas do SysInternals, os itens da lista podem ter cores diferentes, e aqui está o que eles significam:

  • Rosa - isso significa que nenhuma informação do editor foi encontrada ou, se a verificação do código estiver ativada, significa que a assinatura digital não existe ou não corresponde ou não há informações do editor.
  • Verde - essa cor é usada na comparação com um conjunto anterior de dados do Autoruns para indicar um item que não estava na última vez.
  • Amarelo - a entrada de inicialização está lá, mas o arquivo ou o trabalho para o qual ela aponta não existe mais.

Além disso, assim como a maioria das ferramentas do SysInternals, você pode clicar com o botão direito do mouse em qualquer entrada e executar várias ações, incluindo o salto para a entrada ou imagem (o arquivo real no Explorer). Você pode pesquisar on-line pelo nome do processo ou pelos dados na coluna, ver as propriedades detalhadas ou ver se essa entrada está sendo executada, fazendo uma pesquisa rápida no Process Explorer - embora muitos processos tenham um carregador que inicia algo diferente antes saindo, então só porque esse recurso não mostra nenhum resultado não significa nada.

Se você clicou em Saltar para entrada, será direcionado diretamente para o Editor do Registro, onde poderá ver essa chave do Registro específica e pesquisar. Se a entrada foi outra coisa, você pode ser levado para um utilitário diferente, como o Agendador de Tarefas.A realidade é que, na maior parte do tempo, o Autoruns exibe todas as informações na interface, para que você não precise incomodar, a menos que queira aprender mais.
Se você clicou em Saltar para entrada, será direcionado diretamente para o Editor do Registro, onde poderá ver essa chave do Registro específica e pesquisar. Se a entrada foi outra coisa, você pode ser levado para um utilitário diferente, como o Agendador de Tarefas.A realidade é que, na maior parte do tempo, o Autoruns exibe todas as informações na interface, para que você não precise incomodar, a menos que queira aprender mais.
O menu Usuário permite que você analise uma conta de usuário diferente, o que pode ser realmente útil se você tiver carregado o Autoruns em uma conta diferente no mesmo computador. Vale a pena notar que obviamente você precisaria estar executando como administrador para ver outras contas de usuário no PC.
O menu Usuário permite que você analise uma conta de usuário diferente, o que pode ser realmente útil se você tiver carregado o Autoruns em uma conta diferente no mesmo computador. Vale a pena notar que obviamente você precisaria estar executando como administrador para ver outras contas de usuário no PC.
Image
Image

Verificando Assinaturas de Código

O item de menu Opções de filtro leva você a um painel de opções, onde você pode selecionar uma opção muito útil: Verificar as assinaturas de código. Isso verificará se cada assinatura digital é analisada e verificada e exibirá os resultados diretamente na janela. Você perceberá que todos os itens em rosa na captura de tela abaixo não foram verificados ou as informações do editor não existem.

E, para crédito extra, você pode notar que essa captura de tela abaixo é quase a mesma que a próxima do início, exceto aquela em que alguns dos itens da lista não estão marcados como rosa. A diferença é que, por padrão, sem a opção Verificar assinaturas de código ativada, o Autoruns só alertará você com a linha rosa se não houver informações do editor.

Image
Image

Analisar um sistema offline (como na conexão de um disco rígido a outro PC)

Imagine que o computador do seu amigo está completamente confuso e não inicializa ou apenas inicializa tão lentamente que você não pode realmente usá-lo. Você já tentou o modo de segurança e as opções de recuperação, como a Restauração do sistema, mas isso não importa porque está inutilizável.

Em vez de puxar a placa de “reinstalação”, que geralmente é apenas a placa “Desisto”, você pode puxar o disco rígido e conectá-lo ao seu PC ou laptop com a sua conveniente estação de disco rígido USB. Você tem um, certo? Em seguida, basta carregar o Autoruns e ir para Arquivo -> Analisar o sistema offline.

Navegue para encontrar o diretório do Windows no outro disco rígido e o perfil de usuário do usuário que você está tentando diagnosticar e clique em OK para iniciar.
Navegue para encontrar o diretório do Windows no outro disco rígido e o perfil de usuário do usuário que você está tentando diagnosticar e clique em OK para iniciar.
Você precisará de acesso de gravação à unidade, é claro, porque você desejará salvar as configurações para remover qualquer absurdo que encontrar.
Você precisará de acesso de gravação à unidade, é claro, porque você desejará salvar as configurações para remover qualquer absurdo que encontrar.

Comparando com outro PC (ou instalação limpa anterior)

A opção Arquivo -> Comparar parece indefinida, mas pode ser uma das formas mais poderosas de analisar um PC e ver o que foi adicionado desde a última vez que você digitalizou, ou para comparar com um PC limpo e conhecido.

Para usar esse recurso, basta carregar o Autoruns no PC que você está tentando inspecionar ou usar o modo Offline que descrevemos anteriormente e, em seguida, vá para Arquivo -> Comparar. Tudo o que foi adicionado desde a versão de arquivo comparada aparecerá em verde brilhante. É simples assim. Para salvar uma nova versão, você usaria a opção Arquivo -> Salvar.

Se você realmente quer ser um profissional, você pode salvar uma configuração limpa a partir de uma nova instalação do Windows e colocá-la em uma unidade flash para levar com você. Salve uma nova versão toda vez que você tocar em um PC pela primeira vez para ter certeza de que você pode identificar rapidamente todos os novos crapwares que o proprietário adicionou.
Se você realmente quer ser um profissional, você pode salvar uma configuração limpa a partir de uma nova instalação do Windows e colocá-la em uma unidade flash para levar com você. Salve uma nova versão toda vez que você tocar em um PC pela primeira vez para ter certeza de que você pode identificar rapidamente todos os novos crapwares que o proprietário adicionou.

Olhando para as abas

Como você viu até agora, o Autoruns é um utilitário muito simples, mas poderoso, que provavelmente poderia ser usado por praticamente qualquer pessoa. Quero dizer, tudo que você precisa fazer é desmarcar uma caixa, certo? No entanto, é útil ter mais algumas informações sobre o que todas essas guias significam. Por isso, vamos tentar ensiná-lo aqui.

Próxima página: logon, tarefas agendadas e seqüestro de imagens

Recomendado:

Usando o Agendador de Tarefas para executar processos mais tarde

Usando o Agendador de Tarefas para executar processos mais tarde

Nesta edição da Geek School, vamos ensinar sobre o extremamente poderoso utilitário Agendador de Tarefas que o Windows usa nos bastidores para fazer todo tipo de coisa.

Usando a ferramenta Autoruns para acompanhar aplicativos de inicialização e complementos

Usando a ferramenta Autoruns para acompanhar aplicativos de inicialização e complementos

À medida que você instala cada vez mais softwares em seu computador, suas entradas de inicialização ficam cheias de aplicativos que diminuem o tempo de inicialização e normalmente desperdiçam a memória do computador.

Ver todos os processos durante a inicialização do Windows usando o Autoruns

Ver todos os processos durante a inicialização do Windows usando o Autoruns

Um utilitário muito legal para analisar e acompanhar tudo o que está sendo executado no seu computador durante a inicialização é o Autoruns. Este prático pequeno utilitário exibe tudo em execução no seu computador quando você inicia. Claro que você pode usar o utilitário embutido no Windows “msconfig” no entanto você não está recebendo a imagem completa com o msconfig. Por outro lado, o Autoruns listará tudo que está sendo executado e a ordem na qual ele será iniciado! Aqui m

Ransomware Response Playbook mostra como lidar com o malware

Ransomware Response Playbook mostra como lidar com o malware

A Microsoft publicou um Ransomware Response Playbook, que explica como as empresas podem detectar, mitigar e remover o Ransomware de sua rede.

Inicialização Segura, Inicialização Confiável, Inicialização Medida no Windows 10/8

Inicialização Segura, Inicialização Confiável, Inicialização Medida no Windows 10/8

Usando a Inicialização Medida, o Windows pode validar ainda mais o processo de inicialização além da Inicialização Segura. Os processos de inicialização são armazenados no chip TPM para impedir a infecção por rootkit ou malware.