Malware är vanligtvis programmerat för att hålla sig infekterat i systemet så länge som möjligt för att stjäla mer information från datorn genom keylogging, för att fortsätta sprida och infektera andra datorer i nätverket eller vara en del av ett botnet som väntar på att deras master ska be dem att starta en DDoS-attack. För att hålla sig smittad, annat än att inte upptäckas, måste den köras automatiskt när Windows startas upp. Ett av sätten att upptäcka en infektion i Windows är genom att kontrollera på startplatserna för misstänkta poster.
Den mest grundläggande metoden för att leta efter startartiklar är att använda det inbyggda systemkonfigurationsverktyget (msconfig.exe) i Windows men tyvärr är punkterna som kontrolleras inte fullständiga, kan enkelt avaktiveras genom ett enkelt registerhack och MSConfig gör inte berätta vilka poster som är osäkra. HijackThis brukade vara ett populärt verktyg för att analysera en dator som är infekterad med skadlig programvara och som innehåller startposter i skanningsresultatet men tyvärr ersattes av de flesta andra verktyg av samma typ.
Här är 6 kostnadsfria verktyg som du kan använda för att analysera startobjekt inklusive de knepiga platserna som inte finns i msconfig. 1. Emsisoft HiJackFree
HiJackFree är ett gratis systemanalysverktyg som erbjuds av Emsisoft, tillverkaren av den populära Anti-Malware-programvaran för avancerade användare för att upptäcka malwares och ta bort dem från datorn. För att leta efter startposter, klicka på Autoruns i vänstra sidofältet där det listar de objekt som startas baserat på olika metoder. Vad vi verkligen gillade med HiJackFree är att det försöker automatiskt avgöra om posten är säkra eller osäkra och märker dem med färgkodning för enklare identifiering.
Om du har en aktiverad Internet-anslutning kan du klicka på uppdateringsikonen längst upp till höger som säger ”Uppdatera data online automatiskt” när muspekaren svävar på den. Detta kommer att kontrollera startartiklarna med de senaste uppgifterna för att ge en mer exakt och aktuell analys. Du kan tillfälligt inaktivera objektet från att starta genom att avmarkera kryssrutan, redigera, radera och till och med lägga till nya startposter. Fliken Tjänster är också värt att kontrollera eftersom det är en annan startmetod som programmet kan köras redan innan användaren är inloggad på Windows.
Utöver att analysera startområden kan HiJackFree också visa detaljerad information om de processer som körs, portar som öppnas med process, Explorer-tillägg, LSP, HOSTS-filposter och installerade ActiveX i ett Windows-system. Om du vill få en rapport om HiJackFree-analysen kan du klicka på knappen Online Analys längst upp till höger där en loggfil kommer att genereras och automatiskt laddas upp till Emsisofts webbplats för analys. När analysen är klar öppnas webbsidan för detaljer med din standardwebbläsare.
Ladda ner Emsisoft HiJackFree
2. Körcanner
Runscanner är en gratis och bärbar startanalysator som finns i två lägen som är nybörjare och expert. I grund och botten är nybörjarläget avsett att bara skanna och skapa en logg- och "köra" -fil som ska granskas av en skadlig specialist. När det gäller expertläget, är det där du kan visa alla startobjekt och fixa dem om du tycker att det är misstänkt. Istället för att bara lista upp varje enstaka startobjekt, gör Runscanner det enkelt genom att bara lista de poster som inte finns i deras vitlista. De listade artiklarna indikerar inte nödvändigtvis att de är osäkra men kräver bara extra uppmärksamhet för att se till att du vet var det kommer ifrån.
För att ta bort ett startobjekt, dubbelklickar du på posten för att kontrollera. Gå sedan till fliken Objektfixer där du kan granska objekten som du vill ta bort. För att bekräfta radering av objekten klickar du på knappen Fixa valda objekt. Du kan också dubbelklicka på en post på fliken Objektfixer för att ta bort objektet från listan. Alla startobjekt som raderas från Runscanner kan återställas från fliken Extra saker> Historik / säkerhetskopior.
Runscanner har också ytterligare funktioner för att undersöka de laddade modulerna, processdödare med möjlighet att radera vid nästa omstart och ladda upp filerna till VirusTotal för att skanna med över 40 olika antivirusprogram.
Ladda ner Runscanner
3. Autoruns
Autoruns är ett av de mest populära bärbara verktygen som används för att analysera startprogram i Windows skapat av Sysinternals och förvärvas av Microsoft. Det här verktyget är mer för avancerade användare eftersom det inte har förmågan att känna igen osäkra eller farliga föremål. Det använder färgkodningar för vissa objekt som gul för filer som inte finns och röda för objekt som inte har information om filegenskaper.
Du kan tillfälligt inaktivera startposten genom att avmarkera kryssrutan. När du upptäcker att ändringarna är säkra kan du ta bort posten permanent med hjälp av högerklick-snabbmenyn. Som standard döljer det också Windows-poster för att förhindra att du felaktigt inaktiverar en viktig startpost som får Windows att inte starta upp eftersom det kan vara en utmaning att återställa ändringarna genom att redigera registret utan att starta om i Windows.
Ladda ner Autoruns
4. Online Solutions Autorun Manager
Online Solutions Autorun Manager, förkortning för OSAM är en annan startanalysator som kommer med möjligheten att skanna startposter med sin onlinescannare för skadlig programvara. OSAMs onlinemjukvaruscanner tar i princip processerna hash och jämför den med deras databas. Efter skanning läggs en risknivå till analysen så att du kan ignorera de som är säkra och endast uppmärksamma de okända. Det finns också artiklar som är märkta som “Upp till dig” som kan tas bort eller lämnas orörda eftersom det inte utgör någon säkerhetsrisk.
Färgkodning används också i Online Solutions Autorun Manager där blå betyder fil som inte hittats och gul för filer utan egendomsinformation. Om du avmarkerar kryssrutan avaktiveras objektet från att starta. Av några okända skäl kunde vi inte ta bort startobjekten permanent eftersom alternativet "Radera från lagring" från snabbmenyn med högerklick alltid är grått. OSAM finns i både installations- och bärbara versioner.
Ladda ner Online Solutions Autorun Manager
5. Tyst löpare
Silent Runners är faktiskt ett VBScript som helt enkelt genererar en loggfil som innehåller startobjekt på systemet. Det finns inget grafiskt användargränssnitt eller alternativ och att köra själva filen kommer att mata ut loggfilen i samma katalog som skriptet. Startobjekt som tillhör Windows ingår inte i listan och du bör notera raderna som innehåller <> eftersom startpunkten vanligtvis används av skadlig programvara.
Uppenbarligen är tysta löpare inte avsett att användas av grundläggande användare eller för att ta bort tvivelaktiga startposter. Detta VBScript visar sig vara användbart när du begränsas från att köra körbara filer.
Ladda ner tyst löpare
6. FreeFixer
FreeFixer är ett generellt verktyg för borttagning som skannar inte bara ett antal startplatser utan också flera andra områden i systemet där skadlig programvara kan gömma sig. Över 40 olika platser skannas totalt, inklusive webbläsarhjälpobjekt, Mozilla Firefox / Internet Explorer verktygsfält och tillägg, Autostartgenvägar, registeruppstart, schemalagda uppgifter, dolda processer, HOSTS-filen, systempolicyer, drivrutiner, tjänster, TCP / IP-inställningar, UserInits, genvägar, nyligen skapade eller modifierade filer, Svchost.exe / Explorer.exe-moduler och många fler.
Även om programmet använder vitlistning för att minska antalet helt legitima poster som visas i resultatlistan gör det tydligt att du fortfarande behöver en mängd kunskap för att förstå vad du vill behålla och vill kan vara skadligt och behöver tas bort. Eftersom skanningen är mer omfattande kan tiden för att slutföra operationen ta 10 minuter eller mer, så lite tålamod behövs. Ladda bara ner installationsinstallationen eller den bärbara versionen, kör den och tryck på Start Scan.
Om det fortfarande finns poster som du inte förstår när du granskar resultaten, kommer länken "mer information" att ta dig till onlinebiblioteket på FreeFixer-webbplatsen där mer detaljerad information förhoppningsvis kan ge en bättre uppfattning om varan är. Markera vad du vill ta bort och klicka sedan på Fix. Det finns extra inställningar för att schemalägga en bakgrundsskanning och ladda upp filer till FreeFixer när du klickar på "mer information", en fil nuker och System File Checker finns i verktygsfönstret. Windows 2000 till 8.1 stöds.
Ladda ner FreeFixer
Redaktörens anmärkning : Även om dessa 6 verktyg som vi introducerade kan lista och ta bort startposter skapas av tredjepartsprogram, är det fortfarande inte lura bevis eftersom det finns en mer avancerad typ av skadlig programvara som rootkit som kräver ett anti-rootkit-program för att upptäcka dess närvaro . Dessutom har vi sett en riktigt smart keylogger som bara lägger till startposten strax innan programmet avslutas när Windows stängs av och sedan automatiskt tar bort startposten igen efter att den startades under Windows start. Denna metod kringgår effektivt detektering på något av de fem verktygen som vi har nämnt ovan.