الصفحة الرئيسية » howto » استخدم Autoruns لتنظيف جهاز كمبيوتر مصاب يدوياً

    استخدم Autoruns لتنظيف جهاز كمبيوتر مصاب يدوياً

    هناك العديد من برامج مكافحة البرامج الضارة التي ستقوم بتنظيف النظام الخاص بك من الأشرار ، ولكن ماذا يحدث إذا كنت غير قادر على استخدام مثل هذا البرنامج؟ لا غنى عن Autoruns ، من SysInternals (المكتسبة حديثاً بواسطة Microsoft) ، عند إزالة البرامج الضارة يدوياً.

    هناك عدة أسباب وراء حاجتك لإزالة الفيروسات وبرامج التجسس يدويًا:

    • ربما لا يمكنك الالتزام بتشغيل برامج مكافحة الفيروسات الضارة والجائعة على جهاز الكمبيوتر الخاص بك
    • قد تحتاج إلى تنظيف جهاز الكمبيوتر الخاص بأمك (أو شخص آخر لا يفهم أن علامة تومض كبيرة على موقع ويب تقول أن "جهازك مصاب بفيروس - انقر هنا لإزالته" ليست رسالة يمكن بالضرورة أن تكون موثوق به)
    • البرامج الضارة عدوانية جدًا لدرجة أنها تقاوم كل المحاولات لإزالتها تلقائيًا ، أو لن تسمح لك حتى بتثبيت برامج مكافحة البرامج الضارة
    • جزء من عقيدة المهوس الخاص بك هو الاعتقاد بأن المرافق المضادة للتجسس هي للمخنثين

    Autoruns هو إضافة لا تقدر بثمن إلى أي مجموعة أدوات البرمجيات المهوس. يسمح لك بتتبع كافة البرامج (ومكونات البرامج) والتحكم فيها والتي تبدأ تلقائيًا مع Windows (أو مع Internet Explorer). افتراضيًا ، تم تصميم جميع البرامج الضارة لبدء التشغيل تلقائيًا ، لذا توجد فرصة قوية جدًا يمكن اكتشافها وإزالتها بمساعدة Autoruns.

    لقد قمنا بتغطية كيفية استخدام Autoruns في مقالة سابقة ، والتي يجب عليك قراءتها إذا كنت بحاجة إلى التعرف أولاً على البرنامج.

    Autoruns هو أداة قائمة بذاتها لا تحتاج إلى تثبيتها على جهاز الكمبيوتر الخاص بك. يمكن تنزيله وفك ضغطه وتشغيله (الرابط أدناه). هذا هو مناسب بشكل مثالي لإضافة إلى مجموعة المرافق المحمولة على محرك أقراص فلاش الخاص بك.

    عند تشغيل Autoruns لأول مرة على جهاز الكمبيوتر ، يتم تقديم اتفاقية الترخيص الخاصة بك:

    بعد الموافقة على الشروط ، يتم فتح نافذة Autoruns الرئيسية ، والتي تعرض لك قائمة كاملة بكل البرامج التي سيتم تشغيلها عند بدء تشغيل الكمبيوتر ، أو عند تسجيل الدخول ، أو عند فتح Internet Explorer:

    لتعطيل أحد البرامج مؤقتًا من التشغيل ، ألغ تحديد المربع المجاور لإدخاله. ملاحظة: هذا يفعل ليس إنهاء البرنامج إذا كان يعمل في ذلك الوقت - فإنه يمنع فقط من البدء التالى زمن. لمنع البرنامج من الانطلاق بشكل دائم ، احذف الإدخال تمامًا (استخدم حذف مفتاح ، أو انقر بزر الماوس الأيمن واختر حذف من قائمة السياق)). ملاحظة: هذا يفعل ليس إزالة البرنامج من جهاز الكمبيوتر الخاص بك - لإزالته بالكامل تحتاج إلى إلغاء تثبيت البرنامج (أو حذفه من القرص الثابت).

    برامج مشبوهة

    قد يتطلب الأمر خبرة عادلة (اقرأ "التجربة والخطأ") ليصبحوا ماهرين في تحديد البرامج الضارة وما هو غير ذلك. معظم الإدخالات المقدمة في Autoruns هي برامج مشروعة ، حتى لو كانت أسماءهم غير مألوفة بالنسبة لك. إليك بعض النصائح لمساعدتك على تمييز البرامج الضارة عن البرامج المشروعة:

    • إذا كان هناك إدخال موقّع رقميًا من قِبل ناشر البرنامج (أي يوجد إدخال في الناشر عمود) أو "وصف" ، ثم هناك فرصة جيدة أنه شرعي
    • إذا تعرفت على اسم البرنامج ، فعادةً ما يكون مقبولًا. لاحظ أن البرامج الضارة من حين لآخر "ستعمل على انتحال" البرامج الشرعية ، ولكنها تعتمد اسمًا مشابهًا أو مشابهًا للبرامج التي تعرفها (على سبيل المثال "AcrobatLauncher" أو "PhotoshopBrowser"). أيضًا ، يجب الانتباه إلى أن العديد من برامج البرامج الضارة تستخدم أسماء عامة أو غير حميدة ، مثل "Diskfix" أو "SearchHelper" (كلاهما مذكور أدناه).
    • تظهر إدخالات البرامج الضارة عادة على تسجيل دخول التبويب من Autoruns (ولكن ليس دائما!)
    • إذا قمت بفتح المجلد الذي يحتوي على ملف EXE أو DLL (المزيد على هذا أدناه) ، فقم بفحص تاريخ "آخر تعديل" ، وغالباً ما تكون التواريخ من الأيام القليلة الماضية (على افتراض أن العدوى حديثة إلى حد ما)
    • غالبًا ما توجد البرامج الضارة في المجلد C: \ Windows أو المجلد C: \ Windows \ System32
    • غالبًا ما تحتوي البرامج الضارة على رمز عام (على يسار اسم الإدخال)

    إذا كنت في شك ، فانقر بزر الماوس الأيمن فوق الإدخال وحدد البحث على الإنترنت ...

    تعرض القائمة أدناه مدخلين مرئيين مشبوهين: Diskfix و SearchHelper

    تعتبر هذه الإدخالات ، الموضحة أعلاه ، نموذجًا معتادًا للإصابات بالبرامج الضارة:

    • ليس لديهم أوصاف أو ناشرون
    • لديهم أسماء عامة
    • توجد الملفات في C: \ Windows \ System32
    • لديهم أيقونات عامة
    • أسماء الملفات هي سلاسل عشوائية من الأحرف
    • إذا نظرت في المجلد C: \ Windows \ System32 وحددت الملفات ، سترى أنها بعض من أحدث الملفات المعدلة في المجلد (انظر أدناه)

    سينقلك النقر المزدوج على العناصر إلى مفاتيح التسجيل المقابلة الخاصة بها:

    إزالة البرامج الضارة

    بمجرد تحديد الإدخالات التي تعتقد أنها مشبوهة ، عليك الآن أن تقرر ما تريد القيام به معهم. اختياراتك تشمل:

    • قم بتعطيل إدخال "التشغيل التلقائي" مؤقتًا
    • بشكل دائم حذف إدخال التشغيل التلقائي
    • حدد موقع عملية التشغيل (باستخدام إدارة المهام أو ما شابه) وإنهائها
    • احذف ملف EXE أو DLL من القرص (أو على الأقل نقله إلى مجلد حيث لن يتم تشغيله تلقائيًا)

    أو كل ما سبق ، اعتمادًا على مدى تأكدك من أن البرنامج برنامج ضار.

    لمعرفة ما إذا نجحت تغييراتك ، ستحتاج إلى إعادة تشغيل جهازك ، وتحقق من أيٍّ مما يلي أو كل ما يلي:

    • Autoruns - لمعرفة ما إذا كان الإدخال قد عاد
    • إدارة المهام (أو ما شابه) - لمعرفة ما إذا كان البرنامج قد بدأ مرة أخرى بعد إعادة التشغيل
    • تحقق من السلوك الذي قادك إلى الاعتقاد بأن جهاز الكمبيوتر الخاص بك كان مصابًا في المقام الأول. إذا لم يعد يحدث ، فمن المحتمل أن يكون جهاز الكمبيوتر الخاص بك نظيفًا

    استنتاج

    هذا الحل ليس متاحًا للجميع ومن المرجح أنه موجه للمستخدمين المتقدمين. عادةً ما يستخدم التطبيق "مكافحة الفيروسات" عالي الجودة ، ولكن إذا لم يكن Autoruns أداة قيمة في مجموعة أدوات مكافحة البرامج الضارة.

    ضع في اعتبارك أنه من الصعب إزالة بعض البرامج الضارة عن غيرها. تحتاج في بعض الأحيان إلى عدة تكرارات من الخطوات المذكورة أعلاه ، مع كل تكرار تتطلب منك أن تبحث بمزيد من العناية عند كل إدخال Autorun. في بعض الأحيان لحظة قيامك بإزالة إدخال Autorun ، تحل البرامج الضارة التي يتم تشغيلها محل الإدخال. عندما يحدث هذا ، نحتاج إلى أن نكون أكثر عدوانية في اغتيالنا للبرامج الضارة ، بما في ذلك إنهاء البرامج (حتى البرامج الشرعية مثل Explorer.exe) المصابة بالبرامج الضارة DLLs.

    قريبا سوف نقوم بنشر مقالة حول كيفية تحديد وتحديد وإيقاف العمليات التي تمثل البرامج الشرعية ولكنها تعمل DLLs المصابة ، بحيث يمكن حذف تلك DLLs من النظام.

    تحميل Autoruns من SysInternals

    استخدام الإشارات المرجعية لتصفح مستندات Word بشكل أسرع
    استخدم Boolean و Dates و Wildcards لإعطاء عمليات البحث دفعة
    استخدم تطبيق Apple Watch's Breathe من أجل يوم أكثر وعياً
    المادة التالية
    استخدم BGInfo لإنشاء قاعدة بيانات من معلومات النظام الخاصة بأجهزة الكمبيوتر المتصلة بالشبكة
    المقال السابق
    استخدم Auditing إلى مجلدات آمنة على شبكة