Usando o Autoruns para lidar com processos de inicialização e malware
A maioria dos geeks tem sua ferramenta preferida para lidar com processos iniciados automaticamente, seja o MS Config, o CCleaner ou até mesmo o Gerenciador de Tarefas no Windows 8, mas nenhum deles é tão poderoso quanto o Autoruns, que também é nossa lição da Escola Geek para hoje.
NAVEGAÇÃO ESCOLAR- Quais são as ferramentas SysInternals e como você as usa?
- Entendendo o Process Explorer
- Usando o Process Explorer para solucionar problemas e diagnosticar
- Entendendo o Process Monitor
- Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
- Usando o Autoruns para lidar com processos de inicialização e malware
- Usando o BgInfo para exibir informações do sistema na área de trabalho
- Usando o PsTools para controlar outros PCs a partir da linha de comando
- Analisando e gerenciando seus arquivos, pastas e unidades
- Encerrando e usando as ferramentas juntas
Antigamente, o software começava automaticamente adicionando uma entrada à pasta de inicialização no menu Iniciar ou adicionando um valor à chave Run no registro, mas à medida que as pessoas e o software se tornavam mais experientes em encontrar entradas indesejadas e excluí-las , os fabricantes de software questionável começaram a encontrar maneiras de ficar cada vez mais sorrateira.
Essas empresas de crapware obscuros começaram a descobrir como carregar automaticamente seu software através de objetos auxiliares do navegador, serviços, drivers, tarefas agendadas e até mesmo através de algumas técnicas extremamente avançadas, como sequestro de imagens e AppInit_dlls.
A verificação de cada uma dessas condições manualmente não seria apenas demorada, mas quase impossível para a pessoa média.
É aí que o Autoruns entra e salva o dia. Claro, você pode usar o Process Explorer para examinar a lista de processos e aprofundar-se em threads e identificadores, e o Process Monitor pode descobrir exatamente quais chaves de registro estão sendo abertas por cada processo e mostrar uma quantidade incrível de informações. Mas nenhum deles impede que o malware ou o malware sejam carregados novamente na próxima vez que você inicializar o seu PC.
Claro, uma estratégia inteligente seria usar todos os três juntos. O Process Explorer vê o que está sendo executado no momento e usa sua CPU e memória, o Process Monitor vê o que o aplicativo está fazendo sob o capô e, em seguida, o Autoruns entra para limpar as coisas para que elas não voltem.
O Autoruns permite que você veja quase todas as coisas carregadas automaticamente no seu computador e desative-as tão facilmente quanto clicar em uma caixa de seleção. É incrivelmente fácil de usar e quase autoexplicativo, exceto algumas das coisas realmente complicadas que você precisa saber para entender o que algumas das guias realmente significam. Isso é o que esta lição vai ensinar.
Trabalhando com a interface do Autoruns
Você pode pegar a ferramenta Autoruns no site da SysInternals da mesma forma que todo o resto e executá-la sem instalá-la. Você vai querer fazer isso antes de prosseguir.
Nota: O Autoruns não precisa ser executado como administrador, mas, de forma realista, faz mais sentido apenas fazer isso, já que há alguns recursos que não funcionam tão bem, e há uma boa chance de seu malware estar em execução como administrador também.
Quando você iniciar a interface pela primeira vez, verá várias guias e uma lista de itens que estão sendo iniciados automaticamente no seu computador. A guia "Tudo" padrão mostra tudo em todas as guias, mas pode ser um pouco confusa e demorada, por isso, aconselhamos que você passe por cada guia separadamente.
Vale a pena notar que, por padrão, o Autoruns oculta tudo o que é construído no Windows e configura para iniciar automaticamente. Você pode ativar a exibição desses itens nas opções, mas não recomendamos.
Desativando itens
Para desabilitar qualquer item da lista, basta remover a caixa de seleção. Isso é tudo que você precisa fazer, basta percorrer a lista e remover tudo o que não precisa, reinicializar o computador e executá-lo novamente para garantir que tudo esteja bem..
Nota: alguns malwares monitoram constantemente os locais de onde eles disparam o início automático e imediatamente colocam o valor de volta. Você pode usar a tecla F5 para verificar novamente e ver se alguma das entradas retornou após desativá-las. Se um deles aparecer novamente, você deve usar o Process Explorer para suspender ou matar o malware antes de desativá-lo aqui.
As cores
Como a maioria das ferramentas do SysInternals, os itens na lista podem ter cores diferentes, e aqui está o que eles significam:
- Rosa - Isso significa que nenhuma informação do editor foi encontrada ou, se a verificação do código estiver ativada, significa que a assinatura digital não existe ou não corresponde ou não há informações do editor.
- Verde - essa cor é usada ao comparar com um conjunto anterior de dados do Autoruns para indicar um item que não estava na última vez.
- Amarelo - a entrada de inicialização está lá, mas o arquivo ou o trabalho para o qual ele aponta não existe mais.
Além disso, assim como a maioria das ferramentas SysInternals, você pode clicar com o botão direito do mouse em qualquer entrada e executar várias ações, incluindo o salto para a entrada ou imagem (o arquivo real no Explorer). Você pode pesquisar on-line pelo nome do processo ou pelos dados na coluna, ver as propriedades detalhadas ou ver se essa entrada está sendo executada, fazendo uma pesquisa rápida no Process Explorer - embora muitos processos tenham um carregador que inicia algo diferente antes saindo, então só porque esse recurso não mostra nenhum resultado não significa nada.
Se você clicou em Saltar para Entrada, será levado diretamente para o Editor do Registro, onde poderá ver essa chave do Registro específica e dar uma olhada. Se a entrada foi outra coisa, você pode ser levado para um utilitário diferente, como o Agendador de Tarefas. A realidade é que, na maioria das vezes, o Autoruns exibe todas as informações na interface, então você não precisa se incomodar a menos que queira aprender mais.
O menu Usuário permite que você analise uma conta de usuário diferente, o que pode ser realmente útil se você tiver carregado o Autoruns em uma conta diferente no mesmo computador. Vale a pena notar que você obviamente precisaria estar executando como administrador para ver outras contas de usuário no PC.
Verificando Assinaturas de Código
O item de menu Opções de filtro leva você a um painel de opções onde você pode selecionar uma opção muito útil: Verificar assinaturas de código. Isso verificará se cada assinatura digital é analisada e verificada e exibirá os resultados diretamente na janela. Você perceberá que todos os itens em rosa na captura de tela abaixo não foram verificados ou as informações do editor não existem.
E para crédito extra, você pode notar que esta imagem abaixo é quase a mesma que a próxima do começo, exceto naquela que alguns dos itens da lista não estão marcados como rosa. A diferença é que, por padrão, sem a opção Verificar assinaturas de código ativada, o Autoruns só alertará você com a linha rosa se não houver informações do editor.
Analisar um sistema offline (como na conexão de um disco rígido a outro PC)
Imagine que o computador do seu amigo está completamente bagunçado e não inicializa ou apenas inicializa tão lentamente que você não pode realmente usá-lo. Você tentou o modo de segurança e as opções de recuperação, como a Restauração do sistema, mas isso não importa, porque é inutilizável.
Em vez de puxar a placa “reinstalar”, que geralmente é apenas a placa “desistir”, você pode puxar o disco rígido e conectá-lo ao seu PC ou laptop com a sua conveniente estação de disco rígido USB. Você tem um, certo? Em seguida, basta carregar o Autoruns e ir para Arquivo -> Analisar sistema offline.
Navegue para encontrar o diretório do Windows no outro disco rígido e o perfil de usuário do usuário que você está tentando diagnosticar e clique em OK para iniciar.
Você precisará de acesso de gravação para a unidade, é claro, porque você vai querer salvar as configurações para remover qualquer bobagem que você acaba encontrando.
Comparando com outro PC (ou instalação limpa anterior)
A opção Arquivo -> Comparar parece indefinida, mas pode ser uma das formas mais poderosas de analisar um PC e ver o que foi adicionado desde a última vez que você digitalizou, ou comparar com um PC limpo conhecido.
Para usar esse recurso, basta carregar o Autoruns no PC que você está tentando inspecionar ou usar o modo Offline que descrevemos anteriormente e, em seguida, vá para Arquivo -> Comparar. Tudo o que foi adicionado desde a versão de arquivo comparada aparecerá em verde brilhante. É simples assim. Para salvar uma nova versão, você usaria a opção Arquivo -> Salvar.
Se você realmente quer ser um profissional, você pode salvar uma configuração limpa a partir de uma nova instalação do Windows e colocá-la em uma unidade flash para levar com você. Salve uma nova versão toda vez que você tocar em um PC pela primeira vez para ter certeza de que pode identificar rapidamente todos os novos itens de caga que o proprietário adicionou.
Olhando para as abas
Como você viu até agora, o Autoruns é um utilitário muito simples, mas poderoso, que provavelmente poderia ser usado por praticamente qualquer pessoa. Quero dizer, tudo que você precisa fazer é desmarcar uma caixa, certo? No entanto, é útil ter mais algumas informações sobre o que todas essas guias significam, por isso vamos tentar educá-lo aqui.
Próxima página: logon, tarefas agendadas e seqüestro de imagens