Uso de Autoruns para lidiar con procesos de inicio y Malware

La mayoría de los geeks tienen su herramienta de elección para lidiar con procesos que se inician automáticamente, ya sea MS Config, CCleaner o incluso Task Manager en Windows 8, pero ninguno de ellos es tan poderoso como Autoruns, que también es nuestra lección de Geek School para hoy.

NAVEGACION ESCOLAR

1. ¿Qué son las herramientas de SysInternals y cómo las usa??
2. Entendiendo el Explorador de Procesos
3. Uso de Process Explorer para solucionar problemas y diagnosticar
4. Comprensión del monitor de proceso
5. Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
6. Uso de Autoruns para lidiar con procesos de inicio y Malware
7. Uso de BgInfo para mostrar información del sistema en el escritorio
8. Uso de PsTools para controlar otras PC desde la línea de comandos
9. Analizar y administrar sus archivos, carpetas y unidades
10. Envolviendo y usando las herramientas juntas

En la antigüedad, el software se iniciaba automáticamente agregando una entrada a la carpeta de Inicio en el Menú de Inicio, o agregando un valor a la tecla Ejecutar en el registro, pero a medida que las personas y el software adquirían más experiencia para encontrar entradas no deseadas y eliminarlas , los creadores de software cuestionable comenzaron a encontrar maneras de obtener más y más astuto.

Estas sombrías compañías de crapware comenzaron a descubrir cómo cargar automáticamente su software a través de los objetos, servicios, controladores, tareas programadas, e incluso a través de algunas técnicas extremadamente avanzadas como secuestros de imágenes y AppInit_dlls..

La comprobación manual de cada una de estas condiciones no solo llevaría mucho tiempo, sino que sería casi imposible de hacer para la persona promedio.

Ahí es donde entra en Autoruns y salva el día. Claro, puede usar Process Explorer para mirar a través de la lista de procesos y profundizar en hilos y manejadores, y Process Monitor puede averiguar exactamente qué claves de registro se están abriendo mediante qué proceso y mostrarle cantidades increíbles de información. Pero ninguno de los dos detiene la carga de crapware o malware la próxima vez que inicie su PC.

Por supuesto, una estrategia inteligente sería usar los tres juntos. Process Explorer ve lo que se está ejecutando actualmente y usa su CPU y memoria, Process Monitor ve lo que la aplicación está haciendo bajo el capó, y luego las Autoruns vienen para limpiar las cosas para que no vuelvan..

Autoruns le permite ver casi todas las cosas que se cargan automáticamente en su computadora y deshabilitarlas tan fácilmente como hacer clic en una casilla de verificación. Es increíblemente fácil de usar, y casi se explica por sí mismo, excepto por algunas de las cosas realmente complicadas que necesita saber para comprender lo que realmente significan algunas de las pestañas. Eso es lo que esta lección va a enseñar..

Trabajar con la interfaz de Autoruns

Puede tomar la herramienta Autoruns del sitio web SysInternals como todo el resto y ejecutarla sin instalar. Usted querrá hacer eso antes de continuar.

Nota: Las ejecuciones automáticas no requieren que se ejecute como administrador, pero en realidad lo más sensato es simplemente hacer eso, ya que hay algunas características que no funcionarán tan bien de lo contrario, y existe una buena posibilidad de que su malware también se ejecute como administrador..

Cuando inicie la interfaz por primera vez, verá un montón de pestañas y una lista de cosas que se están iniciando automáticamente en su computadora. La pestaña de Todo por defecto muestra todo desde cada pestaña, pero puede ser un poco confuso y largo, por lo que le recomendamos que solo vaya a cada pestaña por separado..

Vale la pena señalar que, de forma predeterminada, Autoruns oculta todo lo que está integrado en Windows y está configurado para iniciarse automáticamente. Puede habilitar la visualización de esos elementos en las opciones, pero no lo recomendamos.

Desactivar elementos

Para deshabilitar cualquier elemento de la lista, simplemente puede eliminar la casilla de verificación. Eso es todo lo que tiene que hacer, simplemente repase la lista y elimine todo lo que no necesita, reinicie su computadora y luego vuelva a ejecutarla para asegurarse de que todo esté bien..

Nota: algunos programas maliciosos supervisarán constantemente las ubicaciones desde las que activan el inicio automático y devolverán el valor de inmediato. Puede usar la tecla F5 para volver a escanear y ver si alguna de las entradas volvió después de deshabilitarlas. Si aparece uno de ellos nuevamente, debes usar Process Explorer para suspender o eliminar ese malware antes de desactivarlo aquí.

Los colores

Como la mayoría de las herramientas de SysInternals, los elementos de la lista pueden ser de diferentes colores, y esto es lo que significan:

• Rosado - esto significa que no se encontró información del editor, o si la verificación del código está activada, significa que la firma digital no existe o no coincide, o que no hay información del editor.
• Verde - este color se usa cuando se compara con un conjunto anterior de datos de Autoruns para indicar un elemento que no estuvo allí la última vez.
• Amarillo - la entrada de inicio está ahí, pero el archivo o trabajo al que apunta ya no existe.

También al igual que la mayoría de las herramientas de SysInternals, puede hacer clic con el botón derecho en cualquier entrada y realizar una serie de acciones, incluido el salto a la entrada o la imagen (el archivo real en Explorer). Puede buscar en línea el nombre del proceso o los datos en la columna, ver las propiedades detalladas o ver si esa entrada se está ejecutando haciendo una búsqueda rápida a través del Explorador de procesos, aunque muchos procesos tienen un cargador que luego lanza algo más antes. salir, así que solo porque esa característica no muestra resultados no significa nada.

Si hizo clic en Saltar a la entrada, se lo llevará directamente al Editor del registro, donde podrá ver esa clave de registro en particular y mirar alrededor. Si la entrada era otra cosa, podría ser llevado a una utilidad diferente, como el Programador de tareas. La realidad es que la mayoría de las veces, las Autoruns muestran toda la misma información en la interfaz, por lo que generalmente no es necesario molestarse a menos que desee obtener más información..

El menú de Usuario le permite analizar una cuenta de usuario diferente, lo que puede ser realmente útil si ha cargado Autoruns en una cuenta diferente en la misma computadora. Vale la pena señalar que, obviamente, debería estar ejecutándose como administrador para ver otras cuentas de usuario en la PC.

Verificando las firmas de código

El elemento de menú Opciones de filtro lo lleva a un panel de opciones donde puede seleccionar una opción muy útil: Verificar firmas de código. Esto comprobará que cada firma digital se analice y verifique, y mostrará los resultados directamente en la ventana. Notarás que no se verifican todos los elementos en color rosa en la captura de pantalla a continuación o que la información del editor no existe.

Y para obtener crédito adicional, es posible que note que esta captura de pantalla de abajo es casi la misma que la que se encuentra cerca del principio, excepto en que algunos de los elementos de la lista no están marcados como rosa. La diferencia es que, de forma predeterminada, sin la opción Verificar firmas de código activada, las Autoruns solo lo alertarán con la fila rosa si no existe información del editor.

Analizar un sistema sin conexión (como en la conexión de un disco duro a otra PC)

Imagina que la computadora de tu amigo está completamente desordenada y no arranca o simplemente arranca tan lentamente que realmente no puedes usarla. Has probado el modo seguro y las opciones de recuperación como Restaurar sistema, pero no importa porque es inutilizable.

En lugar de extraer la tarjeta "reinstalar", que a menudo es solo la tarjeta "Renuncio", puede extraer el disco duro y conectarlo a su PC o computadora portátil con su práctico puerto USB. Usted tiene uno, ¿verdad? Luego simplemente cargue las Autoruns y vaya a Archivo -> Analizar el sistema sin conexión.

Busque el directorio de Windows en el otro disco duro y el perfil de usuario del usuario que está intentando diagnosticar y haga clic en Aceptar para comenzar.

Necesitará acceso de escritura al disco, por supuesto, porque querrá guardar la configuración para eliminar cualquier tontería que encuentre..

Comparando contra otra PC (o instalación limpia previa)

La opción Archivo -> Comparar no parece análoga, pero puede ser una de las formas más poderosas para analizar una PC y ver lo que se ha agregado desde la última vez que escaneo, o para comparar con una PC limpia conocida.

Para usar esta función, simplemente cargue las Autoruns en la PC que está intentando inspeccionar, o use el modo Desconectado que describimos anteriormente, luego diríjase a Archivo -> Comparar. Todo lo que se haya agregado desde la versión de archivo comparada aparecerá en verde brillante. Es tan simple como eso. Para guardar una nueva versión, usaría la opción Archivo -> Guardar.

Si realmente quieres ser un profesional, puedes guardar una configuración limpia de una nueva instalación de Windows y ponerla en una unidad flash para que la lleves contigo. Guarde una nueva versión cada vez que toque una PC por primera vez para asegurarse de que puede identificar rápidamente todos los nuevos crapware que el propietario ha agregado..

Mirando las pestañas

Como has visto hasta ahora, Autoruns es una utilidad muy simple pero poderosa que probablemente podría ser usada por casi cualquier persona. Quiero decir, todo lo que tienes que hacer es desmarcar una casilla, ¿verdad? Sin embargo, es útil tener más información sobre el significado de todas estas pestañas, por lo que intentaremos educarte aquí..

Página siguiente: Inicio de sesión, tareas programadas y secuestro de imágenes