|
После того как Вы обработаете список запущенных процессов ( пометите процессы как безопасные) перейдите в закладку автозапуска,
где Вы увидите список записей автозапуска процессов в системе.
Записи будут отсортированы по статусу (оценке степени опасности).
Для каждой записи в таблице будут показаны его основные характеристики,
такие как название, тип, имя файла, состояние, название компании и описание.
|
Каждая запись автозапуска оценивается программой по степени опасности и записи присваивается статус.
Опасные и скрытые записи выделяются красным цветом. Подозрительные записи жёлтым цветом.
Не все красные и жёлтые записи принадлежат процессам вирусам/шпионам, они могут использовать похожие вирусные технологии.
Ваша основная задача определить по статусу и характеристикам записи безопасный запускаемый процесс или нет.
В текущей версии программы записям автозапуска присваиваются следующие статусы:
- Опасен - запись и/или процесс скрываются или использует вирусные/шпионские технологии.
На картинке выше вы можете увидеть запись hijack, это как раз шпион и похититель паролей. Обычно поле "Компания" у таких процессов пустое, но никто не мешает прописать туда любое имя.
- Изменен - у процесса или файла изменилась контрольная сумма или в процессе созданы потоки и исполняется код чужого процесса, такой процесс потенциально опасен.
Контрольная сумма системного процесса может меняться при установке пакетов обновлений или хотфиксов Windows.
- Подозрительный - процесс автозапуска похож на вредоносный или процесс не имеет видимых окон и иконок, только драйвера (утилиты для устройств) могут не иметь видимых окон.
На картинке выше вы можете увидеть множество подозрительных записей.
Большинство их них драйвера.
Записи компании Advanced Micro Devices - это драйвера материнской платы.
Записи компании C-Media Electronic - это драйвера аудио карты.
Записи компании NVIDIA Corporation - это драйвера видеокарты.
Записи компании Lexmark International - это драйвера принтера.
Единственная подозрительная запись на файл не являющийся драйвером - swg, это программа для обновления плагина Google Toolbar для Internet Explorer, если Вам такое обновление не нужно её можно удалить.
- Обычный - запись не вызывает подозрений, процесс имеет видимые окна и не использует опасные и подозрительные технологии.
- Системный - системный процесс, без которого система не будет работать правильно, должен быть подписан компанией Microsoft.
- Безопасен - запись или процесс помечен пользователем как безопасный.
- Полезный - процесс присутствует в базе полезных программ.
- Новый - запись автозапуска обнаружена впервые. Запись может иметь одновременно статус "Новый" и любой другой из этого списка. Полный статус смотрите в окне информации о записи.
|
|
Для получения более подробной информации о записи просто сделайте двойной щелчок правой клавиши мыши по строке с нужной записью. Или выберите из контекстного меню - пункт "Информация о записи" и появится окно информации о записи.
|
|
Из окна "Информация о записи" или из контекстного меню Вы можете выполнить следующие действия над записью:
|
Информация о записи - Вызвать окно информации о записи.
Информация о процессе - Вызвать окно информации о процессе, если процесс запущен.
Пометить как Безопасный - Пометить запись и процесс как безопасный.
Проверить этот файл на вирусы через Virustotal.com - Для отправки файла на Virustotal.com, Вы должны один раз загрузить и установить VirusTotal Uploader. Это бесплатная программа vtsetup.exe размером всего 80KB. Страница загрузки программы www.virustotal.com/metodos.html.
Запустить новый процесс - Запускает исполняемый файл записи автозапуска.
Добавить запись - Добавить файл в автозапуск при старте системы или входе пользователя.
Удалить запись - Удаляет запись. Будьте внимательны, не удалите нужные файлы! Не удаляйте системные файлы и драйвера! Операционная система может перестать загружаться!
Удалить запись и файл - Удаляет запись и запускной файл. Будьте внимательны, не удалите нужные файлы! Не удаляйте системные файлы и драйвера! Операционная система может перестать загружаться!
Блокировать запуск процесса по имени файла - Блокировка работает постоянно, даже когда SPD не запущен или удален. Будьте внимательны, не блокируйте системные файлы и драйвера! Посмотреть и отредактировать список заблокированных процессов можно через меню "Команды" -> "Список заблокированных процессов".
Блокировать запуск процесса по полному пути - Блокировка работает, только если запущен SPD. Будьте внимательны, не блокируйте системные файлы и драйвера! Посмотреть и отредактировать список заблокированных процессов можно через меню "Команды" -> "Список заблокированных процессов".
|
|
