Author Topic: Comodo Cleaning Essentials - poradnik.  (Read 44704 times)

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
Comodo Cleaning Essentials - poradnik.
« on: December 26, 2011, 04:48:52 PM »
Comodo Cleaning Essentials (CCE)

Zestaw narzędzi umożliwiający usunięcie złośliwego oprogramowania, które w wielu formach może atakować nasz system. Otrzymujemy wszystko co potrzebne w przystępnej formie:

SPIS TREŚCI
1. OPIS OGÓLNY
2. WYKONYWANIE SKANOWANIA
3. KILLSWITCH
4. AUTORUN ANALYZER
Usuwanie konkretnych infekcji
5. USUWANIE INFEKCJI MBR
6. USUWANIE "INFEKCJI Z FACEBOOKA"
7. USUWANIE INFEKCJI ZEROACCESS
8. USUWANIE INFEKCJI FAKEAV

9. POBIERANIE PROGRAMU, AKTUALIZACJE
10. INNE

1. OPIS OGÓLNY

  • Skaner na żądanie - umożliwia przeprowadzanie pełnego/określonego bądź szybkiego skanowania systemu. Dzięki agresywnym metodom dostępu do dysku/pomocy chmury obliczeniowej/dobrym skanerze MBR oraz anti-rootkit narzędzie jest skutecznym rozwiązaniem.
  • KillSwitch - menadżer procesów/usług/połączeń internetowych/ustawień systemu Windows. Program wyświetla aktualnie działające procesy w tle oraz sprawdza je na obecność złośliwego kodu. Podobnie jak usługi. Mamy dostęp do poglądu aktualnych połączeń sieciowych jak i ustawień systemu Windows. Moduł QuickReapir pozwala na naprawienie większości szkód jakie mogą nastąpić przy złośliwych modyfikacjach prowadzonych przez wirusy.
  • Autorun Analyzer - moduł odpowiedzialny za kontrolę nad elementami, które automatycznie uruchamiają się z systemem Windows. Są to sterowniki, biblioteki dll, pliki, wpisy Winsock i wiele innych. Program oznacza te zainfekowane oraz ukryte. Każdy wpis można usunąć lub wyłączyć z autostartu.

Program posiada funkcje:

Aggressive Mode - "agresywne uruchamianie" (klawisz Shift), (więcej: USUWANIE INFEKCJI FAKEAV),
Importowanie baz wirusów - aktualizacje można pobrać na innym komputerze i wprowadzić je do naszej kopii programu,
Zapisywanie logów - ze skanowania i usuwania.
« Last Edit: August 10, 2012, 11:16:36 AM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
2. WYKONYWANIE SKANOWANIA
« Reply #1 on: December 26, 2011, 05:05:08 PM »
2. WYKONYWANIE SKANOWANIA

Aby wykonać skanowanie programem Comodo Cleaning Essentials należy pobrać archiwum:

Dla systemów o architekturze x32: http://download.comodo.com/cce/download/setups/cce_2.5.242177.201_x32.zip

Dla systemów o architekturze x64: http://download.comodo.com/cce/download/setups/cce_2.5.242177.201_x64.zip


Następnie wypakować i uruchomić plik CCE.exe.

-Jeśli uruchomienie CCE.exe jest niemożliwe np. z powodu blokowania tej operacji przez aktywną infekcję uruchom CCE w trybie AGGRESSIVE MODE-

W oknie, które nam się pojawi w zależności od naszych preferencji wybrać:



  • Smart Scan - program wykona szybki skan najważniejszych stref systemu w poszukiwaniu zainfekowanych procesów, wpisów w rejestrze i plików.
  • Full Scan - program wykona pełen skan systemu.
  • Custom Scan - program wykona skanowanie, które możemy dokładnie określić (jak elementy, które będą przeskanowane).
Po wybraniu skanowania program dokona aktualizacji baz wirusów a następnie będzie kontynuował proces :



I wyniki po zakończeniu:

Nacisnięcie "Apply" spowoduje zastosowanie akcji domyślnej.

UWAGA
Po udanym skanie program  poprosi nas o ponownie uruchomienie systemu w celu potwierdzenia usunięcia i stwierdzenia obecności ukrytych usług systemowych.
« Last Edit: August 10, 2012, 11:09:41 AM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
3. KILLSWITCH
« Reply #2 on: December 26, 2011, 05:37:33 PM »
3. KILLSWITCH

KillSwitch  to manager procesów/usług/połączeń i ustawień systemu Windows. Daje szybki dostęp do wglądu na to "co sie dzieje w systemie". Dzięki zintegrowanemu sprawdzaniu w chmurze daje nam jasny obraz na to co jest bezpieczne - a co powinniśmy usunąć.

Jak uruchomić KillSwitch? Z folderu CCE killswitch.exe bądź z okna głównego CCE "Tools>Kilswitch".


Główne okno programu

Narzędzie to zapewne zostanie docenione za swoje funkcje przez bardziej zaawansowanych użytkowników. Dokładny wgląd na procesy, usługi oraz funkcja "Boot Logging" (Killswitch>Tools> "Enable Boot Logging") pozwalają na dokładną ocenę sytuacji. Wszystkie właściwości procesów są dokładnie przedstawione.

Możemy łatwo nimi manipulować poprzez opcje dostępne w górnym Menu.
Tak na przykład za jednym zamachem wszystkie podejrzane mogą zostać zakończone.
Pomocną funkcją jest również ukrycie bezpiecznych wpisów, aby łatwiej operować tymi niebezpiecznymi "View> Hide Safe Processes".


Pliki działające w pamięci, które zostały uznane za niebezpieczne będą oznaczone kolorem czerwonym (podobnie jak ukryte).


Opcje dostępne z PPM dla procesów:



Podstawowe:
  • Window - ustawienia okna,
  • Set Priority - nadajemy procesowi priorytet z jakim ma dostęp do zasobów systemowych,
  • Kill Process - zakańczamy działanie procesu,
  • Force Terminate - wymuszone  zamknięcie programu,
  • Delete - usunięcie pliku,
  • Suspend - zatrzymanie procesu (z możliwością przywrócenia go do pracy w każdym momencie>"Resume")
  • Jump to Folder - otwarta zostanie lokalizacja pliku,
  • Send to Comodo - plik zostanie wysłany do Comodo w celu analizy,


Widok na właściwości pliku(PPM>"Properties"):




KillSwitch dzięki modułowi QuickRepair umożliwia nam naprawę najważniejszych ustawień systemu, które są zwykle modyfikowane przy infekcji  naszego komputera.
Dostęp do QucikRepair mamy z paska na dole:

bądź KillSwitch>Tools>Qucik Repair.

Zakres działania Quick Reapir:

Gdy któraś z tych usłyg zostanie zmieniona/wyłączona program powiadomi nas o tym i  umożliwia naprawę.


UWAGA
Oprócz wspomnianych funkcji program posiada wiele innych, charakterystycznych dla tego typu managerów procesów systemowych.


« Last Edit: August 10, 2012, 11:18:22 AM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
4. AUTORUN ANALYZER
« Reply #3 on: December 26, 2011, 05:49:21 PM »

4. AUTORUN ANALYZER

Autorun Analyzer umożliwia nam dokładną obserwację "wszystkiego" co startuje wraz z systemem operacyjnym. Narzędzie jest niezwykle dokładne - i podobnie jak KillSwitch - oznacza wpisy uznane za niebezpieczne.


Główne okno programu

Jak widzimy program dzieli pliki na kategorie - umożliwia segregację i łatwą nawigację pomiędzy poszczególnymi grupami.

Bez zbędnych opisów przejdźmy do funkcji:

Menu na górze pozwala na wiele działań. Jak chociażby ukrycie bezpiecznych wpisów "View>Hide Safe Entries"  (zostaną tylko te nieznane bądź niebezpieczne),

Manipulacje możliwe dotyczące pojedynczego wpisu:



Takie jak:
  • Delete - plik zostanie usunięty z systemu,
  • Enabled - odznaczenie tej opcji spowoduje wyłączenie tego pliku z autostartu,


Gdy się postaramy i posiadamy odpowiednią wiedzę możemy wyleczyć  praktycznie każdą infekcję przez Autorun Analyzer.



Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
5. USUWANIE INFEKCJI MBR
« Reply #4 on: December 26, 2011, 06:07:25 PM »
5. USUWANIE INFEKCJI MBR
Pobierz najnowszą wersję CCE ( POBIERANIE PROGRAMU, AKTUALIZACJE)

Infekcja sektora MBR może być niebezpieczna. Zazwyczaj występuje na skutek zagnieżdżenia się rootkita w systemie.
Comodo Cleaning Essentials umożliwia skuteczne i bezpieczne usunięcie tego typu zagrożenia.

Aby do tego przystąpić należy zmodyfikować ustawienia programu, w tym celu w głównym oknie CCE (po uruchomieniu CCE.exe) przechodzimy do Options:


i zaznaczamy opcję "Scan for Suspsiocus MBR Modifications". Od teraz program sprawdzi sektor MBR na obecność złośliwych modyfikacji w Smart/Custom/Full Scan.

Wykonujemy dowolny skan - chociażby Smart Scan. Jeśli infekcja zostanie znaleziona ujrzymy takie rezultaty (tutaj: infekcja rootkitem TDL4, najnowszy wariant)



Po procesie czyszczenia niezbędny jest restart.

Podczas uruchamiania się systemu ujrzymy taką konsolę:



Ta opcja ma zapewnić dodatkowe bezpieczeństwo. W razie niepowodzenia lub uszkodzenia sektora MBR można przywrócić ten nieuszkodzony (opcja 2), przed naprawą. Wybieramy opcję pierwszą, klikamy Enter i w przypadku powodzenia cieszymy się systemem pozbawionym infekcji.




« Last Edit: August 10, 2012, 11:10:35 AM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
6. USUWANIE "INFEKCJI Z FACEBOOKA"
« Reply #5 on: December 26, 2011, 06:10:31 PM »
6. USUWANIE "INFEKCJI Z FACEBOOKA"
Pobierz najnowszą wersję CCE ( POBIERANIE PROGRAMU, AKTUALIZACJE)


Złośliwe procesy (bezpieczne procesy są ukryte - KillSwitch>View>Hide Safe Processes).

Szablon usuwania infekcji jest uniwersalny(to oznacza, że w taki sam sposób usuwa się wiele innych wirusów)- tutaj akurat przedstawię go na przykładzie osławionej już infekcji ze znanego portalu społecznościowego :)

Objawem tej infekcji mogą być złośliwe procesy wykryte za pomocą narzędzia KillSwitch. Zazwyczaj jest ich sporo. Do tego dochodzą zmiany m. in.w pliku Hosts czy wyłączenie trybu awaryjnego.

Nierzadko zdarza się, że system wpada w pętle restartów. Infekcja wymusza zamknięcie systemu i utknięcie w "rozwalonym" trybie awaryjnym. Jak bardzo trudno doprowadzić wtedy komputer do ładu przekonał się każdy, kto doświadczył tej sytuacji.

Aby na dobre pozbyć się tej infekcji i jej następstw (zablokowany dostęp do domeny facebook, "wycięte" programy antywirusowe itd.) należy:


Wyniki skanowania.


1. Pobrać kopię programu.
2. Wykonać skanowanie systemu. (WYKONYWANIE SKANOWANIA)
  • Jeśli występują restarty - uruchomić w trybie Aggressive Mode( USUWANIE INFEKCJI FAKEAV)
  • Jeśli nie występują restarty i inne zakłócenia - nie jest konieczne uruchamianie w Aggressive Mode.
3. Usunąc znalezione zagrożenia.
4. Przywrócić ustawienia sieciowe sprzed infekcji za pomocą narzędzia Quick Repair (KillSwitch>Tools>Quick Repair)( KILLSWITCH)


Zmiany w systemie po infekcji.

UWAGA
Aby mieć absolutną pewność warto również przeskanować system innym narzędziem.

« Last Edit: December 27, 2011, 12:26:13 PM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
7. USUWANIE INFEKCJI ZEROACCESS
« Reply #6 on: December 27, 2011, 09:10:59 AM »
7. USUWANIE INFEKCJI ZEROACCESS
Pobierz najnowszą wersję CCE ( POBIERANIE PROGRAMU, AKTUALIZACJE)

Infekcja rootkitem ZeroAccess jest bardzo groźna i trudna do usunięcia. Wszelkie narzędzia są z góry niszczone i zamykane, a sam rootkit posiada silną ochronę własnych komponentów.
Comodo Cleaning Essentials jest wstanie wykryć i usunąć rootkita.
Klasycznymi objawami infekcji są: przekierowania na inne strony, brak aktywności naszego antywirusa, niemożność otworzenia  menadżerów procesów, skanerów antywirusowych itd.



Obecność rootkita w systemie możemy zaobserwować m. in. za pomocą KillSwitcha.

Aby pozbyć się infekcji pobieramy najnowszą kopię programu i rozpoczynamy skanowanie zgodnie z tymi wskazówkami: WYKONYWANIE SKANOWANIA.

W moim wypadku wykonałem Smart Scan, który wykrył usługę rootkita:



Najlepiej jednak wykonać pełne skanowanie aby mieć pewność, że wszystkie komponenty rootkita zostaną wykryte i usunięte.

Po restarcie (zakończonym skanowaniu) otwieramy narzędzie KillSwitch (CCE> killswitch.exe) i moduł Qucik Repair:



Naprawiamy wszelkie zmiany i restartujemy system. (W razie wątpliwości patrz: KILLSWITCH).

UWAGA
W celu 100% pewności pozbycia się infekcji warto przeskanować system innymi narzędziami jak Malwarebytes' Anti-Malware.
« Last Edit: December 27, 2011, 12:26:16 PM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
8. USUWANIE INFEKCJI FAKEAV
« Reply #7 on: December 27, 2011, 09:27:45 AM »
8. USUWANIE INFEKCJI FAKEAV
Pobierz najnowszą wersję CCE ( POBIERANIE PROGRAMU, AKTUALIZACJE)


Przykład fałszywego antywirusa, który blokuje uruchamianie się innych programów.


Usuwanie niektórych infekcji fałszywych antywirusów może być problematyczne. Podobnie jak w przypadku innego złośliwego oprogramowania, które blokuje uruchamianie się narzędzi potrzebnych do pracy.

CCE został wyposażony w Aggressive Mode to znaczy mechanizm agresywnego uruchamiania - wystarczy przytrzymać klawisz Shift aby program zakończył wszystkie niebezpieczne procesy i umożliwił swobodną pracę.


Aby uruchomić CCE w Aggressive Mode należy najpierw nacisnąć i przytrzymać klawisz SHIFT a następnie uruchomić plik CCE.exe z folderu programu.

Po uruchomieniu się programu mamy dostęp do narzędzi jak Autorun Analyzer, KillSwitch czy skaner za pomocą których możemy łatwo pozbyć się infekcji.
Najlepiej uruchomić skan i postępować wg instrukcji zawartych tutaj: WYKONYWANIE SKANOWANIA.

UWAGA
Czasem, aby uruchomić CCE w trybie Aggressive Mode należy podjąć kilka prób (czasem wystarczy jedna; trzymając klawisz Shift uruchamiamy CCE.exe do skutku).
Aggressive Mode jest nieskuteczny wtedy, gdy wirus modyfikuje klasy w rejestrze dotyczące uruchamiania się plików .exe. Pomocna jest wtedy zmiana nazwy CCE.exe na np. iexplore.exe.
Warto również dokonać napraw za pomocą modułu Qucik Repair (KillSwitch>Tools>Quick Repair)

« Last Edit: December 27, 2011, 12:26:18 PM by morphiusz »

Offline miloszcz

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 3082
    • Suspicious file?
Re: Comodo Cleaning Essentials - poradnik.
« Reply #8 on: December 27, 2011, 12:13:40 PM »
9. POBIERANIE PROGRAMU, AKTUALIZACJE

Program dostępny jest pod tymi adresami do pobrania:

Dla systemów o architekturze x32: http://download.comodo.com/cce/download/setups/cce_2.5.242177.201_x32.zip

Dla systemów o architekturze x64: http://download.comodo.com/cce/download/setups/cce_2.5.242177.201_x64.zip


Program jest w wersji Portable co oznacza, że nie wymaga instalacji.
Wystarczy wypakować pobrane archiwum.

Program automatycznie dokonuje aktualizacji.
CCE powiadomi nas również, gdy zostanie wydana nowsza wersja produktu.

Jeśli mamy problem z dokonaniem aktualizacji baz wirusów zawsze można pobrać je z tego adresu:  

http://www.comodo.com/home/internet-security/updates/vdp/database.php

Teraz wystarczy przejść do programu CCE>Tools>Import Virus Database.



10. INNE

Program wszystkie znalezione zagrożenia przenosi do kwarantanny (C:\Quarantine). Można je również przejrzeć i ewentualnie przywrócić/skasować CCE>Tools>Quarantined Items...

Wygenerowane logi znajdują się w C:\Users\użytkownik\katalog\CCE\Data\CCE lub można je przejrzeć poprzez CCE>Tools>Browse Logs...


Morphiusz
« Last Edit: August 10, 2012, 11:15:28 AM by morphiusz »

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek