Comodo Cleaning Essentials (CCE)
Zestaw narzędzi umożliwiający usunięcie złośliwego oprogramowania, które w wielu formach może atakować nasz system. Otrzymujemy wszystko co potrzebne w przystępnej formie:
Skaner na żądanie - umożliwia przeprowadzanie pełnego/określonego bądź szybkiego skanowania systemu. Dzięki agresywnym metodom dostępu do dysku/pomocy chmury obliczeniowej/dobrym skanerze MBR oraz anti-rootkit narzędzie jest skutecznym rozwiązaniem.
KillSwitch - menadżer procesów/usług/połączeń internetowych/ustawień systemu Windows. Program wyświetla aktualnie działające procesy w tle oraz sprawdza je na obecność złośliwego kodu. Podobnie jak usługi. Mamy dostęp do poglądu aktualnych połączeń sieciowych jak i ustawień systemu Windows. Moduł QuickReapir pozwala na naprawienie większości szkód jakie mogą nastąpić przy złośliwych modyfikacjach prowadzonych przez wirusy.
Autorun Analyzer - moduł odpowiedzialny za kontrolę nad elementami, które automatycznie uruchamiają się z systemem Windows. Są to sterowniki, biblioteki dll, pliki, wpisy Winsock i wiele innych. Program oznacza te zainfekowane oraz ukryte. Każdy wpis można usunąć lub wyłączyć z autostartu.
Program posiada funkcje:
Aggressive Mode - “agresywne uruchamianie” (klawisz Shift), (więcej: USUWANIE INFEKCJI FAKEAV), Importowanie baz wirusów - aktualizacje można pobrać na innym komputerze i wprowadzić je do naszej kopii programu, Zapisywanie logów - ze skanowania i usuwania.
Nacisnięcie “Apply” spowoduje zastosowanie akcji domyślnej.
UWAGA
Po udanym skanie program poprosi nas o ponownie uruchomienie systemu w celu potwierdzenia usunięcia i stwierdzenia obecności ukrytych usług systemowych.
KillSwitch to manager procesów/usług/połączeń i ustawień systemu Windows. Daje szybki dostęp do wglądu na to “co sie dzieje w systemie”. Dzięki zintegrowanemu sprawdzaniu w chmurze daje nam jasny obraz na to co jest bezpieczne - a co powinniśmy usunąć.
Jak uruchomić KillSwitch? Z folderu CCE killswitch.exe bądź z okna głównego CCE “Tools>Kilswitch”.
Narzędzie to zapewne zostanie docenione za swoje funkcje przez bardziej zaawansowanych użytkowników. Dokładny wgląd na procesy, usługi oraz funkcja “Boot Logging” (Killswitch>Tools> "Enable Boot Logging") pozwalają na dokładną ocenę sytuacji. Wszystkie właściwości procesów są dokładnie przedstawione.
Możemy łatwo nimi manipulować poprzez opcje dostępne w górnym Menu.
Tak na przykład za jednym zamachem wszystkie podejrzane mogą zostać zakończone.
Pomocną funkcją jest również ukrycie bezpiecznych wpisów, aby łatwiej operować tymi niebezpiecznymi “View> Hide Safe Processes”.
KillSwitch dzięki modułowi QuickRepair umożliwia nam naprawę najważniejszych ustawień systemu, które są zwykle modyfikowane przy infekcji naszego komputera.
Dostęp do QucikRepair mamy z paska na dole:
Autorun Analyzer umożliwia nam dokładną obserwację “wszystkiego” co startuje wraz z systemem operacyjnym. Narzędzie jest niezwykle dokładne - i podobnie jak KillSwitch - oznacza wpisy uznane za niebezpieczne.
Jak widzimy program dzieli pliki na kategorie - umożliwia segregację i łatwą nawigację pomiędzy poszczególnymi grupami.
Bez zbędnych opisów przejdźmy do funkcji:
Menu na górze pozwala na wiele działań. Jak chociażby ukrycie bezpiecznych wpisów “View>Hide Safe Entries” (zostaną tylko te nieznane bądź niebezpieczne),
Infekcja sektora MBR może być niebezpieczna. Zazwyczaj występuje na skutek zagnieżdżenia się rootkita w systemie.
Comodo Cleaning Essentials umożliwia skuteczne i bezpieczne usunięcie tego typu zagrożenia.
Aby do tego przystąpić należy zmodyfikować ustawienia programu, w tym celu w głównym oknie CCE (po uruchomieniu CCE.exe) przechodzimy do Options:
i zaznaczamy opcję “Scan for Suspsiocus MBR Modifications”. Od teraz program sprawdzi sektor MBR na obecność złośliwych modyfikacji w Smart/Custom/Full Scan.
Wykonujemy dowolny skan - chociażby Smart Scan. Jeśli infekcja zostanie znaleziona ujrzymy takie rezultaty (tutaj: infekcja rootkitem TDL4, najnowszy wariant)
Po procesie czyszczenia niezbędny jest restart.
Podczas uruchamiania się systemu ujrzymy taką konsolę:
Ta opcja ma zapewnić dodatkowe bezpieczeństwo. W razie niepowodzenia lub uszkodzenia sektora MBR można przywrócić ten nieuszkodzony (opcja 2), przed naprawą. Wybieramy opcję pierwszą, klikamy Enter i w przypadku powodzenia cieszymy się systemem pozbawionym infekcji.
Złośliwe procesy (bezpieczne procesy są ukryte - KillSwitch>View>Hide Safe Processes).
Szablon usuwania infekcji jest uniwersalny(to oznacza, że w taki sam sposób usuwa się wiele innych wirusów)- tutaj akurat przedstawię go na przykładzie osławionej już infekcji ze znanego portalu społecznościowego
Objawem tej infekcji mogą być złośliwe procesy wykryte za pomocą narzędzia KillSwitch. Zazwyczaj jest ich sporo. Do tego dochodzą zmiany m. in.w pliku Hosts czy wyłączenie trybu awaryjnego.
Nierzadko zdarza się, że system wpada w pętle restartów. Infekcja wymusza zamknięcie systemu i utknięcie w “rozwalonym” trybie awaryjnym. Jak bardzo trudno doprowadzić wtedy komputer do ładu przekonał się każdy, kto doświadczył tej sytuacji.
Aby na dobre pozbyć się tej infekcji i jej następstw (zablokowany dostęp do domeny facebook, “wycięte” programy antywirusowe itd.) należy:
Infekcja rootkitem ZeroAccess jest bardzo groźna i trudna do usunięcia. Wszelkie narzędzia są z góry niszczone i zamykane, a sam rootkit posiada silną ochronę własnych komponentów.
Comodo Cleaning Essentials jest wstanie wykryć i usunąć rootkita.
Klasycznymi objawami infekcji są: przekierowania na inne strony, brak aktywności naszego antywirusa, niemożność otworzenia menadżerów procesów, skanerów antywirusowych itd.
Przykład fałszywego antywirusa, który blokuje uruchamianie się innych programów.
Usuwanie niektórych infekcji fałszywych antywirusów może być problematyczne. Podobnie jak w przypadku innego złośliwego oprogramowania, które blokuje uruchamianie się narzędzi potrzebnych do pracy.
CCE został wyposażony w Aggressive Mode to znaczy mechanizm agresywnego uruchamiania - wystarczy przytrzymać klawisz Shift aby program zakończył wszystkie niebezpieczne procesy i umożliwił swobodną pracę.
Aby uruchomić CCE w Aggressive Mode należy najpierw nacisnąć i przytrzymać klawisz SHIFT a następnie uruchomić plik CCE.exe z folderu programu.
Po uruchomieniu się programu mamy dostęp do narzędzi jak Autorun Analyzer, KillSwitch czy skaner za pomocą których możemy łatwo pozbyć się infekcji.
Najlepiej uruchomić skan i postępować wg instrukcji zawartych tutaj: WYKONYWANIE SKANOWANIA.
UWAGA
Czasem, aby uruchomić CCE w trybie Aggressive Mode należy podjąć kilka prób (czasem wystarczy jedna; trzymając klawisz Shift uruchamiamy CCE.exe do skutku).
Aggressive Mode jest nieskuteczny wtedy, gdy wirus modyfikuje klasy w rejestrze dotyczące uruchamiania się plików .exe. Pomocna jest wtedy zmiana nazwy CCE.exe na np. iexplore.exe.
Warto również dokonać napraw za pomocą modułu Qucik Repair (KillSwitch>Tools>Quick Repair)
Program jest w wersji Portable co oznacza, że nie wymaga instalacji.
Wystarczy wypakować pobrane archiwum.
Program automatycznie dokonuje aktualizacji.
CCE powiadomi nas również, gdy zostanie wydana nowsza wersja produktu.
Jeśli mamy problem z dokonaniem aktualizacji baz wirusów zawsze można pobrać je z tego adresu:
Teraz wystarczy przejść do programu CCE>Tools>Import Virus Database.
10. INNE
Program wszystkie znalezione zagrożenia przenosi do kwarantanny (C:\Quarantine). Można je również przejrzeć i ewentualnie przywrócić/skasować CCE>Tools>Quarantined Items…
Wygenerowane logi znajdują się w C:\Users[i]użytkownik[/i][i]katalog[/i]\CCE\Data\CCE lub można je przejrzeć poprzez CCE>Tools>Browse Logs…