Kindlasti on mõni aktiivsem ineternetikasutaja märganud, et tihtipeale ei aita arvuti pahavarasse nakatumise vastu ka see, kui süsteemi kaitseb viirusetõrje. Pole oluline, kas nakkus saadakse läbi P2P programmide, Messengeri teel, surfates ebasoovitavatel veebilehtedel, või ka, tuleb tunnistada, justkui puhastel ja ausatel lehtedel käimisel, ent mis on kräkkerite poolt pahatahtlike skriptidega nakatatud.
Paraku ei saa siin kindlalt väita, et tõrjeprogramm vilets oleks. Pigem on asi ikka selles, et viiruste-, troojate- ja nuhkvarakirjutajad on alati pahalaste vastu võitlejatest sammu võrra ees. Üllatavalt hästi suudetakse pahavara peita tõrjeprogrammide avastamise eest isegi siis, kui programmil on tõrjekood andmebaasides olemas. Sageli kirjutatakse selleks pahalasse koodjupp, mis väldib tuntud tõrjeprogrammidel nende leidmise. Kuid üsna tihti kasutatakse ka ära Windows enda kaitsevõimet, mis ei luba kurivara kustutada. Selleks peaks siis sisenema süsteemi kaitstud režiimi ehk Safe Mode.
Headest ja tasuta viirusetõrjete päästeplaatidest olen kirjutanud selles artiklis. Ent ka üsna tuntud Sunbelt Software pakub väga head ja lihtsat tasuta päästevahendit kurivara eemaldamiseks, ainukeseks puuduseks võib lugeda vaid seda, et operatsioonisüsteem peab olema suuteline käivituma (buutima).
VIPRE Rescue
Viiruste-, troojate- ja nuhkvara vastane päästeutiliit Vipre Rescue on kaasaskantav- ehlk portatiivne abivahend, mis on edukaks abivahenditeks ka sellistel puhkudel, kui süsteem on väga raskesti nakatunud – ei suudeta enam arvutisse programme installeerida või käivitada juba paigaldatud rakendusi. Vahet ei tehta, millisesse gruppi see pahalane kuulub – on see nuhkvara, trooja, viirus, klahvinuhk või rootkit – kõik need avastatakse ja hävitatakse halastamatult, sest utiliidis kasutatakse hinnatud VIPRE Antivirus täisandmebaase.
Vipre Rescue on käsurea päästevahend, mille abil saab süsteemi puhastada nii Windows tavapärases- kui kaitstud režiimis (Safe Mode). Utiliit on täisautomaatne, paigaldusfail tuleb vaid avada, kui pärast seda kogu ülejäänud töö tehakse ise – avatakse käsuliin, laetakse andmebaasid, skanneeritakse süsteem läbi ja leitud pahalased suunatakse karantiini.
Ent tähelepanu! Paraku peab arvestama, et sama utiliidi abil ei saa karantiinist taastada enam ühtegi sinna lisatud pahalast. Seda soovib enamik turvalisusest lugupidavaid kasutajaid, kaasaarvatud mina – süsteem olgu kõigist ohtlikest pahalastest täiesti puhas. Kui aga keegi siiski kasutab sihilikult mõnda pahavaralist programmi või siis kräkitud programmi, siis ka need eemaldatakse halastamatult arvutist ja nende tagasisaamiseks peab siis peab eraldi arvutisse laadima Vipre viirusetõrje ja karantiinis oleva faili selle abil päästma. Kuid see ei ole lihtne ja on tüütu tegevus! Loe täiendavat infot selle kohta siit. Veelkord - Vipre eemaldab teile kaasa tundmata kõik kräkitud programmid, kräkkimisvahendid ja iga pahalase, mis leiab!
Tähelepanu peaks pöörama ka sellele, et ei kasutataks utiliidi vanemaid versioone. Vipre päästevahendit uuendatakse regulaarselt ja igast uuest versioonist annab aimu versiooninumber. Kui arvutis on juba olemas vanem versioon, siis tuleks utiliidi kodulehelt alati tirida uuem versioon arvutisse ja paigaldada vanemale automaatselt peale.
Põhjalik skanneerimine
Kui paigaldusfail on arvutisse tiritud, ava see ja vali RUN. Juhul kui rakendus ei taha avaneda ja kuvatakse hoiatus, siis järelikult vajab ta käivitamiseks administraatori õigusi. Tee failil paremklikk, vali kõige ülevalt Run as…, käivita paigaldamine, avanenud aknas märgi punktikesega The following user, kirjuta parool ning seejärel OK. Täpsemalt koos pildivihjetega saab sellest lugeda artiklist Messengeri viiruste eemaldajad.
Järgmises aknas kinnita oma soovi failide paigaldamiseks arvutisse Yes abil. Seejärel jälgi, et linnuke oleks kindlasti kastikeses .\deep_scan.bat ja vali Unzip.
Seejärel avaneb automaatselt käsurida , utiliit laeb andmebaasid ja alustab arvutis põhjalikku skanneerimist. Skanneerimise pikkus oleneb arvutis olevatest andmete mahust. Kui neid on palju, siis võtab skanneerimine kaua aega. Kõige olulisem on selle puhul siiski see, et iga fail kontrollitakse piinliku täpsusega üle.
Märkus: kui arvutis kasutatakse ka tulemüüri, siis tuleb selles utiliit läbi lubada. Näiteks Comodo tulemüür kipub päästevahendit liivakastis avama, mida ei tohi lubada. Vali tulemüüri hoiatusest: “Ära käivita seda rakendust enam liivakasti sees.”
Kui kasutajal on viitsimist päästevahendi tööd jälgida, siis avastatud kurivarast antakse talle märku punaste kirjetega. Töö lõpetamisest rohelise kirjaga ja kustutatud pahavarast helesinise kirjega. Nagu eelnavalt öeldud, kõik pahalased eemaldatakse automaatselt ja utiliidi abil ei ole neid võimalik enam karantiinist taastada.
See võib muidugi ka mõne arvutikasutaja, kes kasutab arvutis hulganisti kräkkimise tööriistu, üsna marru ajada, kuna need tegelikult üsna suured ohuallikad, mis eeldatavalt kubisevad troojatest, klahvinuhkidest ja eelkõige arvutisse salajast sissepääsu tagavatest backdoor ehk tagaustest, eemaldatakse kõik vahet tegemata.
Loomulikult on kõige õigem ja kindlam viis päästeutiliit tõsta USB abil ühendatavale seadmele ja laadida arvuti üles Safe Mode`s. Ise soovitan sinna siseneda käsu msconfig abil, ent kes tahab, võib katsetada ka klahvi F8 ja valida Safe Mode with Command Prompt.
Ühenda arvutiga USB seade, sisene administraatorina kaitstud režiimi, vali Start – My Computer, leia irdketas (minul on selleks pildil näha väline kõvaketas WD Passport), ava see, leia Vipre päästeutiliit ja toimi nii nagu eelnevalt sai kirjutatud.
Kiire skanneerimine
Utiliidi abil võimalik on teostada ka kiiret pahalaste otsimist. Sel juhul võta päästevahendi avamisel linnuke kastist .\deep_scan.bat. Kui mingil põhjusel ei avane utiliit automaatseks skanneerimiseks, liigu kausta, kuhu failid said avatud (vaikimisi My Computer – Local Disk C – VIPRERESCUE) ja kliki ise VIPRERescueScanner.exe-l. Kui põhjaliku skanneerimismeetodi puhul on käsuliinil näha kirje Scanner configured for deep scan, siis nüüd on kirjas …for quick scan.
Baltyre Eesti
eKaitse
Infoturvalisuse teeviit
29. sept 2010, 20:48
Vajaks natuke täpsemat infot selle tõrjuja kohta. Pole just tugev selles arvuti vallas kuid ega pahalased ju sellest hooli. Tekkis kahtlus, et midagi on pahasti ja sai veetud oma masinasse ka see programm, kontrollis üle ja esialgne tulemus 3 troojalast. Need olid kohe punase kirjaga, kuid kustutada see programm seda ei tahtnud. Minul kustutamise vastu ju midagi ei olnud.
Järgmisel päeva uuesti üle skannides olid punased read ikka alles, ja ka ülejärgmisel päeval. Nädal hiljem peale seda kui laps rate ja msn lehe külastastas, selgus skännimisel, et backdoor troojalasi oli kokku 19. Kõik need olid punased, kuid programm millegipärast siniseks- ehk kustutatuks neid ei teinud. Mida ma tegema peaks, et need kustutatud saaks? Kuigi artikklis mainite, et VipeRescue kustutab automaatselt kõik pahalased, miks siis iga järgmise skännimise järel samad read ikka alles on? On need siis ikka kahjutuks tehtud? Või saab kahjutuks teha ainult safe modes olles- nimelt olen skänninud ainult reaalajas olles..
Samas näiteks Bidtefenderi online skanner ja arvuti Avira viirusetõrje midagi kahtlast nagu ei leidnud.
29. sept 2010, 21:18
Kõigepealt võib proovida süsteemitaaste välja lülitada – http://arvutiturve.wordpress.com/2009/11/07/susteemi-taastamine-pahavaraliste-kahjustuste-korral/ – ja uuesti programmiga üle kontrollida. Nimelt, paljud troojad on kirjutatud nii, et suudavad ennast süsteemitaaste abil taas aktiivseks muuta.
Väga soovitav on ka arvuti läbi skannerida selle artikli – http://arvutiturve.wordpress.com/2009/11/07/valik-tasuta-nuhkvaratorjujaid/ – vähemalt kahe esimese programmiga.
Kui see ei aita, siis jah, kindlasti püüda neist lahti saada safe mode´s – http://arvutiturve.wordpress.com/2009/11/07/safe-mode-kaitstud-reziimi-minek/ . Ent ka siis peab olema süsteemitaaste välja lülitatud. Hiljem tuleb muidugi see uuesti sisse lülitada.
Kahjuks ma ei tea nimetusi, mille ta punaseks märkis. Saaksin uurida, kui ohtlike pahalastega on tegu – kui need on väidetavalt backdoor ehk tagauks, siis neist saab lugeda siit – http://arvutiturve.wordpress.com/2010/03/21/mis-on-backdoor-ehk-tagauks/
Kui on soovi, siis võib punaselt leitu kas siiasamasse postitada või saata mailile: arvutiturve@gmail.com . Seda muidugi juhul, kui eelnimetatud viisidel neist lahti ei saanud. Vastata saan kahjuks aga alles homme hilisõhtul või isegi teisel päeval.