Kuidas värsket pahavara avastada ja eemaldada
See tähendab, et millist iganes tõrjet kasutate, kui puutute kokku kahe-kolme uue pahavaraga, nakatab vähemalt üks neist tõenäoliselt ka teie arvuti.
Paanitseda pole siiski mõtet. Probleemi saab tihti leida, teha kindlaks selle allika ja vahel lihtsalt ise eemaldada.
Probleemi märkamine
Esimene samm on mõistagi märgata, et tundmatu pahavara on olemas. Vahel on nakkuspunkt ilmne, näiteks midagi alla laadima sundinud hüpikaken või ise arvutisse tekkinud PDF-fail või rämpspostiga saabunud link, millel klõpsasite.
Igatahes märkasite ilmselt, et arvuti käitub kuidagi teisiti: aeglasem, vähem stabiilne, rohkem võrguaktiivsust jms.
Process Hacker on siin abistamiseks lausa loodud. Paigaldage see rakendus ja käivitage administraatoriõigustega (hiirega paremklõps otseteeikoonil ja valige Run as administrator).
See kuvab kõik jooksvad protsessid. Kõik vajalik pole kohe nähtaval, nii et tehke paremklõps suvalisel veerupäisel, valige Choose Columns ja tehke kindlaks, et linnukesed on kõige vajaliku ees (Name, PID, Pvt. Memory, Working Set, CPU, Username, Priority Class, Description, Threads, Handles, I/O R+O, I/O W, I/O Priority, CPU History, I/O History). Siis klõpsake OK.
Kahtlusaluste valimine
Kahtlaseks võib lugeda iga protsessi, mida te ära ei tunne. Nimi võib kergesti selgitada, millega tegu, näiteks notepad.exe, aga kirjelduse veerg (Description) lisab tihti midagi juurde. Meie testarvutis leidus näiteks tundmatu vsserv.exe, mis osutus BitDefender Security Service'ile kuuluvaks.
Kui eelnevast pole abi, asetage hiirekursor protsessinimele, et näha selle kodukausta. See selgitas, et näiteks segase nimega AssistantServices.exe oli osa T-Mobile Broadband Managerist.
Kui kahtlete endiselt, mida protsess teeb, tehke sellel paremklõps ja valige Search Online. See avab brauseriakna protsessinimest sooritatud Google'i otsinguga.
Failinimi on hea alguspunkt, aga sellest tingimata ei piisa - pahavara matkib tihti korralikke Windowsi komponente. Järelikult uurige ka, mida protsess teeb. Vaadake näiteks CPU ja I/O History veergude sisu, kus on reaalajas graafikud protsessori ja sisendi/väljundi aktiivsusest (kasutatud failid, võrguliiklus jm).
Pahavara tegutseb suuresti peidetud kujul, nii et kui protsess tundub selge põhjuseta väga aktiivne, tähendab see ehk halba.
Uurige ka kahtlaselt palju muid süsteemiressursse kasutavaid protsesse; sorteerige protsessid näiteks veerupäisele Handles klõpsates.
Lõpuks klõpsake Networki paanil ja uurige avatud ühendusi (protsessid, mis lisavad midagi Remote Accessi veergu).
Kui mõni ühendus ei kuulu teadaolevale internetiprogrammile nagu avatud brauseriaken, tehke paremklõps ja valige Tools | WhoIs. Process Hacker ütleb võimalusel, millele IP-aadress kuulub. Kui protsess ja aadress on tundmatud, on see ehk koduga ühendust otsiv pahavara.
Edasi uurimine
Process Hacker pakub võimaliku pahavara selleks küllaga võimalusi. Võite näiteks protsessil paremklõpsu teha ja valida Miscellaneous | Upload to VirusTotal.
Viimane saadab faili saidile virustotal.com, kus seda testivad kümned viirusetõrje- ja turvarakendused. Kui mingi osapool on selle pahavara avastanud, saate kindlasti vastava teate. Nüüd tehke kahtlasel failil topeltklõps, et rohkem teada saada.
Üldpaan (General) näitab protsessi asukohta kõvakettal, selle käivitanud käsurida, heal juhul ka selle käivitanud programmi. Handles näitab faili poolt avatud kõiki faile, registrivõtmeid ja teisi Windowsi objekte, mis annab selle tegevusest aimu.
Abiks võib olla paan Modules, mis kuvab DLL-teegid ja teised protsessi kasutatud tugifailid. Neid on keerukam diagnoosida, kuid vähemalt saab tihti programmi eesmärgist mingi ülevaate.
Ehk kasulikeim on aga Process Hackeri võime sooritada otsing protsessi muutmälus. Paremklõpsake protsessinime, siis klõpsake Memory paanil ja valige String Scan | String Scan.
See näitab palju kasulikku: kasutajaliidese viiped (user interface prompts), internetiaadressid, failid, registrivõtmeid, mida see peab otsima, jpm. Me leidsime hiljuti mäluotsingu kaudu nakkuse, kui uurisime hüperaktiivset protsessi ja avastasime netiaadressi saidile, mis sihtis 'bot_signin.php' leheküljele.
Siin peaks olema juba küllalt infot, et uus kutsumata külaline kindlaks teha.
Kutsumata külalise eemaldamine
Esiteks tasub arvuti internetist lahti ühendada. Isegi, kui ei leidnud avatud ühendusi, võib paha protsess neid juurde luua ja kes teab mida edastada. Kasutage mingit turvalist arvutit, et välja vahetada tähtsad paroolid.
Seejärel uurige, kuidas paha protsess elustub. Käivitage teine programm Autoruns ja klõpsake paanil Everything, et näha, kus programmid saavad süsteemile ligi.
Kui pahavara on seal kirjas (leidmiseks kasutage File | Find), eemaldage linnuke vasakul asuvast kastikesest, taaskäivitage arvuti ja uurige taas Process Hackerit. Kui paha protsess kadus, oli ehk õnne sattuda lihtsa nakkuse otsa. Samas võib pahavara lihtsalt ajutiselt peitu pugeda, nii et ärge kasutage netipanka või muud, mis võib tähtsat infot edastada. Kontrollige mitu korda paari tunni järel Process Hackerit, et näha, kas protsess on endiselt kadunud.
Kui te aga ei leidnud, kuidas protsess käivitub või see naaseb jonnakalt järgmise taaskäivitusega, on olukord keerukam. Nakkus võib koosneda ka mitmest failist, millest avastasite ainult ühe.
Kui näiteks paha protsessi nimi on innocent.exe, kasutage Process Hackeri mäluotsimisvõimalust teiste protsesside leidmiseks, mille muutmälus on sama nimi. Kui midagi leidsite ja pole selle olemuses kindel, sulgege see uuesti (paremklõps Process Hackeris ja valida Terminate process). Eemaldage esimene pahavarafail taas MSCONFIGis või Autorunsis ja lootke, et nii jääbki.
See kõik on keerukas, nii et ehk tasub lihtsalt mõni päev oodata, kuni viirusetõrje täiendatud andmebaas uuest õeluskotist teadlikuks muutub. Vahepeal tasub nakatunud arvutit võimalikult vähe kasutada.
Lihtsaim valik on paha protsess sulgeda (Process Hackeris paremklõps ja Terminate process), aga salvestage võimalikud pooleliolevad tööd, sest see võib näiteks arvuti kokku jooksutada.
Kui see ei aita, tehke protsessil paremklõps ja valige Suspend Process. See uinutab protsessi ega teavita loodetavasti teisi pahavara komponente. Tekib teoreetiline võimalus, et saate arvutit normaalselt kasutada, kui iga taaskäivitamise järel tegevust kordate.
Siis oodake, kuni pahavara jõuab viirusetõrjerakenduse andmebaasi, et see saaks nakkuse korralikult eemaldada.
