2. Kontrola běžících procesů - manuální odstranění

Nápomocny nám mohou být aplikace: Process Explorer, Autoruns, TCPView a Hijackthis.


Process Explorer

Tento program se velmi hodí ke kontrole spuštěných aplikací. Není určen k odstraňování škodlivých aplikací, ale pouze k informování uživatele jaké aplikace na počítači běží a kde se na disku ukrývají. A také jak moc zatěžují systémové prostředky počítače. (Pokud například zjistíme, že nám procesor a paměti stále zatěžuje služba Windows Update, můžeme provést její opravu nebo přenastavení dle svých preferencí: Aktualizace Windows.)

Odstranění nalezených škodlivých kódů musíme provést z disku například přes Průzkumník Windows nebo Total Commander sami.

Process Explorer je vlastě takový pokročilejší správce úloh: Spuštění správce úloh, který je implementován v operačním systému Windows. Process Explorer nabízí mnohem víc informací i možností.

Stáhnout si jej můžete přímo od Sysinternals: Process Explorer (přímý odkaz) a archiv rozbalíte (Winrar). Program se neinstaluje, ale rovnou spouští. Odsouhlasíte licenční ujednání a uvidíte okno s přehledem zrovna spuštěných aplikací:


Jak odvirovat počítač

Jak ale poznat, který proces je v pořádku a který patří nějaké škodlivé aplikaci? Process Explorer již umožňuje napojení na on-line antivirový systém virustotal.com. Aktivujeme tedy zobrazení této položky.


Jak odvirovat počítač

Z hlavní nabídky tedy vybereme volbu Options --> VirusTotal.com --> Check VirusTotal.com


Jak odvirovat počítač

Zobrazí se nám nový sloupec VirusTotal. Po chvilce načítání již uvidíme výsledky pro jednotlivé procesy. Pozornost věnujte červeně zbarveným. Kliknutím na výsledek ("0/57") se Vám zobrazí podrobnosti. Jestliže naleznete nějakou položku "57/57", téměř jistě jde o nějaký škodlivý proces, jelikož o škodlivosti se shodli všichni výrobci antivirů.

Najetím na název procesu se nám zobrazí místo uložení na disku. (Škodlivý software se často maskuje jako běžné soubory OS, tedy nesou jejich jména, ale často jsou umístěny v jiných složkách. Tedy tento fakt nám může také pomoci při identifikaci škůdce.) Tedy tento soubor z PC vymažeme. Jestliže nepůjde soubor smazat standardně, tak: Jak smazat soubor nebo složku která nejde odstranit.

"1/57" znamená, že pouze jeden výrobce antivirů vidí tuto položku jako potencionálně nebezpečnou.




Reklama



Také můžeme použít funkci pro ověření digitálních podpisů. S její pomocí dokážeme odhalit potencionálně nebezpečné procesy, neboť takové nemají elektronický podpis výrobcem. Stejně jako když instalujete nepodepsaný ovladač, systém Vás na to upozorní.


Jak odvirovat počítač

Klikněte pravým tlačítkem na titulek sloupečku Process a zvolte Select Columns.


Jak odvirovat počítač

V dalším otevřeném okně zaškrtněte na kartě Process Image: Verified Signer.


Jak odvirovat počítač

Do hlavního pohledu nám přibyl sloupeček Verified Signer, který je zatím prázdný. Standardně totiž Process Explorer podpisy neověřuje. Tento požadavek musíme aktivovat.


Jak odvirovat počítač

V menu vyberte Options a zvolte Verified Image Signatures.


Jak odvirovat počítač

Sloupeček Verified Signer už informuje o výsledku ověření podpisu každé spuštěné aplikace.

Bohužel ne všichni výrobci podepisují své soubory, takže můžete narazit i na užitečné aplikace bez podpisu. Pokud naleznete aplikaci s neověřeným podpisem, tak si zobrazte její vlastnosti a zkontrolujte, zda skutečně patří aplikaci, kterou znáte a používáte.


Jak odvirovat počítač

To provedete tak, že kliknete na aplikaci pravým tlačítkem myši a vyberete položku Properties. Další podrobnosti můžete získat na internetu pomocí vyhledávače od googlu. Vložte tedy do vyhledávače "aplikace.exe" a přečtěte si, k jakým účelům je tato aplikace určena.


Jak odvirovat počítač

Každá aplikace používá pro svou činnost mnoho další souborů (knihoven). U používaných knihoven můžete také ověřit jejich digitální podpis. To provedete tak, že stisknete kombinaci kláves: CTRL + D. Zobrazí se seznam používaných knihoven, každé vybrané aplikace.


Jak odvirovat počítač

Opět přidáte sloupeček Verified Signer a ověříte podpisy.




Reklama






Autoruns

Tento systémový nástroj, jež se rovněž neinstaluje, ale rovnou spouští, umožnuje přehledné zobrazení veškerých aplikací, jež se v PC spouští automaticky po startu operačního systému (Logon). Včetně nastavených položek v plánovači úloh (Scheduled Tasks), registrech systému - Registr Windows (Explorer), služeb (Services) atd.

Umožnuje také vybranou položku vypnout (jednoduchým zrušením zaškrtnutí), aby se již po staru operačního systému nespouštěla. Pro využití této funkci musíme systémový nástroj Autoruns spustit jako správce. Také můžeme jednotlivé položky zkontrolovat pomocí VirusTotal. Zobrazit si jejich vlastnosti. Případně můžeme položku rovnou vymazat. To provedeme tak, že klikneme na položku pravým tlačítkem myši a z kontextového menu vybereme akci, kterou chceme provést.

Autoruns si můžete stáhnout přímo od Sysinternals: Autoruns (přímý odkyz) a archiv rozbalíte (Winrar).


Jak odvirovat počítač




Reklama






TCPView

Program TCPView je schopen zobrazit detailní seznam TCP a UDP koncových bodů, se kterými je Váš systém spojen. Včetně místních a vzdálených adres a stav TCP spojení. U systému Windows XP a novějších je také schopen zobrazit názvy procesů, které komunikují s příslušným koncovým bodem. Prezentace prostřednictvím TCPView zobrazuje více informací než v systému implementovaný Netstat. Zejména běžnými uživateli je také vítáno grafické rozhraní.

V základním nastavení probíhá aktualizace spojení každou sekundu. Tuto hodnotu ale můžete změnit v nastavení: View|Update Speed. Nová spojení jsou vyznačena zeleně, ukončená spojení červeně a spojení, u kterých probíhá změna žlutě. Modrou barvou je označeno aktuálně vybrané spojení.
Každé připojení můžete ukončit. V Menu vyberte: File|Close Connections nebo klikněte na dané spojení pravým tlačítkem myši a z kontextové nabídky vyberte: Close Connections.

Prezentované údaje si také můžete uložit do textového souboru: File|Save.

TCPView si můžete stáhnout přímo od Sysinternals: TCPView (přímý odkyz) a archiv rozbalíte (Winrar).


Jak odvirovat počítač



Reklama






Hijackthis

Další program, který můžeme použít ke kontrole běžících procesů (včetně knihoven) je Hijackthis. Oproti předchozímu Process Explorer navíc umožnuje podezřelé aplikace i odstranit.
Také se využívá na vložení tzv. post-logu do poraden, kde Vám zkušení uživatelé poradí, co odstranit a co nechat, pokud nevíte sami.
Rovněž můžete použít online analýzu na stránce: www.hijackthis.de. Kde vložíte výsledek post-logu k analýze.

Program je k dispozici na adrese: www.hijackthis.cz.



Jak odvirovat počítač

Jakmile program spustíte (jako správce), budete vyzváni k odsouhlasení licenčních podmínek. Klikněte tedy na tlačítko: I Accept.



Jak odvirovat počítač

Spustí se Vám okno samotného programu. V něm klikněte na první tlačítko: Do a system scan and save logfile.



Jak odvirovat počítač

Program tedy provede scan.


Jak odvirovat počítač

A uloží výsledek skenování do poznámkového bloku. Jak jsme již zmínili, tento výsledek můžete zkopírovat a vložit na na stránce: www.hijackthis.de do okna: Log soubor a kliknout na tlačítko: Analyze.



Jak odvirovat počítač

Dojde k vyhodnocení logu.



Jak odvirovat počítač

Až si budete jistí, které položky chcete odstranit, tak ty označíte a kliknete na tlačítko: Fix checked.



Jak odvirovat počítač

Ještě před tím, si můžete kliknutím na tlačítko: Info on selected item zobrazit o položce podrobnosti.



Jak odvirovat počítač

Po kliknutí na tlačítko Fix checked bude následovat poslední upozornění o tom, že bude položka odstraněna z vašeho systému. (A také doporučení, abyste předem uzavřeli všechna okna v systému.)



Předchozí Předchozí kapitola Další kapitola Další



Reklama


Pokud se Vám nedaří něco najít, můžete využít pole vyhledávání vpravo nahoře nebo také: Mapu webu.
V případě, že máte nějaký dotaz/připomínku: Kontakty.
2016   Hardware - Software - Návody