Jak odvirovat počítač
10. leden 2020 Autor: Bronislav
2. Kontrola běžících procesů - manuální odstranění
Nápomocny nám mohou být aplikace: Process Explorer, Autoruns, TCPView a Hijackthis.
Process Explorer
Tento program se velmi hodí ke kontrole spuštěných aplikací. Není určen k odstraňování škodlivých aplikací, ale pouze k informování uživatele jaké aplikace na počítači běží a kde se na disku ukrývají. A také jak moc zatěžují systémové prostředky počítače. (Pokud například zjistíme, že nám procesor a paměti stále zatěžuje služba Windows Update, můžeme provést její opravu nebo přenastavení dle svých preferencí: Aktualizace Windows.)
Odstranění nalezených škodlivých kódů musíme provést z disku například přes Průzkumník Windows nebo Total Commander sami.
Process Explorer je vlastě takový pokročilejší správce úloh: Spuštění správce úloh, který je implementován v operačním systému Windows. Process Explorer nabízí mnohem víc informací i možností.
Stáhnout si jej můžete přímo od Sysinternals: Process Explorer (přímý odkaz) a archiv rozbalíte (Winrar). Program se neinstaluje, ale rovnou spouští. Odsouhlasíte licenční ujednání a uvidíte okno s přehledem zrovna spuštěných aplikací:
Jak ale poznat, který proces je v pořádku a který patří nějaké škodlivé aplikaci? Process Explorer již umožňuje napojení na on-line antivirový systém virustotal.com. Aktivujeme tedy zobrazení této položky.
Z hlavní nabídky tedy vybereme volbu Options --> VirusTotal.com --> Check VirusTotal.com
Zobrazí se nám nový sloupec VirusTotal. Po chvilce načítání již uvidíme výsledky pro jednotlivé procesy. Pozornost věnujte červeně zbarveným. Kliknutím na výsledek ("0/57") se Vám zobrazí podrobnosti. Jestliže naleznete nějakou položku "57/57", téměř jistě jde o nějaký škodlivý proces, jelikož o škodlivosti se shodli všichni výrobci antivirů.
Najetím na název procesu se nám zobrazí místo uložení na disku. (Škodlivý software se často maskuje jako běžné soubory OS, tedy nesou jejich jména, ale často jsou umístěny v jiných složkách. Tedy tento fakt nám může také pomoci při identifikaci škůdce.) Tedy tento soubor z PC vymažeme. Jestliže nepůjde soubor smazat standardně, tak: Jak smazat soubor nebo složku která nejde odstranit.
"1/57" znamená, že pouze jeden výrobce antivirů vidí tuto položku jako potencionálně nebezpečnou.
Reklama
Také můžeme použít funkci pro ověření digitálních podpisů. S její pomocí dokážeme odhalit potencionálně nebezpečné procesy, neboť takové nemají elektronický podpis výrobcem. Stejně jako když instalujete nepodepsaný ovladač, systém Vás na to upozorní.
Klikněte pravým tlačítkem na titulek sloupečku Process a zvolte Select Columns.
V dalším otevřeném okně zaškrtněte na kartě Process Image: Verified Signer.
Do hlavního pohledu nám přibyl sloupeček Verified Signer, který je zatím prázdný. Standardně totiž Process Explorer podpisy neověřuje. Tento požadavek musíme aktivovat.
V menu vyberte Options a zvolte Verified Image Signatures.
Sloupeček Verified Signer už informuje o výsledku ověření podpisu každé spuštěné aplikace.
Bohužel ne všichni výrobci podepisují své soubory, takže můžete narazit i na užitečné aplikace bez podpisu. Pokud naleznete aplikaci s neověřeným podpisem, tak si zobrazte její vlastnosti a zkontrolujte, zda skutečně patří aplikaci, kterou znáte a používáte.
To provedete tak, že kliknete na aplikaci pravým tlačítkem myši a vyberete položku Properties. Další podrobnosti můžete získat na internetu pomocí vyhledávače od googlu. Vložte tedy do vyhledávače "aplikace.exe" a přečtěte si, k jakým účelům je tato aplikace určena.
Každá aplikace používá pro svou činnost mnoho další souborů (knihoven). U používaných knihoven můžete také ověřit jejich digitální podpis. To provedete tak, že stisknete kombinaci kláves: CTRL + D. Zobrazí se seznam používaných knihoven, každé vybrané aplikace.
Opět přidáte sloupeček Verified Signer a ověříte podpisy.
Reklama
Autoruns
Tento systémový nástroj, jež se rovněž neinstaluje, ale rovnou spouští, umožnuje přehledné zobrazení veškerých aplikací, jež se v PC spouští automaticky po startu operačního systému (Logon). Včetně nastavených položek v registrech systému - Registr Windows (Explorer), služeb (Services), plánovači úloh (Scheduled Tasks) atd.
Umožnuje také vybranou položku vypnout (jednoduchým zrušením zaškrtnutí), aby se již po staru operačního systému nespouštěla. Pro využití této funkci musíme systémový nástroj Autoruns spustit jako správce. Také můžeme jednotlivé položky zkontrolovat pomocí VirusTotal. Zobrazit si jejich vlastnosti. Případně můžeme položku rovnou vymazat. To provedeme tak, že klikneme na položku pravým tlačítkem myši a z kontextového menu vybereme akci, kterou chceme provést.
Autoruns si můžete stáhnout přímo od Sysinternals: Autoruns (přímý odkyz) a archiv rozbalíte (Winrar).
Reklama
TCPView
Program TCPView je schopen zobrazit detailní seznam TCP a UDP koncových bodů, se kterými je Váš systém spojen. Včetně místních a vzdálených adres a stav TCP spojení. U systému Windows XP a novějších je také schopen zobrazit názvy procesů, které komunikují s příslušným koncovým bodem. Prezentace prostřednictvím TCPView zobrazuje více informací než v systému implementovaný Netstat. Zejména běžnými uživateli je také vítáno grafické rozhraní.
V základním nastavení probíhá aktualizace spojení každou sekundu. Tuto hodnotu ale můžete změnit v nastavení: View|Update Speed. Nová spojení jsou vyznačena zeleně, ukončená spojení červeně a spojení, u kterých probíhá změna žlutě. Modrou barvou je označeno aktuálně vybrané spojení.
Každé připojení můžete ukončit. V Menu vyberte: File|Close Connections nebo klikněte na dané spojení pravým tlačítkem myši a z kontextové nabídky vyberte: Close Connections.
Prezentované údaje si také můžete uložit do textového souboru: File|Save.
Jestliže nemáme otevřený například žádný internetový prohlížeč, torrentový klient, Steam, neprovádíme aktualizaci operačního systému přes službu Windows Update a podobně, tak by u žádného procesu neměla být status: ESTABLISHED. Což je navázané spojení, při kterém počítač odesílá a přijímá nějaké data. Tedy pokud takové spojení naleznete, tak překontrolujte, o jaké spojení se jedná. Tedy zda jde například jen o spojení nutné k aktualizování operačního systému nebo naopak o spojení nějakého škodlivého kódu.
TCPView si můžete stáhnout přímo od Sysinternals: TCPView (přímý odkyz) a archiv rozbalíte (Winrar).
Reklama
Hijackthis
Další program, který můžeme použít ke kontrole běžících procesů (včetně knihoven) je Hijackthis. Oproti předchozímu Process Explorer navíc umožnuje podezřelé aplikace i odstranit.
Také se využívá na vložení tzv. post-logu do poraden, kde Vám zkušení uživatelé poradí, co odstranit a co nechat, pokud nevíte sami.
Rovněž můžete použít online analýzu na stránce: www.hijackthis.de. Kde vložíte výsledek post-logu k analýze.
Program je k dispozici na adrese: www.hijackthis.cz.
Jakmile program spustíte (jako správce), budete vyzváni k odsouhlasení licenčních podmínek. Klikněte tedy na tlačítko: I Accept.
Spustí se Vám okno samotného programu. V něm klikněte na první tlačítko: Do a system scan and save logfile.
Program tedy provede scan.
A uloží výsledek skenování do poznámkového bloku. Jak jsme již zmínili, tento výsledek můžete zkopírovat a vložit na na stránce: www.hijackthis.de do okna: Log soubor a kliknout na tlačítko: Analyze.
Dojde k vyhodnocení logu.
Až si budete jistí, které položky chcete odstranit, tak ty označíte a kliknete na tlačítko: Fix checked.
Ještě před tím, si můžete kliknutím na tlačítko: Info on selected item zobrazit o položce podrobnosti.
Po kliknutí na tlačítko Fix checked bude následovat poslední upozornění o tom, že bude položka odstraněna z vašeho systému. (A také doporučení, abyste předem uzavřeli všechna okna v systému.)
Předchozí kapitola
Reklama
Reklama