Do sada smo instalirali vatrozid i antivirus na naše računalo ali bilo bi dobro imati i malo dublji uvid što se sve događa i odvija u pozadini na našem računalu. Moguće je da bez obzira na zaštitu koju imamo "poberemo" ipak nešto s interneta a sljedeći programi pomoći će vam da identificirate i uklonite neželjene procese i programe.
HiJack This odličan je program prvenstveno namjenjen uklanjanju browser hijack programa. Drugim riječima kada otvorite vaš web preglednik a ne otvara vam se vaša početna stranica nego nešto sasvim drugo te moguće da vas odvede i na neke druge neželjene lokacije. Postoji mogućnost da vam se instalira na računalo tim putem i kakav malware a to sigurno ne želite. Također namjena ovog programa je za uklanjanje raznih toolbareva koje korisnici najčešće sami instaliraju surfajući internetom. Ili najčešći uzrok je skidanje raznih besplatnih programa i većina korisnika samo klikću next pri instalaciji i na taj način poberu takve toolbarove koji uz opasnost da vam skinu i kakav malware na računalo najčešće i usporavaju surfanje internetom.
Skinite, instalirajte i pokrenite HiJack This te kliknite na opciju Scan.
Nakon što dobijete rezultate skeniranja kliknite na save log te odaberite gdje želite da se spremi, možete ostaviti i lokaciju koju vam program ponudi. Otvara vam se log u notepadu te ga cijelog označite (ctrl+a) i potom kopirajte (ctrl+c).
Na HiJackThis stranici u prozor iznad analyze ubacite onaj log koji ste prethodno kopirali (ctrl+v) te kliknite na analyze.
Nakon pregleda vašeg loga koji ste uploadali dobiti ćete i analizu te savjet što učiniti.
Redoslijed je isti kao i u vašem log fileu tako da možete lakše naći određeni file koji želite obrisati. Kod brisanja se radi backup ukoliko se obriše nešto što nije trebalo tako da možete vratiti na staro stanje.
Međutim moramo napomenuti kako ne treba slijepo vjerovati tim analizama iako većina je točna. Ili recimo pogledajte prvi file koji smo analizirali, agihelper.AGUtils i mscoree.dll povezan s njim. HiJackThis analyzer nam govori da je nepoznat proces i ne daje nam nikakav savjet. U takvim slučajevima moramo tražiti dalje i malo se informirati o čemu se radi.
Za početak bi trebali znati zapravo o čemu se radi tj. šta točno znače R3, O2 ili O23 oznake na početku naših analiziranih fileova. Ovaj test file koji smo uploadali i zapravo nije naš nego samo dijelić nekog drugog koji smo našli na jednom forumu i poslali na analizu.
Na ovom siteu je kvalitetan tutorial (na engleskom jeziku) s detaljnim obajšnjenjem svakog odjeljka HiJackThis-a. Tako dolazimo do podatka da naš R3 se odnosi na URLSearchHook tj. kada u Internet Exploreru upišemo samo ime site-a na koji želimo ići bez protokola, npr. google.hr ili www.google.hr umjesto punog naziva s protokolom http://www.google.hr sam browser pokušati će odgonetnuti koji nam protokol treba i ako ne uspije korisiti će URLSearchHook da nam proba pronaći lokaciju koja nam treba.
Tražeći dalje saznajemo da agihelper.AGUtils je dio Kiwee toolbara dok je mscoree.dll bezopasan a koristi ga Microsoft.NET. Dll file provjerili smo na processlibrary.
Nas to dovodi do zaključka da je korisnik imao instaliran Kiwee toolbar te ga je uspješno deinstalirao ali je ostao zapis u registry-u koji možemo maknuti.
Provjeravajući dalje drugu liniju O2 BHO vidimo da nam se pojavljuje opet naš agihelper.AGUtils ali ovaj put pod drugačijom kategorijom, ranija je bila R3 a sada O2.
O2 odnosi se na Browser Helper Objects su zapravo pluginovi koji proširuju funkcionalnost samog browsera. Mogu biti korišteni od strane spyware-a ali i nekih legalnih kompanija.
Ovaj put provjeriti ćemo sam CLSID (broj unutar uglatih zagrada koji se odnosi na zapis u registry-u) na stranici SystemLookup. Na samom site-u kliknite na CLSID ispod tražilice i unesite broj između uglatih zagrada. Dolazimo do podatka da se radi o Kiwee Toolbaru i vidimo fileove koji se vežu uz njega, između ostalog i naš mscoree.dll koji je Microsoftov file.
Sve što možemo zaključiti da je korisnik imao Kiwee Toolbar, uklonio ga i ostali su neki zapisi koje je sigurno maknuti iz registry-a. Kiwee Toolbar je potencijalno opasan jer može instalirati malware na vaše računalo tako je odluka bila dobra da ga se ukloni.
Kao što vidite ovakav način pretrage i analiziranja nepotrebnog ili potencijalnog opasnog sadržaja na našem računalu i nije baš najlakši i najbrži ali nije ni nešto posebno težak. Treba malo dobre volje i vremena i možemo doći do potrebnih informacija.
Još jedan prilično koristan software je Process Explorer koji kako mu i ime govori služi za upravljanje i pregled svih otvorenih procesa i dll fileova vezanih uz njih. Možemo ga usporediti s Windows task managerom (koji pokrećete sa CTRL+ALT+DELETE kombinacijom) ali mnogo boljim.
Program će vam vrlo brzo pokazati koji procesi su otvoreni, koje aplikacije ih koriste te koje dll datoteke se trenutno koriste u dll mode pogledu (ctrl+d).
Velika prednost ovog programa je što možemo riješavati memorijske ili aplikacijske hung procese ili čak pronaći i ukloniti razni malware. Kada stavite ikonu od miša na bilo koji proces točno vidite put do foldera gdje se taj dotični file nalazi.
Jedna od korisnih opcija ovog programa je Find Window's process (mala ikona u obliku nišana), samo ju drag & drop (povuci i pusti) na dio ekrana za koji želite saznati koji proces koristi taj dio. Npr. korisno ako vam izleti na ekranu pop up window koji ne želite, samo povucite i pustite na taj ekran nišan ikonu i saznati ćete koji proces je pokrenuo taj prozor na vašem ekranu.
Međutim budite vrlo oprezni kada provjeravate procese da nebi "smaknuli" neki koji ne treba i vjerovatno dobili BSOD. (Blue Screen of Death/Plavi ekran smrti). Recimo na priloženoj slici vidimo proces smss.exe, potražimo ga u Process Library te pod rezulatima vidimo da ih ima više verzija. Legitimna od Microsofta što je kratica od Session Manager Subsystem i neke vrste trojana. Kako ćemo mi znati je li naš smss.exe Microsoftov ili nekakav malware?
Desni klik mišem na smss.exe te properties te pod image karticom kliknite na verify. Provjeravamo ima li taj proces digitalni potpis. Malware se može zamaskirati i "predstaviti" kao Microsoftov ili od neke druge kompanije ali ne može lažirati digitalni potpis. Ukoliko proces ne može potvrditi digitalni potpis to vam je znak da malo više istražite jer se radi o potencijalnom malware-u.
Problem koji možete imati je da ne možete saznati te podatke ali jednostavno ugasite program, startajte ga opet ali ovaj put kao administrator, desni klik mišem na ikonu Process Explorera i run as administrator.
Nećemo dublje ulaziti u analizu Process Explorera ali smatrali smo da bi ga trebali spomenuti kao vrlo kvalitetan program koji bi vam mogao biti koristan.
Za kraj ovog posta spomenuli bi još dva online servisa za skeniranje datoteka. Imate nekakav besplatan antivirus na računalu i sumljivi file kojeg bi voljeli skenirati s nekim boljim? Ili s 40-50 boljih?
Jotti i Virus Total su riješenje za vas. Jotti će skenirati vašu datoteku koju prethodno treba uploadati na njihov server sa 23 različita antivirusna programa, između ostalih i s Eset, Bitdefender i Kaspersky.
Virus total naš uploadan file skenirao je s čak 47 različitih antivirusnih programa.
Za sada toliko, vidimo se u sljedećem postu. :)
Nema komentara:
Objavi komentar