Comodo Cleaning Essentials - poradnik
#1

[Aby zobaczyć linki, zarejestruj się tutaj]


Comodo Cleaning Essentials (CCE)
Zestaw narzędzi umożliwiający usunięcie złośliwego oprogramowania, które w wielu formach może atakować nasz system. Otrzymujemy wszystko co potrzebne w przystępnej formie:

SPIS TREŚCI
1.

[Aby zobaczyć linki, zarejestruj się tutaj]

2.

[Aby zobaczyć linki, zarejestruj się tutaj]

3.

[Aby zobaczyć linki, zarejestruj się tutaj]

4.

[Aby zobaczyć linki, zarejestruj się tutaj]

Usuwanie konkretnych infekcji
5.

[Aby zobaczyć linki, zarejestruj się tutaj]

6.

[Aby zobaczyć linki, zarejestruj się tutaj]

7.

[Aby zobaczyć linki, zarejestruj się tutaj]

8.

[Aby zobaczyć linki, zarejestruj się tutaj]


9.

[Aby zobaczyć linki, zarejestruj się tutaj]

10.

[Aby zobaczyć linki, zarejestruj się tutaj]


1. OPIS OGÓLNY
  • Skaner na żądanie- umożliwia przeprowadzanie pełnego/określonego bądź szybkiego skanowania systemu. Dzięki agresywnym metodom dostępu do dysku/pomocy chmury obliczeniowej/dobrym skanerze MBR oraz anti-rootkit narzędzie jest skutecznym rozwiązaniem.

    KillSwitch- menadżer procesów/usług/połączeń internetowych/ustawień systemu Windows. Program wyświetla aktualnie działające procesy w tle oraz sprawdza je na obecność złośliwego kodu. Podobnie jak usługi. Mamy dostęp do poglądu aktualnych połączeń sieciowych jak i ustawień systemu Windows. Moduł QucikReapir pozwala na naprawienie większości szkód jakie mogą nastąpić przy złośliwych modyfikacjach prowadzonych przez wirusy.
  • Autorun Analyzer- moduł odpowiedzialny za kontrolę nad elementami, które automatycznie uruchamiają się z systemem Windows. Są to sterowniki, biblioteki dll, pliki, wpisy Winsock i wiele innych. Program oznacza te zainfekowane oraz ukryte. Każdy wpis można usunąć lub wyłączyć z autostartu.


Program posiada funkcje:

Aggressive Mode - "agresywne uruchamianie" (klawisz Shift), (więcej: USUWANIE INFEKCJI FAKEAV),
Importowanie baz wirusów - aktualizacje można pobrać na innym komputerze i wprowadzić je do naszej kopii programu,
Zapisywanie logów - ze skanowania i usuwania.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
2. WYKONYWANIE SKANOWANIA

Aby wykonać skanowanie programem Comodo Cleaning Essentials należy pobrać archiwum:

Dla systemów o architekturze x32:

[Aby zobaczyć linki, zarejestruj się tutaj]


Dla systemów o architekturze x64:

[Aby zobaczyć linki, zarejestruj się tutaj]



Następnie wypakować i uruchomić plik CCE.exe .
W oknie, które nam się pojawi w zależności od naszych preferencji wybrać:

[Aby zobaczyć linki, zarejestruj się tutaj]


  • Smart Scan- program wykona szybki skan najważniejszych stref systemu w poszukiwaniu zainfekowanych procesów, wpisów w rejestrze i plików.

    Full Scan- program wykona pełen skan systemu.
  • Custom Scan- program wykona skanowanie, które możemy dokładnie określić (jak elementy, które będą przeskanowane).

Po wybraniu skanowania program dokona aktualizacji baz wirusów a następnie będzie kontynuował proces :

[Aby zobaczyć linki, zarejestruj się tutaj]



I wyniki po zakończeniu:

[Aby zobaczyć linki, zarejestruj się tutaj]


Nacisnięcie " Apply " spowoduje zastosowanie akcji domyślnej.

UWAGA
Po udanym skanie program  poprosi nas o ponownie uruchomienie systemu w celu potwierdzenia usunięcia i stwierdzenia obecności ukrytych usług systemowych.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#3
3. KILLSWITCH

KillSwitch  to manager procesów/usług/połączeń i ustawień systemu Windows. Daje szybki dostęp do wglądu na to "co sie dzieje w systemie". Dzięki zintegrowanemu sprawdzaniu w chmurze daje nam jasny obraz na to co jest bezpieczne - a co powinniśmy usunąć.

Jak uruchomić KillSwitch? Z folderu CCE killswitch.exe bądź z okna głównego CCE "Tools>Kilswitch" .

[Aby zobaczyć linki, zarejestruj się tutaj]


Główne okno programu

Narzędzie to zapewne zostanie docenione za swoje funkcje przez bardziej zaawansowanych użytkowników . Dokładny wgląd na procesy, usługi oraz funkcja "Boot Logging" ( Killswitch>Tools> "Enable Boot Logging ") pozwalają na dokładną ocenę sytuacji. Wszystkie właściwości procesów są dokładnie przedstawione.

Możemy łatwo nimi manipulować poprzez opcje dostępne w górnym Menu.
Tak na przykład za jednym zamachem wszystkie podejrzane mogą zostać zakończone.
Pomocną funkcją jest również ukrycie bezpiecznych wpisów, aby łatwiej operować tymi niebezpiecznymi " View> Hide Safe Processes ".

[Aby zobaczyć linki, zarejestruj się tutaj]

Pliki działające w pamięci, które zostały uznane za niebezpieczne będą oznaczone kolorem czerwonym (podobnie jak ukryte).


Opcje dostępne z PPM dla procesów:

[Aby zobaczyć linki, zarejestruj się tutaj]


Podstawowe:
  • Window- ustawienia okna,
    Set Priority- nadajemy procesowi priorytet z jakim ma dostęp do zasobów systemowych,
    Kill Process- zakańczamy działanie procesu,
    Force Terminate- wymuszone  zamknięcie programu,
    Delete- usunięcie pliku,
    Suspend- zatrzymanie procesu (z możliwością przywrócenia go do pracy w każdym momencie>" Resume ")
    Jump to Folder- otwarta zostanie lokalizacja pliku,
    Send to Comodo- plik zostanie wysłany do Comodo w celu analizy,



Widok na właściwościpliku(PPM>" Properties "):

[Aby zobaczyć linki, zarejestruj się tutaj]



KillSwitch dzięki modułowi QuickRepair umożliwia nam naprawę najważniejszych ustawień systemu, które są zwykle modyfikowane przy infekcji  naszego komputera.
Dostęp do QucikRepairmamy z paska na dole:

[Aby zobaczyć linki, zarejestruj się tutaj]

bądź KillSwitch>Tools>Qucik Repair .

Zakres działania Qucik Reapir:

[Aby zobaczyć linki, zarejestruj się tutaj]

Gdy któraś z tych usłyg zostanie zmieniona/wyłączona program powiadomi nas o tym i  umożliwia naprawę.


UWAGA
Oprócz wspomnianych funkcji program posiada wiele innych, charakterystycznych dla tego typu managerów procesów systemowych.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
4. AUTORUN ANALYZER

Autorun Analyzer umożliwia nam dokładną obserwację "wszystkiego" co startuje wraz z systemem operacyjnym. Narzędzie jest niezwykle dokładne - i podobnie jak KillSwitch - oznacza wpisy uznane za niebezpieczne.

[Aby zobaczyć linki, zarejestruj się tutaj]

Główne okno programu

Jak widzimy program dzieli pliki na kategorie - umożliwia segregację i łatwą nawigację pomiędzy poszczególnymi grupami.

Bez zbędnych opisów przejdźmy do funkcji:

Menu na górze pozwala na wiele działań. Jak chociażby ukrycie bezpiecznych wpisów " View>Hide Safe Entries "  (zostaną tylko te nieznane bądź niebezpieczne),

Manipulacje możliwe dotyczące pojedynczego wpisu:

[Aby zobaczyć linki, zarejestruj się tutaj]


Takie jak:
  • Delete- plik zostanie usunięty z systemu,
    Enabled- odznaczenie tej opcji spowoduje wyłączenie tego pliku z autostartu,



Gdy się postaramy i posiadamy odpowiednią wiedzę możemy wyleczyć  praktycznie każdą infekcję przez Autorun Analyzer.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#5
5. USUWANIE INFEKCJI MBR
Pobierz najnowszą wersję CCE

[Aby zobaczyć linki, zarejestruj się tutaj]


Infekcja sektora

[Aby zobaczyć linki, zarejestruj się tutaj]

może być niebezpieczna. Zazwyczaj występuje na skutek zagnieżdżenia się rootkita w systemie.
Comodo Cleaning Essentials umożliwia skuteczne i bezpieczne usunięcie tego typu zagrożenia.

Aby do tego przystąpić należy zmodyfikować ustawienia programu, w tym celu w głównym oknie CCE (po uruchomieniu CCE.exe) przechodzimy do Options :

[Aby zobaczyć linki, zarejestruj się tutaj]


i zaznaczamy opcję " Scan for Suspsiocus MBR Modifications ". Od teraz program sprawdzi sektor MBR na obecność złośliwych modyfikacji w Smart/Custom/Full Scan.

Wykonujemy dowolny skan - chociażby Smart Scan . Jeśli infekcja zostanie znaleziona ujrzymy takie rezultaty (tutaj: infekcja rootkitem TDL4, najnowszy wariant)

[Aby zobaczyć linki, zarejestruj się tutaj]


Po procesie czyszczenia niezbędny jest restart.

Podczas uruchamiania się systemu ujrzymy taką konsolę:

[Aby zobaczyć linki, zarejestruj się tutaj]


Ta opcja ma zapewnić dodatkowe bezpieczeństwo . W razie niepowodzenia lub uszkodzenia sektora MBR można przywrócić ten nieuszkodzony (opcja 2), przed naprawą. Wybieramy opcję pierwszą , klikamy Enter i w przypadku powodzenia cieszymy się systemem pozbawionym infekcji.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
6. USUWANIE "INFEKCJI Z FACEBOOKA"
Pobierz najnowszą wersję CCE

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

Złośliwe procesy (bezpieczne procesy są ukryte - KillSwitch>View>Hide Safe Processes ).

Szablon usuwania infekcji jest uniwersalny (to oznacza, że w taki sam sposób usuwa się wiele innych wirusów)- tutaj akurat przedstawię go na przykładzie osławionej już infekcji ze znanego portalu społecznościowego Smile

Objawem tej infekcji mogą być złośliwe procesy wykryte za pomocą narzędzia KillSwitch. Zazwyczaj jest ich sporo. Do tego dochodzą zmiany m. in.w pliku Hosts czy wyłączenie trybu awaryjnego.

Nierzadko zdarza się, że system wpada w pętle restartów. Infekcja wymusza zamknięcie systemu i utknięcie w "rozwalonym" trybie awaryjnym. Jak bardzo trudno doprowadzić wtedy komputer do ładu przekonał się każdy, kto doświadczył tej sytuacji.

Aby na dobre pozbyć się tej infekcji i jej następstw (zablokowany dostęp do domeny facebook, "wycięte" programy antywirusowe itd.) należy:

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyniki skanowania.


1. Pobrać kopię programu.
2. Wykonać skanowanie systemu.

[Aby zobaczyć linki, zarejestruj się tutaj]

  • Jeśli występują restarty - uruchomić w trybie Aggressive Mode

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Jeśli nie występują restarty i inne zakłócenia - nie jest konieczne uruchamianie w Aggressive Mode.

3. Usunąc znalezione zagrożenia.
4. Przywrócić ustawienia sieciowe sprzed infekcji za pomocą narzędzia Quick Repair ( KillSwitch>Tools>Quick Repair )

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

Zmiany w systemie po infekcji.

UWAGA
Aby mieć absolutną pewność warto również przeskanować system innym narzędziem.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#7
7. USUWANIE INFEKCJI ZEROACCESS
Pobierz najnowszą wersję CCE

[Aby zobaczyć linki, zarejestruj się tutaj]


Infekcja rootkitemZeroAccessjest bardzo groźna i trudna do usunięcia. Wszelkie narzędzia są z góry niszczone i zamykane, a sam rootkit posiada silną ochronę własnych komponentów.
Comodo Cleaning Essentials jest wstanie wykryć i usunąć rootkita.
Klasycznymi objawami infekcji są: przekierowania na inne strony, brak aktywności naszego antywirusa, niemożność otworzenia  menadżerów procesów, skanerów antywirusowych itd.

[Aby zobaczyć linki, zarejestruj się tutaj]


Obecność rootkita w systemie możemy zaobserwować m. in. za pomocą KillSwitcha.

Aby pozbyć się infekcji pobieramy najnowszą kopię programu i rozpoczynamy skanowanie zgodnie z tymi wskazówkami:

[Aby zobaczyć linki, zarejestruj się tutaj]


W moim wypadku wykonałem Smart Scan , który wykrył usługę rootkita:

[Aby zobaczyć linki, zarejestruj się tutaj]


Najlepiej jednak wykonać pełne skanowanie aby mieć pewność, że wszystkie komponenty rootkita zostaną wykryte i usunięte.

Po restarcie (zakończonym skanowaniu) otwieramy narzędzie KillSwitch (CCE> killswitch.exe ) i moduł Qucik Repair :

[Aby zobaczyć linki, zarejestruj się tutaj]


Naprawiamy wszelkie zmiany i restartujemy system. (W razie wątpliwości patrz:

[Aby zobaczyć linki, zarejestruj się tutaj]

).

UWAGA
W celu 100% pewności pozbycia się infekcji warto przeskanować system innymi narzędziami jak Malwarebytes'' Anti-Malware.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
8. USUWANIE INFEKCJI FAKEAV
Pobierz najnowszą wersję CCE

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

Przykład fałszywego antywirusa, który blokuje uruchamianie się innych programów.



Usuwanie niektórych infekcji fałszywych antywirusów może być problematyczne. Podobnie jak w przypadku innego złośliwego oprogramowania, które blokuje uruchamianie się narzędzi potrzebnych do pracy.

CCE został wyposażony w Aggressive Modeto znaczy mechanizm agresywnego uruchamiania - wystarczy przytrzymać klawisz Shift aby program zakończył wszystkie niebezpieczne procesy i umożliwił swobodną pracę.

[Aby zobaczyć linki, zarejestruj się tutaj]


Aby uruchomić CCE wAggressive Modenależy najpierw nacisnąć i przytrzymać klawiszSHIFTa następnie uruchomić plik CCE.exe z folderu programu.

Po uruchomieniu się programu mamy dostęp do narzędzi jak Autorun Analyzer, KillSwitch czy skaner za pomocą których możemy łatwo pozbyć się infekcji.
Najlepiej uruchomić skan i postępować wg instrukcji zawartych tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

.

UWAGA
Czasem, aby uruchomić CCE w trybie Aggressive Mode należy podjąć kilka prób (czasem wystarczy jedna; trzymając klawisz Shift uruchamiamy CCE.exedo skutku).
Aggressive Mode jest nieskuteczny wtedy, gdy wirus modyfikuje klasy w rejestrze dotyczące uruchamiania się plików .exe. Pomocna jest wtedy zmiana nazwy CCE.exe na np. iexplore.exe.
Warto również dokonać napraw za pomocą modułu Qucik Repair( KillSwitch>Tools>Quick Repair )

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#9
9. POBIERANIE PROGRAMU, AKTUALIZACJE

Program dostępny jest pod tymi adresami do pobrania:

Dla systemów o architekturze x32:

[Aby zobaczyć linki, zarejestruj się tutaj]


Dla systemów o architekturze x64:

[Aby zobaczyć linki, zarejestruj się tutaj]



Program jest w wersji Portableco oznacza, że nie wymaga instalacji.
Wystarczy wypakować pobrane archiwum.

Program automatycznie dokonuje aktualizacji.
CCE powiadomi nas również, gdy zostanie wydana nowsza wersja produktu.

Jeśli mamy problem z dokonaniem aktualizacji baz wirusów zawsze można pobrać je z tego adresu:  

[Aby zobaczyć linki, zarejestruj się tutaj]


Teraz wystarczy przejść do programu CCE>Tools>Import Virus Database .

[Aby zobaczyć linki, zarejestruj się tutaj]


10. INNE

Program wszystkie znalezione zagrożenia przenosi do kwarantanny( C:\Quarantine ). Można je również przejrzeć i ewentualnie przywrócić/skasować CCE>Tools>Quarantined Items...

Wygenerowane logiznajdują się w \CCE\Data\CCElub można je przejrzeć poprzez CCE>Tools>Browse Logs...

Wady programu?:
- długi czas skanowania,
- duży rozmiar baz definicji,
- częste FP.


Morphiusz

EDIT: Domyślnie poradnik miał być tylko na forum Comodo, więc może mieć formę "laurki".
aope obiecał mi filmy, więc czekam Smile

[Aby zobaczyć linki, zarejestruj się tutaj]




Dodano: 29 gru 2011, 0:47

Napisałem bloga na dobrychprogramach, oczywiście nie takim ciężkim językiem jak tutaj i nie z nawałem informacji oraz screenów jak w poradniku.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#10
Good jobmorphiusz
Odpowiedz
#11
Przeskanowałem tym cudem kompa i znalazł 43 zagrożenia m.in w: Samsung Kies, ASrock Utility, instalce: Hitman Pro, Aviry v9, KM player, Panda Cloud. Progs wydaje się być niebezpieczny, zdecydowanie nie dla laików i z "lekka" przeczulony...
Odpowiedz
#12
Ambient napisał(a):instalce: Hitman Pro, Aviry v9, KM player, Panda Cloud


Jakie dokładnie wersje? U mnie nic nie wykrywa w tych plikach, chciałem je zgłosić jako ewentualne FP ale nic z tego.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#13
Hitman Pro v3.5.3.78
Avira Free - mogę powiedzieć tylko tyle, że plik jest z grudnia 2009, czyli v9
WinRar - v3.80
PandaCloud - chyba v1,2 plik jest z czerwca 2011
KMplayer - v3.0.0.1440
No i to:

[Aby zobaczyć linki, zarejestruj się tutaj]

Najnowsze wersje: Alcohol 52%, Samsung Kies, ASrock Utility. W ostatniej pozycji "Heur Packet Unknown" 1 i ostatni plik o nazwie unmo3.dll to dodatek do foobara2000 w 100% czysty Smile
Odpowiedz
#14
Ah ta heurystyka :F
W dobrym guście byłoby zmienić im akcję na Report ale to już od Twojego sumienia zależy Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#15
No i tak zrobiłem...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości