A rosszindulatú programok eltávolításának tesztje során egy tucat rosszindulatú programmal fertőzött virtuális gépen telepítek egy vírusvédelmi terméket (mindig ugyanaz a virtuális gép pillanatképe), és kihívást jelent a rendetlenség megtisztítására. Az Emsisoft antivírusa arról számolt be, hogy e tizenkét rendszer tízét nem tudja teljes mértékben megtisztítani. Egyes esetekben egy vírus megfertőzte az alapvető Windows fájlokat, és egy esetben a fertőzött fájl maga az Emsisofté volt. Azt is jelentette, hogy minden rootkit eltávolításához technikai támogatás szükséges.
A számok szerint
A projekt elindításakor fogalmam sincs, hogy időnként több, mint 30 órát vesz igénybe, jóval több mint száz e-mail üzenetet igényel, és több mint 150 diagnosztikai napló és szkript cseréjét igényli. Amikor vége volt, átfésültem az e-mail beszélgetéseket, hogy elemezhessem, mi történt.
A hét folyamán a műszaki támogatási kapcsolattartóim utasításai alapján tizenöt különböző diagnosztikai és tisztító eszközt használtam, amelyek közül csak az egyik Emsisoft termék volt. 120 diagnosztikai naplót nyújtottam be, és több mint 30 tisztítási szkriptet futtattam. Pár esetben le kellett töltenem a Windows XP SP3 frissítést a sérült rendszerfájlok helyreállításához.
A 15 eszköz közül 11-et futtattam a két rendszeren a leginkább fennálló problémákkal. A legrosszabb megtisztítása során 30 diagnosztikai naplót küldtem be és 10 tisztító szkriptet futtattam. Sikerült lépést tartanom az e-mail címemmel és előreléptem néhány más projektet azokban a ritka pillanatokban, amikor az összes aktív tesztrendszer elfoglalt valami szkennelést futtattam, de időm nagy részét az eszközök letöltésére és a fájlok cseréjére fordítottam a technikai támogatással.
A szakértők által használt eszközök
Szóval, milyen eszközöket használ egy rosszindulatú programok tisztító szakértője? Biztos vagyok abban, hogy minden szakértőnek vannak bizonyos kedvencei, de beszámolhatok arról, amit megfigyeltem. Itt vannak, szükség szerint csökkenő sorrendben.
Az OldTimer List-It vagy OTL messze volt a legszükségesebb az összes biztonsági eszköz közül. Több mint 50 OTL naplót küldtem a tech szakértőmnek, és több mint 25 takarítási szkriptet futtattam, amelyeket a naplók elemzése után adott meg. Az egyik tesztrendszeren egy tucatszor kellett futtatnom az OTL-t, más eszközök között.
A rendkívül nagy teljesítményű ComboFix eszköz edzést is kapott. A ComboFix nem a gyenge szíve. A számítógépet nem tudja használni futás közben, és "ahogy van", csak szakemberek használják. Javító szkript létrehozása a segédprogram naplófájljai alapján képzést és szakértelmet igényel. Kínáltam 28 ComboFix naplót a fájdalmas hét során, és hatszor futtattam a javító szkripteket.
Mint már említettem, az Emsisoft Anti-Malware nem tudott automatikusan eltávolítani azokat a rosszindulatú programokat, amelyek rootkit technológiát használnak tevékenységeik elrejtésére. A Kaspersky TDSSKiller kizárólag bizonyos rootkit-ek eltávolítása céljából létezik, és a technikai támogatás kilencszer használta volna. Háromszor hívták fel a Panda Anti-Rootkit-et is.
Az Emsisoft rendelkezik saját célzott malware-tisztító eszközzel, az Emsisoft Emergency Kit-rel. A műszaki támogatás miatt a szerszám ötször, a hét elejére futtattam, de úgy tűnt, úgy döntött, hogy nem a feladatot látja el. Soha nem kérték, hogy működtessem újra a probléma megoldásának első napja után.
A McAfee folyamatosan frissíti a Stinger segédprogramot olyan nehéz fertőzések kezelésére, amelyeket nehéz eltávolítani. A McAfee Stingerének esélye volt négy tesztrendszer rögzítésére, és egy kevésbé ismert eszköznek, az Avengernek három volt egy ütése.
Ami a fennmaradó eszközöket illeti, arra utasítottak, hogy csak egyszer vagy kétszer használjuk őket. Ide tartoznak: az Avast! AswMBR, a Kaspersky AVZ AntiViral eszközkészlete, a Farbar Service Scanner, a Windows javítás a Tweaking.com webhelyről, az AdwCleaner by xPlode, a Junkware eltávolító eszköz és a RunScanner. Néhány alkalommal szállítottam a naplókat a beépített Windows SIGVERIF eszközből is.
Óvatosan kell kezelni
Tehát, ha olyan rosszindulatú szoftvert észlel, amelyet az antivírus nem tud eltávolítani, el kell kezdenie az eszközök gyűjteményének letöltését? Valószínűleg nem, ahogy kiderül. Szinte mindegyiket szakemberek számára tervezték, és néhányan aktívan megkövetelik egy képzett szakember beavatkozását, aki elemzi a naplókat és manuálisan írja a tisztító szkripteket.
Ezeknek az eszközöknek a megfelelő megértése nélküli használata több kárt okozhat, mint hasznot. Még akkor is, amikor szigorúan követtem egy biztonsági szakértő utasításait, sikerült "megölnem" két rendszert, és ezáltal indíthatatlanná tette őket. A tesztrendszereimben a Rendszer-helyreállítás ki van kapcsolva a helytakarékosság érdekében, és nincs Windows XP SP3 lemezem. A kettő megmentésének egyetlen módja az volt, hogy hozzon létre egy BartPE mentőlemez nevű arcán eszközt. Nem gondolom, hogy egy átlagos felhasználó ezt meg tudja oldani, ezért feladtam némi megkönnyebbüléssel.
Tehát mit tehetünk , ha az antivírus nem képes teljesen megtisztítani egy rosszindulatú programot? A legbiztosabb tét az lenne, hogy a Malwarebytes-t, a Szerkesztõi Kiválasztást, ingyenes, kizárólag a tisztítást igénylõ víruskeresõ futtatná. Saját tesztelésünk során a Malwarebytes legyőz minden egyéb terméket, mind ingyenes, mind fizetett módon. Harisnyatartó és övvédelem érdekében futtassa a Comodo Cleaning Essentials szoftvert is.
A bizalom kérdése
A Kaspersky PURE 3.0 Total Security legutóbbi áttekintésében nehéz idő voltam arra, hogy a terméket telepítsem és futtassam a fertőzött rendszeremen. A technikai támogatás számos eszközt hozott létre a probléma megoldására - Kaspersky Rescue Disk, Kaspersky TDSSKiller, Kaspersky NetTest, Kaspersky Anti-Virus Toolkit, Kaspersky ReportMaker és így tovább. Ez jól érezte magát; Kaspersky eszközök Kaspersky problémák megoldására.
Nagyon lenyűgözött az Emsisoft támogatási ügynökének kitartása és elkötelezettsége, akik a tíz rendszer nehéz tisztításán dolgoztak, amelyet az Emsisoft víruskereső nem kezelt automatikusan. Az a tény, hogy szinte az összes használt eszköz más gyártótól származik, nem tölt be engem magabiztosan, és az sem a tény, hogy sokan újra és újra alkalmazni kellett őket.
Antivírus programnak azonosítania kell az összes meglévő rosszindulatú szoftvert, fertőtlenítenie kell a vírus által megrongált érvényes fájlokat, és az összes nem vírusos kártevőt karanténba kell helyeznie. Ha technikai támogatás segítségére van szükség, akkor a gyártó saját eszközeivel történő határozott válasz, amely nem igényli túl sok felhasználói részvételt, biztosan a legmagasabb fokú bizalmat kelti.
