Viimati toimetatud 13.august 2009.
Hiljuti käisin ühe vana tuttava arvutit puhastamas. Kuna olin temaga varasematel aastatel palju kokku puutunud, teadsin ette, et tegu on vanamoodsa ja pedantse inimesega. Eks me ju kõik oleme veidikene „ummamuudu“, aga et mõni nii eriliselt ektsentrik on, seda ma ei oleks oodanud. Nõudmised, mis ta mulle arvuti taga esitas, jahmatasid mind – mulle jäi mulje, et ma ei tulnud teda mitte heast tahtest aitama, vaid et ta eksamineerib minu oskusi.
Appi palus ta mind sellepärast, et kuigi ettevaatlik arvutikasutaja, oli ta siiski kusagilt külge saanud kurikavala trooja-ussi. See iseenesest kõige ohtlikum ei olnudki, ent suutis vältida tema viirusetõrjeprogrammi Norton ja kuvas nii arvutiekraanile kui ka veebilehitseja lisatööriistaribana rohkelt linke meesteporno (gay-porn) lehekülgedelele. Lugedes võib see ehk naljakas tunduda, aga mis teeksite ise, kui, ehkki püüate seda paaniliselt varjata, teie tüdruksõber või abikaasa selle juhuslikult avastab, vaatab siis kahtlevalt võõristades teie poole ja küsib: “Imelik oled või!?“ Just sel viisil paraku mu tuttavale must masendus peale tuligi.
En minu jaoks probleemid alles algasid. Troojast lahtisaamine oli komplitseeritud, kuna üsna vanas arvutis oli väga väike kõvaketas (40 GB), mis oli otsast otsani hädavajalikke faile täis – vähemasti keeldus omanik kategooriliselt mistahes faili kustutamisest. Ruumi kokkuhoiu mõttes oli tal ka süsteemitaaste välja lülitatud, ent teisest küljest pole teada, kas see oleks aidanudki – sama trooja ülesandeks võis ju olla ka taasteutiliidi rikkumine või siis iseenda taastamine just süsteemitaaste abil.
Kui aga pakkusin talle, et sellele imeväiksele kettajupile, mis veel arvutis saadaval oli, installeerin paar head tõrjeprogrammi, siis keeldus ta sellestki pedantliku järjekindlusega – ta minevat närvi, kui kettal on midagi sellist, mida ta ei tunne ega tea, pealegi võivat see teda häirima hakata. Iga tema arvutis olev fail ja kaust peab paiknema täpselt kindlaksmääratud kohas ning piltlikult öeldes läikima nagu prillikivi. Mitte midagi üleliigset, isegi kui see on tema turvalisuse huvides, ei tohi arvutisse paigaldada, ka mitte sel juhul, kui see hiljem maha installeerida. Sõnaga, troojast tuli lahti saada nii, et hiireotsagagi tema arvuti kõvaketast ei puutu.
Hea küll, valdav enamus arvutikasutajaid ei ole kiiksuga, kuid vahel on tõesti vaja puhastada arvutit nii, et ketast ei puutu. Esmapilgul võib see tunduda võimatu missioon, kuid midagi ülearu keerulist siin ei ole. Kõigest sellest on juba juttu olnud, ent teises kontekstis. Näiteks selles artiklis mainisin ära mitmed viiruste eemaldamise vahendid: McAfee Avert Stinger, Microsoft Malicious Software Removal Tool, Avast! Virus Cleaner, Norman Malware Cleaner ja Avira Removal Tool, kuid jätsin märkimata, et antud utiliite võib nimetada ka portatiivseteks ehk kaasaskantavateks tõrjevahenditeks.
Pahavara eemaldamisel mängivad portatiivsed tõrjujad tihtipeale suuremat ja olulisematki rolli kui veebipõhised online skannerid või kõvakettale installeeritud tõrjeprogrammid. Seda just sellepärast, et paljud tänapäevased viirused ja troojad on suutelised arvutisse paigaldatud pahavaratõrjed üles leidma, need seejärel töövõimetuks muutma või nende eest märkamatuks jääma. Nakatunud arvutiga online skanneriteni jõudmine võib aga olla raskendatud – teid kas suunatakse edasi pahatahtlikele saitidele või blokeeritakse juurdepääs viirusetõrjete kodulehtedele. Näiteks katsetamistuhinas on mul endalgi olnud au kohtuda taolise troojalasega nagu Bagle, mis oli selleks kõigeks võimeline. Laastamistöö oli kohutav ja kui mul poleks olnud tagataskust võtta nn. arvutivälist viiruseeemaldajat, oleks trooja kättesaamine olnud raske.
Portatiivsed tõrjevahendid
Portatiivsed ehk kaasaskantavad programmid on mõeldud kasutamiseks irdseadmetel nagu MP3-mängijad, USB mälupulgad või –kaardid, välised kõvakettad, iPod, iPhone jne. Neid programme ei pea kõvakettale kopeerima või installeerima, need on USB juhtme või -otsiku abil arvutisse ühendamisel koheselt käivitamiseks valmis. Registrisse kirjeid ei jää, lisarakendusi (DirectX jne.) nad töötamiseks ei vaja ning enamus ei vaja ka administraatori õigusi.
Loomulikult võib kaasaskantavaid versioone kasutada ka arvutis püsivalt või salvestada neid CD/DVD plaatidele, soovitavalt korduvkirjutatavatele, et jääks uuendamise võimalus. Näiteks portatiivsetest versioonidest kasutan arvutis a-squared Free (Emergensy USB Stick), mis ei jää kõvakettale paigaldatavale versioonile põrmugi alla. Pigem pean seda versiooni isegi paremaks, sest programmiga kaasnev jõudlust vähendav service ei ole pidevalt taustal töötamas.
Ettevalmistus tööks
Kaasaskantavate programmide puhul tuleb arvestada, et internetist tõmmates on enamus neist pakitud kujul – .zip, .rar jne. Seega esimesena peaks failid avama eraldi kausta. Irdseadme ühendamisel USB kaudu tuleb klikata ikoonile My Computer ning leida uus moodustunud ketas (drive). Seejärel tuleks see avada ja tõsta sinna eelnevalt lahtipakitud kaust. Näiteks alloleval pildil on MP3-mängija nimetuse all Removable Disk (F) javäline kõvaketas nimetuse all WD Passport (G). Kui nüüd näiteks avan MP3-mängija ketta, siis läbisegi muusikaga on portatiivsed tõrjujad nii kaustades kui ka eraldi .exe failidena. Vajalikel programmidel klikates on need kohe töövalmis.
Kindlasti peaks eelnevalt paigaldama arvutisse ka USB kirjutuskaitse. See on vajalik selleks, et kui näiteks arvuti on nakatunud eriti kurikavala viiruse või troojaga, võib see välise seadme ühendamisel arvutiga tungida ka sellel olevate failideni ja need samuti nakatada või muuta töövõimetuks. Ise kasutan selliseks kaitseks väga lihtsat ja tasuta utiliiti USB WriteProtector. Kui märkida punktikesega USB write protection ON, siis on kirjutuskaitse sisselülitatud ja lisaks kasutajale endale ei saa ka ükski pahavara seadmel olevaid faile muuta, ümber nimetada, kustutada , teisaldada jne. Kõik muu aga toimib ja töötab suurepäraselt . OFF loomulikult lubab jällegi peremehetseda sellel kettal.
Töötamine programmidega
Lisaks eelnimetatud viiruste eemaldamise vahenditele nimetaksin veel teisigi:
Kaspersky Virus removal tool pole lihtsalt viiruste eemaldamise utiliit nagu nimi ütleb, vaid minu arvates teeb silmad ette täisvääsetele programmidelegi. Siia on ühendatud igat tüüpi kurivara leidmine (ka rootkit), nende kahjutustamine, vajadusel ka taastamine (backup – restore). Sätted (settings) võimaldavad mitmel viisil seada skanneerimist endale meelepäraseks, pahavara otsimisprotsess on väga informatiivne. Uskumatu, et see kõik on seni veel tasuta! Leian, et kui on olemas ainult see kaasaskantav versioon arvutivälisel seadmel, siis saab üle igast kurjusemäest.
NB! Utiliidi värskendamine uute andmebaasidega pole siiski võimalik, seega tuleb tirida sagedamini uus KVRT arvutisse või otse eemaldatavale seadmele, sest ka seal saab selle lahti pakkida töötavaks utiliidiks.
Süsteeminõuded: Kõik Windows versioonid
Dr.Web CureIt! leiab ja eemaldab praktiliselt iga tüüpi pahavara, ent minu kogemuse põhjal annab see utiliit ka kõige rohkem valehäireid (false positive). Seega tasuks alati hoolikalt uurida, kas leitud fail on ikka pahavara või on vajalik mõne teise programmi, eelkõige tõrjeprogrammide tööks, sest eriline sallimatus näib sel olevat oma konkurentide suhtes.
Utiliidi avamisel otsib automaatselt uuendusi ja vajutades kirjele Start teostab arvutis kiirkontrolli. Peale seda saab kasutaja soovi korral valida täiendavaks kontrolliks ka täieliku skanneerimise, mis otsib kurivara kogu arvutist, või kohandatud skänni, mille abil märgitakse ise vajalik kaustad või kettad pahavara otsimiseks.
Süsteeminõuded: MS Windows 95OSR2/ 98/Me/NT 4.0/2000/XP/2003/Vista
Portable ClamWin on a USB or Removable Drive on avatud lähtekoodiga (open source) tasuta viirusetõrje. Kasutajaliides ja mootor pärineb ClamAV –lt. Leiab ja hävitab nii troojaid kui nuhkvara. Juhend, kuidas ClamWin viirusetõrjet arvutivälisel seadmel tööle saada, asub siin.
Süsteeminõuded: Windows 98/Me/2000/XP/Vista/2003
1-2-3 Spyware Free For USB Flash Drives on tasuta portatiivne nuhkvaratõrje, mis avastab ja teeb kahjutuks ka viiruseid ja troojaid. Mõnda aega tagasi poleks ma seda programmi soovitanud, kuna see ise sisaldas nuhkvaralisi komponente, kuid hetkel tundub ta neist puhas olevat – vähemalt ükski mu arvutis olev tõrjeprogramm (neid on testimise otstarbel väga palju) ei avastanud midagi kahtlast.
Pakitud failid (.zip) tuleb avada eraldi kausta ja tõsta see arvutivälisele seadmele. Koheselt saab uuendada andmebaasid, seejärel on kasutajal võimalik valida, kas teostada kogu arvuti skanneeringu või valida pahavara otsimiseks vaid üksikud kettad ja kaustad.
Süsteeminõuded: Windows  98/ME/NT/2000/XP/2003/Vista
Ansav Antivirus on tasuta kaasaskantav tõrjevahend, mis elimineerib nii tavalist nuhkvara kui ka troojaid ja viiruseid. Pahavaravastane andmebaas on hetkel veel limiteeritud, ent kurjemat ja tuntumat kurivara hävitab kindlalt. Programmi kodulehel on hetkel hooldustööd, alternatiivne allalaadimisleht asub siin. Programmi saab sätete (options) abil suurepäraselt konfigureerida kasutaja soovidele meelepärasemaks, pluginate abil võib otsida peidetud pahavara või muuta registrisätteid.
NB!Soovitan seda utiliiti kasutada edasijõudnutel või mitte näppida pluginat RegistryFX, kuna see võib põhjustada registrimuutusi, mida kasutaja võibolla ei soovi ja mida algajad ei oska taastada.
Süsteeminõuded: Windows XP / Vista
Simple Machine Protect on avatud lähtekoodiga tasuta viirusetõrjeprogramm, mis leiab ja kahjutustab erinevaid viiruseid, troojaid, usse ja nuhkvara. Programmi avades tuleb kõigepealt vajutada lahtrile Browse ja valida registriredelist skanneerimist vajav ketas või kaustad, millest soovitakse kurivara otsida. Control Administer abil saab valida skanneerimissätteid, Process Explorer abil vaadata töötavaid protsesse ja vajadusel neid sulgeda, System Optimizer abil muuta Windows vaikimisi registrisätteid.
NB!Soovitan seda utiliiti kasutada edasijõudnutel või mitte näppida pluginat System Optimizer, kuna see võib põhjustada registrimuutusi, mida kasutaja võibolla ei soovi ja mida algajad ei oska taastada.
Süsteeminõuded: Windows NT/2000/XP
Norton Security Scan tasuta versiooni saab ainult siis, kui eelnevalt tiritakse arvutisse Google Pack. Tegelikult võib linnukesega märkida vaid Norton Security Scan, kui ei soovita arvutisse muud träni. Seejärel, kui Norton on arvutisse installitud, tuleb liikuda mööda teed My Computer – Local Disk C – Program Files, sealt otsida üles kaust Norton Security Scan ja tõsta see arvutivälisele USB kettale. Kui siis klikkida failil Nss.exe on programm tööks valmis. Tuntud viirusetõrje avastab ja eemaldab igat tüüpi pahavara.
Süsteeminõuded: Windows XP Home / XP Professional/ Vista
Webroot Enterprise Spy Audit leiab troojaid ja igat masti nuhkvara. Andmebaasid uuendatakse läbi interneti, seega on need alati vajakohased. Skanneerimise tulemustest antakse teada Webroot kodulehel. Utiliit ei eemalda pahavara, ent näitab koha, kus see pesitseb, mille võib seejärel käsitsi kustutada. Äärmilselt lihtne ja kiire tasuta auditeerimisvahend on mõeldud ennekõike ettevõtetele, ent ka kodudes võib seda edukalt kasutada.
Süsteeminõuded: Windows 2000, Windows Server 2003, Windows XP
Prevx CSI väga suureks plussiks on skanneerimise kiirus. Otsitakse rootkite, viiruseid, troojaid, klahvinuhke ja ka kõikvõimalikku nuhkvara. Miinuseks on see, et leitud parasiitide hävitamiseks peab ostma litsentsi, ent sellegipoolest näidatakse ära pahavara paiknemise koht, mille saab siis manuaalselt kustutada.
Süsteeminõuded: Windows 2000 SP4, XP SP2/3, 2003, Vista.
System Explorer annab väga detailset infot kogu arvutisüsteemist. See unikaalne tasuta abivahend sobib ehk rohkem arvutivallas edasijõudnutele, kuid ka algajad saavad oma teadmisi täiendada. Nimetan selle programmi antud artiklis seetõttu, et mis iganes protsessi, faili või internetiühendust saab pahavarakahtluse korral üle kontrollida läbi programmi enda Virustotal või VirusScan.jotti saitidel.
Süsteeminõuded: Windows XP või Windows Vista
a-squared Free (Emergensy USB Stick) leiab ja hävitab mitte ainult klassikalist nuhkvara, vaid ka troojaid, usse (worms), helistajaid (dialers), klahvinuhke (keyloggers) ja tagauksi (backdoors). Üks suurepärasemaid programme nii arvutisse paigaldatult kui ka arvutiväisel USB seadmel. Võimaldab koheselt alla laadida uusimad kurivaravastased andmebaasid, seejärel valida kasutajale sobiva skanneerimismeetodi.
Selle artikli kommentaaris kirjutab Marek, et a-squared annab palju valeteateid (false positive). Ei tahaks sellega nõustuda. Marek kahjuks ei nimeta ühtegi faili, mida loeti pahavaraks, ent kui nendeks võis olla midagi näiteks Bsplayer-ist, K-Lite Codec Pack-ist, peer-to-peer programmidest (LimeWire, Shareaza, BitTorrent jne.), siis paraku jääb õigus ikkagi a-squared’i loojatele – need kõik sisaldavadki kas reklaam- või nuhkvara. Vahe on lihtsalt selles, et paljud teised tõrjeprogrammid eeldavad, et kasutaja on installeerinud need omal vabal tahtel, ega pea neid pahavaraks, a-squared aga suhtub igasse pahavarasse null-tolerantsiga.
Kui aga rääkida üleüldiselt false positive failidest, siis milline programm neid ei annaks? Programme ja nende andmebaase loovad teatavasti inimesed, kes kõik on luust ja lihast olevused ning teatavasti on eksimine inimlik. Hiljuti ju isegi üks tuntud viirusetõrje (kahjuks ei mäleta nime, kes teab, võiks kommenteerida) luges tähtsat süsteemifaili viiruseks, mille kustutas ja mille tulemusel arvutid enam ei käivitunud…
Süsteeminõuded: Windows XP, 2003/Vista
Panda Anti-Rootkit ja Trend Micro RootkitBuster on mõlemad väga lihtsad ja kasutajasõbralikud peidetud pahavaraliste protsesside avastajad ning hävitajad.
Kõigist internetist leiduvatest portatiivsetest pahavaratõrjetest olen siia tutvustamiseks välja valinud parimad. Need, mis ise sisaldasid nuhkvara ja troojaid, mis jooksutasid kaksik-buutivas arvutis kas XP Pro või Vista kokku või subjektiivsel põhjusel lihtsalt ei meeldinud, võib juttu teha siis, kui neid on paremaks kohandatud.
Tõsiselt asjalik tekst, ainuke paha asi, et sellised Windowsi peal jooksvad pahavara tõrjujad ei avasta MBR-is oleavid viiruseid. Tegelikult peaks kätte võtma ja kirjutama, kuidas mõnda plaadilinuxit (näiteks Knoppixit) WIndowsi päästmise eesmärgil tarbida.
KVRT tegijatel on vist maailma parim huumorimeel.
detected: Trojan program Trojan-Spy.Win32.KeyLogger.bhg File: c:\documents and settings\administrator\desktop\virus removal tool\is-rjqen\startup.exe
detected: Trojan program Trojan-Spy.Win32.KeyLogger.bhg File: C:\setup_7.0.0.290_08.12.2008_00-38.exe//file019
http://virusinfo.info/showthread.php?t=35338
Tean, et F-Securel on sellejaoks üsna võimas rakendus nimega
F-Secure Easy Clean tool!
Artikli autorile teadmiseks – viidatud usb kirjutuskaitse on lihtsalt ühe registry kirje põhine ja iga endast lugupidav paharett on suuteline sellest mööda hiilima, kui ta seda vaid tahaks. Lisaks toimib see kirje vaid alates XP SP2 operatsioonisüsteemist – näiteks w2k all saab antud utiliiti edukalt käivitada, ühtegi veateadet ei kuvata, kuid mingit “kirjutuskaitset” ka ei realiseerita. Sedasi võib võlts turvatunne jääda.
Hulga parem on kasutada füüsilise kirjutuskaitselülitiga usb mälupulka (miks küll uuematel on seda hakatud ära jätma ah?) või välist kõvaketast (jah, asjalikematel välistel usb ketastel on ka füüsiline kirjutuskaitselüliti olemas).
Aga vana hea Autoruns? Tibatilluke ja installi ei vaja. Tools->Hide signed microsoft entries +Verify Code signatures annab päris hea ülevaate, kes ja mis masinas toimetab.
Minumeelest ka vaid füüsilise kirjutuskaitse lülitiga mälupulka peaks kasutama.
Autor on vist kannatlik inimene – mina oleks sellisele arvutiomanikule tapjapilguga silma vaadanud ja küsinud, et kas mu näos on mõni lohuke, mis väljendaks minu isiklikku vajadust tema arvuti korda saada?
Ja ise pigem linuxiinimene olles olen tuttavate Win masinaid parandades kasvõi vastu tahtmist teinud sellest dualboot (vaikimisi siiski windowsi boot) arvuti, kus on olemas linuxi distro koos partimage pakiga, mida kasutades ka puhtast win partitsioonist tõmmis tehtud. Windows ise võimalikult nii paigaldatud, et isegi My Documents suunatud teisele partitsioonile. Siis taastamisel peab enamvähem vaid kasutajate Desktop kaustad üle kaema. Ja siis juba linuxi all tõmmisest restore.
Peale linuxiinimeseks saamist tundub nakatunud Windowsi süsteemi kordategemine pahalast taga otsides puhta masohhismina.
Ja kui mõnda “klienti” selline minu isiklik policy ei rahulda, siis palun, arvutifirmad ootavad teda raskel ajal pikkisilmi.
Väga hea ülevaade vajalikest asjadest.Tubli töö!
Tänud kõigile arvamuse ja asjalike nõuannete eest!
Hillar, Sinu pakutud teema lähedast artiklit on mul plaanis kirjutada, ent millal järjekord selleni jõuab, raske öelda (põhjustest allpool).
Maiko, et ma kannatlik olen, sellega panid kümnesse! Aasta ja nelja kuuste kolmikutest laste issina kannatan tõenäoliselt rohkemgi ära, kui mõni teine. Kerge ei ole, kui nad kolmekesi korraga arvavad, et tunduvalt lahedam on mind igatmoodi kiusata ja retsida, kui et ma oma asju saaks rahulikult teha, näiteks kasvõi artiklit Arvutikaitsesse kirjutada. Sinna juurde käib loomulikult veel arvuti korduv restardile saatmine, sülleronimised ja kukilistumised, 100-detsibellise heliga otse kõrva röökimised, keelatud asjade näppimised ja nende tükkideks lammutamised (poole aasta jooksul neli mobiili, kolm hiirt, üks klaviatuur, kaks telekapulti ja kellraadiot jne, jne, jne.).Aga keda see huvitab….ent kõige selle juures pean ma suutma rahulikuks jääma, et mitte lastele juba nii väikeses eas oma vihapursetega traumat tekitada.
P.S. Vabandan ette, kui minu enda kommentaarid kommentaaridele hilinevad kõige selle eelnimetatu pärast.
Veelkord tänan kõiki heade arvamuste eest!