У многіх інструкцыях, якія тычацца выдалення Adware, Malware і іншага непажаданага ПА з кампутара прысутнічае пункт аб неабходнасці праверыць запушчаныя працэсы Windows на наяўнасць сярод іх падазроных ужо пасля выкарыстання аўтаматычных сродкаў выдалення шкоднасных праграм. Аднак, зрабіць гэта карыстачу без сур'ёзнага досведу працы з аперацыйнай сістэмай не так ужо і проста - спіс выконваемых праграм ў дыспетчару задач мала пра што можа яму расказаць.
Дапамагчы ў праверцы і аналізе запушчаных працэсаў (праграм) Windows 10, 8 і Windows 7 і XP можа бясплатная ўтыліта CrowdStrike CrowdInspect, прызначаная менавіта для гэтай мэты, пра якую і пойдзе гаворка ў дадзеным аглядзе. Гл. Таксама: Як пазбавіцца ад рэкламы (AdWare) у браўзэры.
Выкарыстанне CrowdInspect для аналізу запушчаных працэсаў Windows
CrowdInspect не патрабуе ўстаноўкі на кампутар і ўяўляе сабой архіў .zip з адзіным выкананым файлам crowdinspect.exe, які пры запуску можа стварыць яшчэ адзін файл для 64-разрадных сістэм Windows. Для працы праграмы спатрэбіцца падлучаны Інтэрнэт.
Пры першым запуску вам спатрэбіцца прыняць умовы ліцэнзійнага пагаднення кнопкай Accept, а ў наступным акне пры неабходнасці выканаць налады інтэграцыі з онлайн-сэрвісам праверкі на вірусы VirusTotal (і пры неабходнасці адключыць загрузку загадзя невядомых файлаў на гэты сэрвіс, адзнака "Upload unknown files").
Пасля націску "Ок" на кароткі прамежак часу адкрыецца рэкламнае акно платнага сродку абароны CrowdStrike Falcon, а затым - галоўнае акно праграмы CrowdInspect са спісам запушчаных у Windows працэсах і карыснай інфармацыяй пра іх.
Для пачатку інфармацыя па важных слупках ў CrowdInspect
- Process Name - імя працэсу. Таксама можна адлюстраваць поўныя шляхі да выкананых файлаў, націснуўшы кнопку "Full Path" ў галоўным меню праграмы.
- Inject - праверка на ін'екцыі кода працэсам (у некаторых выпадках можа паказаць станоўчы вынік для антывірусаў). Пры падазрэнні на наяўнасць пагрозы выдаецца двайны клічнік і чырвоны значок.
- VT або HA - вынік праверкі файла працэсу ў VirusTotal (працэнт адпавядае адсотку антывірусаў, якія лічаць файл небяспечным). У апошняй версіі адлюстроўваецца калонка HA, а аналіз выконваецца з дапамогай анлайн-сэрвісу Hybrid Analysis (магчыма, больш эфектыўнага, чым VirusTotal).
- MHR - вынік праверкі ў Team Cymru Malware Hash Repository (база кантрольных сум вядомых шкоднасных праграм). Адлюстроўвае чырвоную абразок і двайны клічнік пры наяўнасці хэша працэсу ў базе.
- WOT - пры выкананні працэсам злучэнняў з сайтамі і серверамі ў Інтэрнэце, вынік праверкі гэтых сервераў у рэпутацыйнай сэрвісе Web Of Trust
Пакінутыя слупкі ўтрымліваюць інфармацыю аб устаноўленых працэсам Інтэрнэт-злучэннях: тып злучэння, стан, нумары партоў, лакальны IP-адрас, выдалены IP-адрас і прадстаўленне гэтага адрасы ў DNS.
Заўвага: вы можаце заўважыць, што адна ўкладка браўзэра адлюстроўваецца як набор з дзясятка і больш працэсаў у CrowdInspect. Прычына гэтага ў тым, што адлюстроўваецца асобны радок для кожнага устаноўленага адзіным працэсам злучэння (а звычайны сайт, адкрыты ў браўзэры, прымушае падлучацца адразу да многіх серверам у Інтэрнэце). Вы можаце адключыць такі тып адлюстравання, адключыўшы кнопку TCP і UDP ў верхняй панэлі меню.
Іншыя элементы меню і кіравання:
- Live / History - перамыкае рэжым адлюстравання (у рэальным часе або спіс, у якім адлюстроўваецца час запуску кожнага працэсу).
- Pause - паставіць збор інфармацыі на паўзу.
- Kill Process - завяршыць абраны працэс.
- Close TCP - завяршыць падлучэнне па TCP / IP для працэсу.
- Properties - адкрыць стандартнае акно Windows са ўласцівасцямі выкананага файла працэсу.
- VT Results - адкрыць акно з вынікамі сканавання ў VirusTotal і спасылкай на вынік сканавання на сайце.
- Copy All - скапіяваць ўсю прадстаўленую інфармацыю аб актыўных працэсах у буфер абмену.
- Таксама для кожнага працэсу па правым кліку мышшу даступна кантэкстнае меню з асноўнымі дзеяннямі.
Дапускаю, што больш дасведчаныя карыстальнікі да цяперашняга моманту падумалі: "выдатны інструмент", а пачаткоўцы не зусім зразумелі, які толк ад яго і як яго можна выкарыстаць. А таму коратка і максімальна проста для пачаткоўцаў:
- Калі ў вас узніклі падазрэнні што на кампутары адбываецца нешта дрэннае, а антывірусам і ўтылітамі, накшталт AdwCleaner кампутар ужо быў правераны (гл. Лепшыя сродкі выдалення шкоднасных праграм), можна зазірнуць у Crowd Inspect і паглядзець, ці няма падазроных фонавых праграм, запушчаных у Windows.
- Падазронымі варта лічыць працэсы з чырвонай адзнакай з высокім адсоткам ў Стоўбцах VT і (або) чырвонай адзнакай у слупку MHR. Чырвоныя значкі ў Inject вы наўрад ці сустрэнеце, але калі ўбачыце - таксама звярніце ўвагу.
- Што рабіць у выпадку калі працэс падазроны: паглядзіце яго вынікі ў VirusTotal, націснуўшы кнопку VT Results, а затым перайшоўшы па спасылцы з вынікамі сканавання файла антывірусамі. Можна паспрабаваць выканаць пошук па імя файла ў Інтэрнэце - распаўсюджаныя пагрозы звычайна абмяркоўваюцца на форумах і на сайтах падтрымкі.
- Калі ў выніку зроблена выснова аб тым, што файл шкоднасны - спрабуйце прыбраць яго з аўтазагрузкі, выдаліць праграму, да якой адносіцца гэты працэс і выкарыстоўваць іншыя метады для збавення ад пагрозы.
Заўвага: улічвайце, што з пункту гледжання многіх антывірусаў рознага роду "праграмы для запампоўкі" і падобныя сродкі, папулярныя ў нас у краіне, могуць з'яўляцца патэнцыйна непажаданых ПА, што будзе адлюстроўвацца ў слупках VT і (або) MHR ўтыліты Crowd Inspect. Аднак гэта не абавязкова азначае, што яны небяспечныя - тут варта разглядаць кожны асобны выпадак.
Спампаваць Crowd Inspect можна бясплатна з афіцыйнага сайта //www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (пасля націску кнопкі загрузкі, на наступным старонцы спатрэбіцца прыняць умовы ліцэнзіі, націснуўшы Accept для пачатку запампоўкі). Таксама можа спатрэбіцца: Лепшы бясплатны антывірус для Windows 10, 8 і Windows 7.
