Ad-Aware,
SpyBot - Search & Destroy,
SpywareBlaster
Löydä epäilyttävät tiedostot ja tekstit:
EULAlyzer,
FileMap,
RunScanner
Selainkaapparit pois:
CWShredder,
HijackThis
Ad-Aware 28.7.2005 Uusittu 1.7.2007
Ad-Aware on lakannut tunnistamasta WhenU-nimistä vakoiluohjelmaa. Ilmoittamatta mitään etukäteen! Voiko Ad-Awareen enää luottaa?
Uusi Ad-Aware 2007 Free on melkoinen mammutti!
Ilmaisten ja maksullisten ohjelmien lisäksi on olemassa mainosrahoitteisia, eli adware-ohjelmia. Adware-ohjelmasta ei tarvitse maksaa, mutta käyttäjän on siedettävä ohjelman jossain nurkassa pyöriviä mainoksia. Adware-ohjelmat voivat olla hyviä ohjelmia, mutta ne eivät aina ole täysin ongelmattomia.
Nettiurani alkuaikoina kokeilin pariakin adware-ohjelmaa, tietämättä aluksi niiden olevan sellaisia. Tuntui hassulta, että ohjelma näyttäisi samoja mainoksia vuodesta toiseen. Enpä tiennyt, että samalla oli asentunut - eri hakemistoon, jopa eri osiolle - toinen ohjelma nimeltä tsadbot, joka nettiyhteyden avattuani latasi jostain koneelleni uudet mainokset! (Ei ollut palomuuriakaan vielä silloin...) Eikä siinä kaikki: kun sitten poistin adware-ohjelman, tuo mainoksia lataileva ohjelma jäi koneelleni ja jatkoi mainosten hakemista, vaikka alkuperäinen ohjelma oli jo tiessään! Kaiken tämän hoksasin vasta paljon myöhemmin.
Eikä tässäkään vielä kaikki! Nämä lisäohjelmat eivät välttämättä tyydy hakemaan mainoksia, vaan saattavat myös kerätä tietoa tietokoneen käytöstä, vierailluista nettisivuista jne. ja lähettävät nämä tiedot mainostajille! Niitä kutsutaan spyware-ohjelmiksi.
Onneksi on Ad-Aware. Se tutkii koneen vakoilukomponenttien varalta ja halutessa poistaa ne. Käyttö on helppoa. Versiosta 6 lähtien Ad-Awaressa on sisäänrakennettu päivitysohjelma, jolla ohjelma on helppo pitää ajantasalla. Ad-Awaren voi säätää suorittamaan skannauksen automaattisesti tiettynä aikana ja tietysti myös päivityksen se osaa hoitaa omin neuvoin, jos käyttäjä niin haluaa.
Versiosta 6.181 etsintä on nopeutunut huomattavasti uuden SmartScan -tekniikan ansiosta. SmartScan perustaa etsinnän edellisille etsinnöille, mikä nopeuttaa prosessia. Jos ohjelma löytää jotain erikoista etsinnän aikana, se etsii seuraavalla kerralla samaa entistä perusteellisemmin jne. Niinpä Ad-Aware ei skannaa enää kaikkia koneen tiedostoja, ja etsintä nopeutuu. Tässä on nurjakin puolensa: kun tulevat etsinnät perustuvat tämän hetkiselle etsinnälle, jotain voi jäädä löytymättä. Niinpä sanoisin, että silloin tällöin kannattaa suorittaa perusteellinen etsintä, vaikka se hidasta onkin. Näin taataan, että Ad-Aware löytää jotain nyt, jotta se voisi löytää sitä myös huomenna :-)
24.9.2004. Ad-Awaren ilmaisversio on nyt viralliselta nimeltään Ad-Aware SE Personal edition.
Uusien ominaisuuksien lista on pitkä ja täynnä teknisiä termejä. Yhtenä voisi mainita TAC:n (Threat Assessment Chart, eli uhan arviointikartoitus). Kaikki Ad-Awaren löydökset saavat pisteitä TACin mukaan yhdestä kymmeneen sen mukaan kuinka vaarallinen löydös on. Kympin ohjelma on tietysti itse antikristus. TAC-listaa voi käydä selailemassa onlinessa ollessaan, kun napsauttaa hiiren kakkosella ikävää löydöstään ja valitsee kohdan "Näytä TAC-sivu kohteelle Alexa", Alexan ollessa tässä vain esimerkki löydöksestä.
Katsotaanpa
Ad-Awaren hienoa ikkunaa. Tuossa kuvassa näkyvät kriittiset löydöt; jostain ihmeestä Ad-Aware yhä löytää viittauksia Alexaan.
Tarkistuksen tulokset-välilehdeltä näemme tarkempia tietoja löydetyistä kohteista. Alexan TAC-luokitus on 5. MRU list tarkoittaa viimeksi avattuja tiedostoja (Most Recently Used), jotka Ad-Aware myös haluttaessa etsii. Nehän eivät ole vaarallisia, mutta jos ei tahdo muiden konetta käyttävien tietävän mitä tiedostoja on lukenut / avannut / muokannut, MRU:t voi poistaa Ad-Awarella.
Ad-Awareen saa myös lisäosia ja laajennuksia (Add-ons ja Extensions), jotka lisäävät ohjelman käytettävyyttä. Lisäosat eivät ole välttämättömiä, mutta voivat olla hyödyksi. Mainittakoon vaikka Tweak SE, jolla voi viilailla sellaisia Ad-Aware SE:n asetuksia, joita itse ohjelmassa ei voi säätää. Erityisesti maininnan arvoinen on VX2 Cleaner, joka etsii ja poistaa koneelta VX2-nimisen haittaohjelman, jota on kuulemma normaalisti melko mahdoton paikallistaa. Kannattaa huomata, että kaikki lisäosat eivät välttämättä toimi kaikissa Ad-Awaren versioissa.
Mainosrahoitteinen ohjelma saattaa lakata toimimasta, jos sen komponentti poistetaan! Jos ohjelman tekijä on tarkoittanut ohjelmansa mainosrahoitteiseksi, on ohjelman käyttäminen mainoksettomana VÄÄRIN ja lisenssiehtojen vastaista. Kaikki mainosohjelmat eivät ole vakoilijoita!
Ad-Awaresta on myös maksullisia versioita.
Kun klikkaa joitakin Ad-Awaren tai sen ohjetiedoston linkkejä, ohjelma käynnistää Internet Explorerin, vaikka oletusselaimeni on Opera! Pitkä miinus tästä.
Windows 2000/2003/XP
Kotisivu: http://www.lavasoft.de
Koko: Ad-Aware: n. 17 Mt. exe
Suomenkin sisältävä kielipaketti löytyy osoitteesta:
http://www.lavasoft.de/support/download/
SpywareBlaster - estä vakoojatartunnat!
Kukapa ei olisi sitä mieltä, että vakoilu-, virus- ja muiden haittaohjelmien tekijöiltä tulisi katkaista kädet irtipoikki? Monelle tietokoneen käyttäjälle riittäisi, että voisi lähettää ja vastaanottaa sähköpostia ja surfailla rauhassa tutustumassa kaikkeen siihen ihmeelliseen ja kummalliseen aineistoon, jota WWW tarjoaa. Vaan tätä rauhaa ei ihmiselle suoda. Vaara vaanii joka puolella. Selaimia kaapataan. Ohjelmia asentuu koneille. Evästeet - nuo aikoinaan vaarattomiksi tekstitiedostoiksi julistetut - saattavat vakoilla, samoin nettisivujen mainokset. Sähköposti ja internet ovat upeita keksintöjä, mutta kiitos haittaohjelmien (ja virusten ja roskapostin) tekijöiden, niistä on nykyään vaikea nauttia.
No, onneksi on sellaisia ohjelmia kuin
Ad-Aware
ja
Spybot, jotka etsivät ja siivoavat haittaohjelmat koneelta. SpywareBlaster astuu askelen edemmäs: se estää haittaohjelmia edes asentumasta!
Eli: SpywareBlaster ei etsi, eikä poista koneelta vakoojaohjelmia! Se estää niitä asentumasta, ja jos koneella on jo haittaohjelmia, estää niitä toimimasta. Varsinaisten ohjelmien ohella SpywareBlaster blokkaa myös edellä mainittuja evästeitä (vaatii IE6 ->) ja ActiveX-komponentteja. Turvallisuus paranee huomattavasti, jos estää selaimen asetuksista ActiveX-komponenttien suorittamisen. Myös jotkut palomuurit estävät ActiveX:t.
SpywareBlasterin käyttö on helppoa. Ohjelma asennetaan ja käynnistetään.
Avautuu
tällainen ikkuna. Kuten näkyy, ohjelma kertoo heti IE:n, Mozillan ja Firebirdin suojaustilanteen. Klikkaamalla Quick tasks-kohdasta Enable all protection (Kaikki suojaus päälle), saa totta totisesti kaiken suojauksen päälle kerta heitolla :-) Näin kannattaa tehdä varmuuden vuoksi ainakin jokaisen päivityksen jälkeen, sillä SpywareBlasterin 3.0-versiossa ei ole enää Select all (Valitse kaikki)-toimintoa. Päivitykset kannattaa käydä hakemassa heti kun on ohjelman asentanut. Päivitys on joutuisaa.
Jos haluaa poistaa suojauksen jotain kohdetta vastaan, otetaan sen kohdalta ruksi pois ja klikataan Remove protection for unchecked items, eli Poista suojaus merkitsemättömiä kohteita vastaan. Lisätietoja kohteista saa klikkaamalla More info on items (Lisätietoja kohteista). Avautuvasta ikkunasta löytyy lyhyt, englanninkielinen kuvaus jokaisesta kohteesta. Hakuja voi suorittaa oikeaklikkaamalla listaa. Kts.
kaappaus.
Uutena toimintona SpywareBlasterissa on myös Restricted sites, eli Kielletyt sivustot. Tämä toiminto lisää joukon ällösivuja Internet Explorerin Kiellettyjen sivustojen listalle.
SpywareBlasterissa on mukana muutamia hyödyllisiä työkaluja. System snapshot ottaa "kuvan" tärkeistä selain- ja järjestelmätiedoista. Jos jokin haittaohjelma pääsee näitä tietoja sotkemaan, puhtaat tiedot voi palauttaa helposti. Huomio! Ennen kuvan tekemistä kannattaa ajaa SpyBot tai Ad-Aware ja näin varmistaa, että tärkeät tiedostot ovat puhtaat! Tehtävä kuva kannattaa myös nimetä järkevästi; halutessa SB lisää kuvan nimeen automaattisesti päivämäärän.
Pari yleishuomiota: SpywareBlasterin evästesuojaus toimii vain IE:n versiossa 6 ja sitä korkeammissa!
SpywareBlasterin ei tarvitse olla käynnissä, jotta se suojaisi konetta. Muista päivittää tietokantaa ja asentaa uusien kohteiden suojaukset!
Jos käytössä on esim. SpyBot S&D ja se on merkinnyt hosts-tiedoston 'vain luku' -muotoon, SpywareBlaster ei pysty ottamaan siitä yllämainittua, salattua varmuuskopiota. Yleensäkin kannattaa muistaa, että samaa asiaa ajavat eri ohjelmat saattavat joskus toimia ristiin.
Ohjelman automaattinen päivitystoiminto on maksullinen, mutta manuaalisesti sen voi päivittää entiseen malliin.
Windows 95 -> XP
Kotisivu:
http://www.javacoolsoftware.com/spywareblaster.html
Koko: n. 2,2 Mt. exe
SpyBot - Search & Destroy!
Uusi versio 1.6 ilmestynyt 8.7.2008
Noiden lisäksi Spybotilla voi myös hallinnoida Internet Explorerin ActiveX-sovelluksia ja Browser Helper Objekteja (BHO, eräänlainen selainapuohjelma). Kaikki ActiveX:t ja BHO:t eivät ole vahingollisia! Esimerkiksi Shockwaven Flash Player toimii ActiveX-periaatteella. Monet imurointiapuohjelmat taas voivat telakoitua Internet Exploreriin BHO:na. Mutta joukkoon mahtuu myös paljon mätämunia, ja sen vuoksi ActiveX:iä ja BHO:eja kannattaa katsoa karsaasti :-) Asioista tietävät ovat yleisesti sitä mieltä, että ActiveX:t ovat kamalinta mitä Microsoft on ikinä keksinyt.
Ensimmäisellä kerralla Spybot käynnistyy Oletustilassa, mikä tarkoittaa että ohjelmaan kuuluvat asetukset ja työkalut on piilotettu. Edistyneeseen tilaan pääsee Tila-valikosta. Tilanvaihdon yhteydessä Spybot varoittaa Edistyneen tilan vaaroista, mutta järkevällä käytöllä tuskin saa konettaan sekaisin. Käytän tässä sepustuksessa Edistynyttä tilaa.
Spybotin vasemmassa reunassa on joukko ikkunoita, jotka liukuvat auki kun niin napsauttaa hiirellä. Ensimmäinen ikkuna on Spybot-S&D. Toisessa lukee Asetukset. Käydään ensin läpi asetukset. Kieleksi valitsemme suomen. Kohdetyypeissä valitaan mitä koneelta etsitään. Kannattaa pitää ruksit ensimmäisen luokan kohteissa, sillä ne ovat juuri vakoiluohjelmia. Siis kaikki Betasta Trojanseihin asti on vaarallista.
Käyttöjäljet ovat eri asia. Käyttöjäljillä (usage tracks) tarkoitetaan jälkiä, joita jokainen tietokoneen käyttäjä itsestään väkisinkin jättää. Avattu tekstitiedosto tallentuu Käynnistä-valikon Tiedostot-kohtaan. Jokainen soitettu kappale tallentuu mediasoittimen viimeksi avattuihin tiedostoihin, kuin myös kaikki avatut kuvat ja dokumentit omiin ohjelmiinsa. Nettisivut löytyvät Sivuhistoriasta jne. Käyttöjäljet eivät siis ole vaarallisia, vaan usein jopa hyödyllisiä: äskettäin muokattu tekstitiedosto on kätevää avata nopeasti Käynnistä-valikon kautta. Toisaalta joku toinen samaa tietokonetta käyttävä saattaa käyttöjälkien perusteella päästä käsiksi tiedostoihin, joihin hänellä ei ole mitään asiaa. Siispä käyttöjälkiäkin voi haluta siivota joskus.
Oikeaklikkaamalla tätä sivua voi valita sopivan etsintäyhdistelmän. Jos vaaputtaa hiirtä eri kohtien yllä, saa tietoa mahdollisista etsintäajoista.
Asetukset-kohta on tärkeä. Oletusasetukset-nappi ylhäällä kannattaa muistaa siinä tapauksessa, että onnistuu jotenkin sotkemaan asioita. Welhon avulla voi suorittaa muutamia toimenpiteitä, kuten rekisterin varmuuskopioinnin, päivittämisen ja muuta. Sitten otetaan hiiri käteen ja aletaan rastittaa ruutuja.
Pääasetuksissa kannattaa ruksata kaikki, jotka alkavat sanalla Varmuuskopioi. Järjestelmän palautuspisteen luomisesta en osaa sanoa mitään, kun en ole XP:n käyttäjä. Kysy varmistus ennen kriittisten muutosten tekemistä kuulostaa järkevältä, kuin myös Näytä yhteensopivuusvaroitukset.
Loikataan Internet-päivitykset-kohtaan. Paljon makuasioita, mutta ehkä kannattaa rastittaa Imuroi päivitetyt kohdemääritykset netistä, jos saatavilla. Se automatisoinee päivitysprosessia hieman.
Näytä myös mahdolliset beta-versiot. Tuon ruksaaminen aiheuttaa varoitusikkunan ilmestymisen, ja se kannattaa lukea. Olen itse imuroinut beta-päivityksiä ilman ongelmia, mutta mitään ei menetä, jos tuosta jättää ruksin poiskin.
Näytä päivitykset kaikkiin kielitiedostoihin. Ei kannata ruksata. Ilman ruksia Spybot-S&D hakee päivitykset vain asennettuihin kielitiedostoihin. Asennetut kielet näkyvät Kieli-valikossa ja ylimääräiset kielet voi poistaa ohjelman Language-kansiota perkaamalla.
Spybot-S&D tukee myös olemuksia, eli skinejä. Jos on niistä kiinnostunut, pitää ruksata niihin liittyvä päivityskohta. PGP-allekirjoituksia tarvitsevat vain ne, joilla on PGP asennettuna.
Ulkoasu-kohdassa on muutama näkövammaisia hyödyttävä asetus. Kannattaa huomata, että näkövammaisille ja värisokeille on olemassa erityisiä olemuksia. Niitä imuroidakseen on ruksattava Näytä uudet ja päivitetyt olemukset (skin).
Jos löytää Spybot-Search&Destroysta vian tai virheen ja haluaa lähettää virheraportin, niin Virheraportti-kohdassa voi valita mitä tietoja koneesta lähettää raportin mukana.
Asiantuntija-asetuksista ja etenkin Silppurista lisää myöhemmin. Näitä kohtia voi ruksia ja ei ruksia ja katsoa mitä niistä tapahtuu.
Spybotin mainiot ohjepaneelit selittävät hyvin mistä milläkin sivulla on kyse, joten loikkaan suoraan Ohitettavat kohteet -sivulle. Siellä ei oikeastaan kannata ohittaa yhtään mitään. Jos ei halua käyttöjälkiä poistettavan tietyissä ohjelmissa, Tracks.uti -kohdassa voi ruksia ne huoletta.
Työkalu-osiosta löytyy paljon kiinnostavaa. Näytä raportti ja Virheraportti -kohdat selvinnevät ohjepaneelien lukemisella. Silppuri on tehokas apuväline tiedostojen pysyvään poistoon. Arkaluontoiset tiedostot voi lisätä listaan vetämällä ja pudottamalla esim. Resurssienhallinnasta tai oikeaklikkaamalla ikkunaa ja valitsemalla Lisää tiedosto(ja) listaan. Kolmas tapa on käyttää Mallit-nappia ylhäällä. Kun Silppuri on työnsä tehnyt, on turha luulla, että tiedostot saa palautettua. Siis harkintaa tämän käyttöön!
Pysyvä suojaus on Spybotin tärkeimpiä osioita. Pahojen imurointien estäjä estää ilkeiksi tunnettujen tiedostojen imuroinnin. Näitä ilkiöitä ovat mm. vakoiluohjelmien asentajat. Pääasiassa estäminen tapahtuu immunisoimalla, mutta jos se ei toimi, pysyvä suojaus tulee apuun.
Toinen ohjelma on TeaTimer, joka on niin ikään jatkuvasti käynnissä oleva, Järjestelmäpalkkiin (kellon viereen) asentuva apuohjelma. TeaTimer tarkkailee kutsuttuja ja käynnistyviä prosesseja ja hälyttää heti, jos havaitsee ilkeäksi tunnistetun prosessin. Hälytyksen yhteydessä voi valita, mitä tehdään jos prosessi vielä joskus yrittää käynnistyä. Tämän lisäksi TeaTimer havaitsee, jos tiettyjä rekisteriavaimia yritetään muuttaa. Ilmoille paukahtaa kysely, jossa tuon voi sitten sallia tai kieltää. Ikävä kyllä TeaTimerissa on bugi, joka kasaa napit päällekäin, niin ettei niitä voi kunnolla painaa. Tämä johtuu kuulemma Delphi-ohjelmointikielestä ja korjaantuu aikanaan. Joka tapauksessa nappeja voi ehkä painaa, jos osuu hiirellä aivan napin reunaan. Vasemmanpuoleinen on Sallittu ja oikeanpuoleinen Kielletty.
TeaTimerin Asetukset-kohdasta avautuu Musta ja valkoinen lista, jolle sallitut ja kielletyt muutokset tallentuvat siinä tapauksessa, että on painettu Muista tämä päätös.
ActiveX ja BHO-kohtiin kannattaa kiinnittää huomiota, sillä kuten sanottu, useat ilkiohjelmat ovat juuri ActiveX- tai BHO-sovelluksia. Punaisella merkityt kohteet ovat vaarallisia, vihreällä merkityt vaarattomia ja mustista ei ole tietoa. Kohdetta klikkaamalla avautuu pieni tietoikkuna. Kohteita voi aktivoida ja passivoida Päälle/pois-napista.
Hosts-tiedosto on eräänlainen paikallinen osoitekirja, jonka avulla selain löytää oikeat sivut netissä. Hosts-tiedosto löytyy jokaiselta Windows-koneelta, yleensä kai polusta C:\Windows\ . Periaatteessa Hosts-tiedostossa pitäisi olla vain yksi rivi: localhost 127.0.0.1, joka tarkoittaa omaa konetta, eli sitä jota sinä käytät. Jos selain käyttäytyy oudosti, päätyen sivuille joille ei käyttäjä ei ole halunnut mennä, kannattaa kurkata Hosts-tiedostoa. Jos siitä löytyy muutakin kuin yllä mainittu localhost-rivi, eikä tiedä mitään sinne itse lisänneensä, kannattaa ylimääräiset rivit poistaa.
Spybot S&D:n Hosts-työkalu lisää Hosts-listaan pitkän rimpsun ikävien sivustojen osoitteita. Kaikille näille osoitteille annetaan IP-numeroksi 127.0.0.1, eli se joka johtaa vain käyttäjän omalle koneelle. Näin nuo sivustot eivät näy lainkaan selaimessa! Tällä tavoin saa estettyä useita ärsyttäviä mainosbannereita. Jos on jokin sivu, jolle haluaa päästä muttei pääse, voi katsoa löytyykö sen osoite Spybotin lisäämältä Hosts-listalta ja poistaa osoite sieltä.
Muuten, Työkalujen kohdassa IE-viritykset voi lukita Hosts-tiedoston Vain luku -muotoon, jolloin sitä ei niin vain voi muokata. Tämä kannattaa muistaa, jos sitten itse yrittää muokata Hosts-tiedostoaan :-)
Opt-out. Joskus on voinut epähuomiossa tilata joitakin palveluita, jotka jälkeenpäin huomaa ikäviksi. Mainospostia pukkaa sähköpostiin, eikä tiedä miten siitä pääsisi eroon. Joillakin yrityksillä on opt-out -osoitteita, joissa voi kieltää postin ja evästeiden lähettämisen. Tässä on lueteltu muutamia osoitteita. Ei ole välttämättä mitään takeita, että yritykset noudattavat kieltoa! Siksi ei kannatakaan käyttää tätä toimintoa ehkäisymielessä, vaan vasta sitten kun on jo saanut ei-toivottuja viestejä (tai evästeitä). Yleensäkään ei kannata klikata ei-toivottujen mainospostien "paina tästä jos haluat perua tilauksen" -linkkejä, sillä se normaalisti lisää roskapostin määrää.
Prosessit-listalta voi hyvinkin löytää jonkin hämäräperäisen prosessin, jonka voi sitten kylmästi tappaa. Tietenkään ei pidä lopettaa mitään, mistä ei mitään ymmärrä.
Järjestelmänsisäiset etsii rekisteristä mm. puuttuvia ohje- tai DLL-tiedostoja, polkuja sovelluksiin joita ei enää ole, vääriä asennuksen purkutietoja ja rikkinäisiä Työpöydän linkkejä. Työpöydän toimimattomat kuvakkeet voi joko poistaa tai linkittää oikeaan kohteeseensa.
Järjestelmän käynnistys. Nämä ohjelmat käynnistyvät samaan aikaan tietokoneen kanssa. Listasta voi luoda tilannekuvan oikeaklikkaamalla. Myöhemmin Spybot näyttää muuttuneet kohteet lihavoituina, jolloin ne on helppo huomata. Keltaisella pohjalla näkyvistä kohteista saa lisätietoa, kun painaa oikealla näkyvää nappia, jossa on kaksi mustaa nuolta. Ei kannata pelästyä, jos infoikkuna kertoo, että valittu kohde on virus. Lista pitää lukea loppuun asti ja katsoa tarkkaan onko valittu kohde varmasti saman niminen kuin tietty virus tai haittaohjelma. Haittaohjelmilla on tunnetusti melkein sama nimi kuin jollakin tarpeellisella Windowsin palvelulla. Oikeaklikkaamalla infoikkunaa saa listan muutamasta hyödyllisestä nettisivusta.
Jos kuitenkin epäilee jotakin kohdetta, voi sen ottaa pois toiminnasta painamalla ylhäällä olevaa Päälle/Pois -nappia. Käynnistyviä kohteita voi myös muokata, lisätä ja poistaa.
Tietoja asennuksen poistosta. Tämä on kuin Windowsin Lisää/Poista sovellus.
Winsock LSP:t on lista asennetuista verkkoajureista ja -protokollista. Voipa siitä joku tietäjä jotain ymmärtääkin :-)
Spybot-S&D ei lupaa, että se löytää kaikki koneella olevat vihulaiset, mutta tämän hetkisistä antispywareohjelmista se lienee luotettavin. Esimerkiksi Microsoftin antispywareohjelma ei enää tunnista ja poista Clariaa, joka ennen tunnettiin nimellä Gator. PestPatrol ja legendaarinen Ad-Aware ovat lakanneet tunnistamasta WhenU-nimistä vakoiluohjelmaa, joka usein luikahtaa koneelle toisen ohjelman siivellä. Spybot-Search&Destroy ei ainakaan ole myynyt itseään!
Vinkki: Spybot-S&D:stä löytyy pieni peli. Löydättekö? :-)
Windows 95/98/ME/NT/2000/XP/Vista
Kotisivu: http://www.safer-networking.org/
Kieli: suomi, englanti, saksa jne jne.
Koko: n. 7,2 Mt. exe
EULAlyzer - analysoi käyttäjälisenssit 23.12.2005
Uusinta uutta SpywareBlasterin tekijöiltä!
Tiedettehän te EULAn (End User Licence Agreement), eli loppukäyttäjän lisenssisopimuksen (tai miten tuo suomeksi kuuluisikaan)? Ohjelmaa asennettaessa on yleensä hyväksyttävä tuo EULA, eli sopimus ennen kuin asennus voidaan saattaa loppuun. Sopimusteksti on puuduttavaa lakisoperrusta, jota kukaan ei jaksaisi lukea ETENKIN KUN ISO OSA TEKSTISTÄ ON KIRJOITETTU ISOILLA KIRJAIMILLA ILMAN MITÄÄN VÄLIMERKKEJÄ TAI AINAKIN SILTÄ NÄYTTÄÄ. Ja jos asennettava ohjelma ei ole suomenkielinen, ei sopimuskaan tietysti ole. Ihan kamalaa. Asennus ei jatku ennen kuin EULA on kuitattu luetuksi. Mitähän sitä tuli nyt hyväksyttyä?, ihminen kysyy itseltään.
EULAlyzerin ikkuna on selkeä: eri toimintoihin pääsee käsiksi vasemman reunan navigointipalkista tai pääikkunasta (Home). On hyvä aloittaa asetuksista, Settings. Tässä voidaan päättää pidetäänkö tilastoja tutkituista sopimuksista (Keep statistics). Tilastot voivat olla myös yksityiskohtaisia (Keep detailed statistics).
Tutkitut tekstit voi tallentaa automaattisesti My saved EULAs -kansioon, jonka ohjelma itse luo. Tämä tapahtuu ruksaamalla kohta Automatically save all scanned EULAs to My Saved EULAs. :-)
EULA Research Center Options -kohdassa voi osallistua ohjelman parantamiseen lähettämällä sopimustekstejä ohjelman tekijöille. Vaihtoehtoina on lähettää kaikki tutkitut dokumentit automaattisesti (Automatically submit all scanned documents to the EULA Research Center), tai kysyä aina lähetetäänkö tutkittava dokumentti (Prompt me to submit...). Käsittääkseni EULAlyzer tutkii ja tunnistaa vain englanninkielisiä sopimuksia.
Kun halutaan analysoida jokin sopimusteksti, se kopioidaan ja liitetään perinteisin keinoin EULAlyzerin Analyzer-ikkunaan. Sen jälkeen painetaan Analyze-nappia.
Tulos voisi näyttää vaikkapa tältä. EULAlyzer löysi kaksi lievästi kiinnostavaa sanaa tai lausetta. Ensimmäinen niistä on Third party, eli kolmas osapuoli. Joskushan ohjelma voi kertoa avoimesti myyvänsä tai välittävänsä käyttäjän koneelta kerättyä tietoa kolmansille osapuolille. EULAlyzerhan ei tietenkään osaa lukea, joten se ei tiedä mitä "kolmas osapuoli" tässä tapauksessa tarkoittaa; tämän ymmärtäminen jää yhä käyttäjän vastuulle. Lisenssissähän voi lukea että "emme luovuta tietoja kolmannelle osapuolelle". EULAlyzer auttaakin kiinnostavien tekstikohtien löytämisessä, jotta käyttäjä voi sitten itse lukea ja päätellä mistä on kyse. Toisaalta monikaan ohjelma tuskin myöntää, että "me sitten vakoilemme sinua tosi rankasti". :-)
EULAlyzerin merkitsemään (Flagged) tekstikohtaan voi siirtyä helposti klikkaamalla hiirellä Goto-kohtaa. Samassa ikkunassa voi lähettää tekstin ohjelman tekijöille (Submit online) tai tallentaa sen (Save). Jos automaattinen tallennus on päällä, jälkimmäinen nappi ei toimi. Tallennetut sopimustekstit löytyvät Saved EULAs-kohdasta, jossa niitä voi katsella painamalla suurennuslasia, tai poistaa painamalla punaista ruksia.
Kun on analysoinut yhden tekstin ja haluaa sitten tutkia toista, analysointi-ikkuna pitää tyhjentää. Siihen ei ole erillistä nappulaa ainakaan vielä, joten tekstiä voi oikeaklikata ja valita Kumoa tai Valitse kaikki ja Poista.
Analyze-ikkunan alareunassa on iso, musta ruksi, jonka voi vetää (esim. Muistioon avatun) analysoitavan tekstin päälle, jolloin tekstin pitäisi kaappautua analysointi-ikkunaan. En ole saanut sitä toimimaan. Toiminto ei vielä tue kaikkia ohjelmia, kuten ei esimerkiksi Internet Exploreria.
Ohjelmaan voi etsiä päivityksiä Home-sivun Check for EULAlyzer Updates-kohdasta.
Ärsyttävänä seikkana mainittakoon, ettei ohjelman ikkunan kokoa voi säätää. Itselläni se ei mahdu kokonaan näytölle. Siitä miinuksia.
Ohjelmasta on myös maksullinen PRO-versio, jossa enemmän toimintoja.
Kaikki Windowsit?
Kotisivu: http://www.javacoolsoftware.com/eulalyzer.html
Koko: n. 1,7 Mt. exe
FileMap by BB 28.8.2004
Missäköhän minäkin olisin ilman Bernie Madigania ja ennen kaikkea Test-Runia (Win 9x ohjelma). Ilmeisesti jossakin hermoparantolassa. Nyt on Bernien pajasta putkahtanut jälleen yksi uusi, uljas ohjelma - FileMap.
Viattoman tietokoneen käyttäjän tie on kivetty haittaohjelmilla; etenkin se tie, joka johtaa Internetistä koneelle :-) No, ehkä liian negatiivista, mutta varovaisuus kannattaa. Kuten tunnettua monet haittaohjelmat tunkeutuvat koneelle käyttäjän huomaamatta (kukapa sellaista tahallaan asentaisikaan?). Ne asettuvat taloksi ja aloittavat ilkityönsä, ja käyttäjällä on täysi työ selvittää mikä tuo haitallinen ohjelma / tiedosto on ja mistä ja milloin se on tullut.
FileMap on ohjelma, joka tarkkailee Windows- ja System-kansioita, sekä C-aseman juurta ja ilmoittaa jos johonkin niistä ilmestyy uusi tiedosto. Kun FileMap käynnistetään ensimmäisen kerran, se luo yllämainittujen hakemistojen sisällöistä tietueet. Tietueet ovat tekstimuotoisia ja ne tallennetaan FileMap by BB-nimisiin kansioihin. Kun ohjelma käynnistetään seuraavan kerran, se tutkii kyseiset hakemistot uudelleen ja ilmoittaa jos muutoksia on tapahtunut. Jos uutta löytyy, ohjelma ehdottaa, että tämän hetkinen tiedostolistaus tallennetaan. Tämä kannattaa tehdä. Uuteen tiedostolistaukseen kannattaa myös lisätä muistutus (Add a note), jotta myöhemmin muistaisi mistä on kyse. FileMap antaa uudelle listaukselle automaattisen nimen, joka muodostuu päivämäärästä, kellonajasta ja tiedostojen lukumäärästä. Tässä vaiheessa voisi katsoa
kuvaa.
Uusi tiedostolistaus on nyt tallennettu ja se on asettunut listan ylimmäiseksi. Seuraavaksi pitäisi selvittää mikä on muuttunut. Niinpä ruksaamme uusimman ja toiseksi uusimman tietueen ja valitsemme valikosta Compare two records, eli Vertaile kahta tietuetta. Vaihtoehtoja on kaksi: joko hakemistossa on jotain, mitä ei ennen ole siellä ollut, tai sitten sieltä on poistunut jotain, mitä siellä on ennen ollut. Jälkimmäisessä tapauksessa ei voi tehdä paljon mitään, mutta jos hakemistoon on ilmestynyt uusi tiedosto, voi miettiä mikä se on ja mitä sille pitäisi tehdä. Tietenkin C:n juureen, Windows ja System -kansioihin ilmestyy täysin laillisia ja turvallisiakin tiedostoja - eivät kaikki ole haitallisia. Jos ei kuitenkaan ole asentanut uusia ohjelmia, mutta johonkin em. hakemistoista on ilmestynyt jokin DLL- tai EXE-tiedosto, kannattaa niihin suhtautua epäillen. FileMap ei tiedä onko jokin tiedosto haitallinen vai ei, vaan jokaisen on se itse pääteltävä. Jos päätyy tiedoston haitallisuuteen, se kannattaa asettaa karanteeniin (Quarantine). Tällöin FileMap luo FileMap quarantine-nimisen alikansion, jonne epäilyttävä tiedosto siirtyy. Sieltä tiedoston voi siirtää takaisin paikoilleen, jos havaitsee sen sittenkin hyväksi ja tarpeelliseksi.
Yllä on kuvattu FileMapin manuaalista käynnistämistä, mutta jos ruksaa ohjelman ikkunassa ruudun Boot alert ON, ohjelma käynnistyy tietokoneen kanssa ja suorittaa tarkkailemiensa hakemistojen tarkistamisen siinä yhteydessä. Jos ohjelma löytää muutoksia, se ilmoittaa siitä ja käyttäjä voi valita toiminnon Run FileMap (Käynnistä FileMap), jolloin uudet tiedostolistaukset voi tallentaa yllä kuvatulla tavalla. Voi myös valita Cancel, jolloin FileMap ei käynnisty. Mielestäni Boot Alert kannattaa aktivoida - se ei ainakaan omalla koneellani mitenkään hidasta tietokoneen käynnistymistä.
Jotkin haittaohjelmat lisäävät itsensä rekisteriin käynnistyäkseen aina yhdessä koneen kanssa. Versiosta 4.0.1 alkaen FileMapilla voi myös tarkastella rekisterissä majailevia käynnistysavaimia (run keys). Jos joukosta löytää epäilyttävän, sen voi poistaa tai asettaa karanteeniin, josta sen voi myöhemmin palauttaa. HUOM! FileMap ei tunnista pahoja rekisteriavaimia, vaan käyttäjän on itse ne tunnettava.
Jotkut haittaohjelmat, esim. troijalaiset, yrittävät estää rekisteriarvon poistamisen kirjoittamalla sen yhä uudelleen ja uudelleen. FileMapin Auto Refresh (automaattinen päivitys) -toiminto tutkii rekisterin aina 10 sekunnin välein havaitaaksen tällaisen käytöksen. Jos uudelleen kirjoittamista havaitaan, on lienee otettava järeämmät työkalut avuksi (kts. esim. SpyBot).
Muutamia yleisluontoisia huomautuksia FileMapista. Ohjelma ei lisää mitään rekisteriin, mutta se vaatii Visual Basic 6 ajonaikaisen kirjaston (jos tämä on se oikea termi :-), eli Msvbvm60.dll:n.
FileMapin voi poistaa mukana tulevalla poistomoduulilla tai painamalla kylmästi deleteä! Ohjelman luomat kansiot (esim. karanteenikansio ym), eivät poistu itsestään, vaan käyttäjän on ne poistettava.
Ohjelma on ilmainen, mutta siihen on olemassa salasana, joka on haettavissa osoitteesta:
http://www.dogkennels.net/filemap888/. Salasana löytyy sivun yläosasta helposti.
Jos salasanaa ei hae, FileMap toimii kyllä moitteettomasti, mutta hieman hidastelee sulkeutuessaan. Tätä käytäntöä Bernie Madigan perustelee siten, että tahtoo tietää kuinka moni hänen ohjelmiaan käyttää. Itseäni tuo käytäntö ei häiritse, koska esim. sähköpostiosoitetta tai muuta ei vaadita, vain sivulla käynti ja salasanan nappaaminen.
Vaatii Msvbvm60.dll:n. Salasana osoitteesta http://www.dogkennels.net/filemap888/
Kaikki Windowsit
Kotisivu:
http://www.dogkennels.net/filemap/
Koko: n. 123 kt. zip
RunScanner - avuksi käynnistykseen, kaappauksiin ja haittaohjelmiin
RunScanner ei ole antivirusohjelma, eikä mikään Spybot S&D:n kaltainen haittaohjelmien tuhoaja. RunScanner tutkii kaikki järjestelmän käynnissä olevat ohjelmat ja prosessit, automaattisesti käynnistyvät ohjelmat, ajurit ja palvelut. Samalla se tutkii myös kohteet, joihin kaappariohjelmat saattavat pesiytyä - esimerkiksi hosts-tiedoston. RunScanner ei tunnista haittaohjelmia, vaan se merkitsee epäilyttävät kohteet ja jättää sitten päätäntävallan käyttäjälle, eli sinulle ja minulle! Voi sentään! :-)
Käynnistyessään RunScanner ehdottaa kahta tilaa: beginner mode on aloittelijoille ja expert mode meille, jotka olemme tottuneet rutiininomaisesti sotkemaan tietokoneemme. :-) Aloittelijatilassa ei voi tehdä mitään muutoksia.
RunScanner tutkii tietokoneen ja esittää sitten löydöksensä ikkunassa.
Tässä osittainen kaappaus Malware hunting -välilehdeltä. Punaisella merkityt ovat kohteita, joita ei löydy tai joihin viitataan rekisterissä, mutta niitä ei oikeasti olekaan. Kuvan tapauksessa oikeaklikkaan ylintä, punaista kohtaa ja valitsen avautuvasta valikosta Lookup at Google. Googlen hakutuloksista näen, että tuo rekisteriavain liittyy Spybot Search & Destroy -ohjelmaan. En viitsi sitä siis korjata. Varmuuden vuoksi. Jos haluaisin korjata sen, ruksaisin kohdan ja siirtyisin Item fixer -välilehdelle ja valitsisin Fix selected items.
RunScannerin heikkous on ohjeiden täydellinen puute. Käyttäjä voi käydä ohjelman
kotisivuilla tai
käyttäjäfoorumilla, mutta kummastakaan ei juuri löydy apua. Siksi en ole varma, mitä Unrated items -välilehti varsinaisesti tarkoittaa. Oikeaklikkaamalla listalla olevia, muita kuin punaisia, kohteita voi yrittää etsiä niiden MD5-tiivistetietoja (eli hash) netistä. Ikävä kyllä mikään noista ei toimi kunnolla. :-( Mutta Google-haku toimii ja usein se riittääkin. Voi myös yrittää ladata epäilyttävän kohteen VirusTotal-palveluun, joka sitten kertoo onko tiedosto virus vai ei. ... Ei ollut! Hyvä juttu.
Listasta saa selkeämmän, kun valitsee Filter-kohdan pudotusvalikosta All filesin sijasta Unsigned files (allekirjoittamattomat tiedostot), Signed files (allekirjoitetut tiedostot) tai Files not found (tiedostot joita ei löydy). Saman voi tehdä muillakin välilehdillä.
Extra stuff -välilehdellä voi taas ihmetellä automaattisesti käynnistyvien kohteiden määrää! Process killer -kohdassa voi lopettaa käynnissä olevia prosesseja, jos tietää mitä tekee! Reboot computer muuten käynnistää tietokoneen uudelleen. Oikeaklikkaamalla kohteita voi lopettaa useamman kerrallaan, lopettaa ja uudellen nimetä (kill and rename), lopettaa ja poistaa (kill and delete) tai poistaa kun tietokone seuraavan kerran käynnistyy (delete at next reboot). Oletan, että käyttäjä osaa melko hyvin englantia. Kielitaidostaan epävarman ei ehkä kannata käyttää RunScanneria ainakaan expert-tasolla.
Hosts file editor on hauska. Sillä voi muokata hosts-tiedostoa. Eri asia on kannattaako. Jos kuitenkin huomaa siellä jotain epäilyttävää, voi sen poistaa tällä muokkaimella. Periaatteessa hosts-tiedostossa pitäisi lukea vain:
127.0.0.1 localhost
mutta itsellänikin hosts-tiedosto on pitkä kuin nälkävuosi, koska Spybot S&D on lisännyt sinne omiaan - suojelumielessä tietysti.
History / backups-välilehdeltä löytyy tehtyjen muutosten lista. Muutokset voi perua Restore to original setting napista.
Kaiken kaikkiaan RunScanner on erittäin näppärä ohjelma edistyneelle käyttäjälle. Ohjeiden olemattomuus on puute, mutta eipä sitä oikein kehtaa vaatiakaan. Voin kuvitella kuinka kova homma siinä olisi, kun pelkästään tämän kirjoittamiseen meni monta tuntia... :-)
Ei tarvitse asentaa!
Windows 2000 ylöspäin
Kotisivu: http://www.runscanner.net/default.aspx
Koko: n. 1,7 Mt. zip
Selainkaappari on vihulainen, joka todella kaappaa selaimen niin, että kirjoitetun osoitteen sijasta se johdattaa selaimen aivan toiseen paikkaan. Turha kai sanoakaan, että tämä toinen paikka ei ole mitenkään mieltä ylentävä, vaan kenties joku pay-per-click pornosivu, jossa kaappari saa rahaa joka klikkauksesta jonka onneton kaappauksen uhri hänen puolestaan tekee. Oli mikä oli, se ei ole kuitenkaan se paikka, jonne haluttiin mennä, mutta kaikki osoitteet tuntuvat johtavan sinne! Selain on kaapattu, mikä avuksi?
CWShredder - "Cool"WebSearch hiiteen! 21.3.2005
CoolWebSearch on tunnettu troijalainen, joka kaappaa viattoman surfailijan selaimen johdattaen sen täysin väärille sivuille. Selain on tässä tapauksessa nimenomaan Internet Explorer. Käytän aina surfailuuni Operaa, mutta joskus tulee hetkiä, jolloin on käynnistettävä IE. Näin kävi kerran viime vuonna, ja viidessä minuutissa IE oli kaapattu, vaikken heti sitä hoksannutkaan. Ihmettelin vain, että Googleen yrittäessäni päädyin jollekin oudolle sivulle. Olin jo lopettelemassa istuntoani, joten en jäänyt asiaa hautomaan, vaan suljin selaimen ja nettiyhteyden. Myöhemmin
Spybot-Search&Destroy
löysi CoolWebSearch-ruttoa koneeltani ja siivosi ne pois. Ja vielä kauan myöhemminkin löysi jotain CWS:n tähteitä.
Google onkin yksi CWS:n suosikkeja: moni saastuneen koneen omistaja on ollut juuri Googleen menossa, kun selain onkin ohjattu muualle. IE on suosituin selain ja Google suosituin hakukone. Voiko tämä olla yhteensattuma? No, ei Google ole ainoa CWS:n kohde, Yahoostakin saattaa tulla silmille ponnahdusikkunoita. Muita toimintatapoja ovat mm. sikasivustojen lisääminen IE:n luotettujen sivustojen listalle, väärin kirjoitettujen osoitteiden johdattaminen ties minne, aloitussivun (kotisivun) kaappaaminen ja antivirus- ja antispywaresivuille pääsyn estäminen!
CWShredderin on tehnyt sama mies kuin HijackThisin. Vuoden 2004 lopulla hän möi CWShredderin InterMute-nimiselle yhtiölle, joka taas möi sen TrendMicrolle, joka nyt vastaa CWShredderin päivityksistä.
CWShredder on mukavan helppokäyttöinen: pääikkunan vaihtoehdot ovat Scan only (Vain tutkinta), Check for update (Tarkista päivitykset), Make report (Laadi raportti), Fix -> (Korjaa).
Tässä Scan only -ikkuna toimessa.
CWS-muunnelmat vipeltävät ruudussa kuin muurahaiset keossaan. Skannaus sujuu nopeasti, mutta senkin aikana ehtii ihmetellä ihmisten viitseliäisyyttä pahantekoon.
Kun tutkimus on suoritettu, eikä mitään löydy, ohjelma ilmoittaa: "Done! CoolWebSearch was not found on this system." Järjestelmästä ei löytynyt CWS:iä. Ilmoitusikkunan alla on kolme nappia, jotka johtavat Internetiin ja ainakin ylin ja alin ilmeisesti maksullisiin ohjelmiin. En ole koskaan näitä nappeja painanut :-) Hävytöntä...
Entä jos CWS:iä löytyy? Häädin omat örkkini Spybotilla, joten en tiedä miten CWShredder asiasta ilmoittaa. Joka tapauksessa Back-napilla pääsee takaisin pääikkunaan ja Fix-napin ääreen. Fixiä painettaessa CWShredder ilmoittaa sulkevansa Internet Explorerin ja Windows Media Playerin. Kun OK:ta on painettu, yllä kuvattu tapahtumasarja toistuu, eli CWS:iä etsitään ja jos löytyy, poistetaan. Lopuksi CWShredder ilmoittaa IE-sivujen (etsintä- ja aloitussivu jne) palautuksesta, piilotettujen välilehtien palautuksesta IE:n asetuksissa ja Hosts-tiedoston uudelleenohjausten poistamisesta.
Check for update tarkistaa onko ohjelmasta tullut uutta versiota. Jos on, sen voi imuroida CWShredderin kautta. Uuden version voi heittää suoraan vanhan päälle.
Make report luo raportin IE:iin liittyvistä asetuksista, Browser Helper Objecteista, Rekisterin käynnistysavaimista jne. Tämän raportin voi sitten lähettää TrendMicrolle. Se voi kuulemma olla avuksi CWShredderiä kehitettäessä...
Tässä pahassa maailmassa CWShredder on melkein pakollinen lisä Internet Explorerin käyttäjille.
Ei tarvitse asentaa.
Vaatii Visual Basic 6 ajonaikaiset kirjastot.
TrendMicro on ostanut CWShredderin.
CWShreddreistä ja CoolWebSearchistä tietoa myös
CWShredderin alkuperäisen tekijän sivuilta.
Kaikki Windowsit
Kotisivu: http://www.trendmicro.com/cwshredder/
Koko: n. 200 kt. zip
Hijack This - selainkaapparit hiiteen 18.3.2005
Hijack This on CWShredderin ohella ensimmäisiä selainkaappareiden tuhoamiseen tarkoitettuja ohjelmia. Molemmat ovat muuten alunperin saman miehen käsialaa. Hijack This -ohjelmaa käytettäessä on muistettava, että se ei etsi ja tunnista selainkaappareita, joten lista jonka HijackThis luo ei ole lista löydetyistä kaappareista, eikä kaikkia listalla olevia kohteita tule poistaa!
Jos epäilee tai tietää selaimensa kaapatuksi, kannattaa valita vaihtoehdoista ensimmäinen. Tällöin HijackThis tutkii tietyt kiintolevyn ja rekisterin alueet - sellaiset joihin kaappaajat usein iskevät - ja luo niistä listan avaten sen ikkunaan. Minulla se
näyttää tältä. Kaikki ei mahdu kuvaan.
Lista on jaoteltu ryhmiin, joilla on oma tunnuskirjain. Ryhmien kuvaukset löytyvät painamalla Info...-nappia. R merkitsee Rekisteriä ja sieltä löytyviä IE:n aloitus- ja etsintäsivujen asetuksia, F ini-tiedostoja, N Netscapen/Mozillan aloitus- ja etsintäsivuja ja O muita kaappausmahdollisuuksia. Muiden joukkoon kuuluvat mm. pluginit ja BHO:t. Hyvistä pluginesta, eli lisäosista, tunnetuimpia ovat Flash- ja PDF-tiedostoja käsittelevät lisäosat. Myös monet latausmanagerit (download managers) toimivat plugin-periaatteella, jolloin selaimen sijasta latausmanageri hoitaa ohjelman imuroimisen. Nuo ovat hyödyllisiä lisäosia, mutta pahuus voi siis asua pluginissakin.
BHO:t (Browser Help Objects) ovat Internet Exploreriin nivoutuvia apuohjelmia, joista tunnetuimpia lienee Google Toolbar. Myös jotkin latausmanagerit toimivat BHO-periaattella, ja onpa itse
Spybot Search&Destroyllakin oma BHO. BHO:takin voi käyttää väärin, mm. surfailijan vakoiluun.
Vielä yhtenä kohteena mainittakoon oikeaklikkauksen pikavalikko (right-click context menu), jossa voi olla joukko hyödyllisiä lisätoimintoja, mutta haittaohjemat ovat löytäneet tiensä myös sinne. Tämäkin siis Internet Explorerissa.
No niin, meillä on HijackThisin luoma lista. Valitsemalla jonkin rivin ja painamalla Info on selected item saa tietoa valitusta kohteesta. Inforuutu kertoo kohteen käyttötarkoituksen ja kuinka sitä voi käyttää väärin. Alinna lukee mitä kohteelle tapahtuisi, jos se päätettäisiin poistaa. Esim. Action taken: registry value is deleted, eli rekisteriarvo poistetaan.
Mikä listalla sitten on poistettavaa? Se on jokaisen itse tiedettävä! Ehkä ei mikään? Sinun on itse tiedettävä, mitä olet koneellesi asentanut, minkä kohteiden pitääkin käynnistyä koneen kanssa ja minkä ei. Mitä kaikki BHO:t ovat? Mitä on pikavalikossa ja liittyvätkö ne käyttämiisi ohjelmiin? Näyttääkö jokin epäilyttävältä? Missä hakemistossa se on? Onko sillä outo nimi tyyliin msdfls.exe? Mitä sanoo palomuuri; yrittääkö ohjelma nettiin? Kuuluuko sen mennäkin nettiin?
Windows 98:ssa kaikki on suhteellisen helppoa ja selkeää, mutta joissain Windowsin versioissa on käynnissä niin monia prosesseja ja palveluita, että niiden joukkoon voi sulautua haittaohjelma ilman että sitä heti äkkää. Haittaohjelmalla voi olla saman tapainen nimi kuin kuin jollain laillisella ohjelmalla. Tai nimi voi olla samakin, mutta haittaohjelma on eri kansiossa kuin tuo laillinen ohjelma. Tai nimi voi olla sama, mutta toisen on kirjoitettu ISOILLA ja toisen pienillä kirjaimilla. Toki haittaohjelma voi myös korvata tärkeitä järjestelmätiedostoja itsensä kopioilla.
Jos ei tiedä mitä tehdä, ei kannata tehdä mitään. Nyt voisi ottaa avuksi sen lokin, jonka HijackThis loi (tai luoda se nyt) ja lähettää sen sisältö jollekin ystävällismieliselle turvallisuusfoorumille muiden nähtäväksi.
Täältä löytyy lista englanninkielisistä foorumeista.
Voi myös koettaa jos uutisryhmässä
news://sfnet.atk.turvallisuus.kotikoneet
olisi hyväntuulisia, avuliaita ihmisiä neuvoja antamassa.
Yksi vaihtoehto on kirjoittaa kohteiden nimet yksitellen hakukoneeseen ja lukea mitä niistä on kirjoitettu. Tämä voi tietysti olla vaikeaa, jos selain on kaapattu, sillä haittaohjelma saattaa estää pääsyn mm. Googleen ja antivirusohjelmien sivuille. Se voi muuten myös sulkea HijackThisin,
CWShredderin,
Ad-Awaren ja
Spybotin
niin ettei niitä voi käyttää!
Jos niin käy, HijackThisin tekijä suosittaa imuroitavaksi ohjelman PepiMK's CoolWebSearch SmartKiller, jonka jälkeen HijackThis käynnistyy. Suora imurointiosoite:
http://www.safer-networking.org/files/delcwssk.zip
Noiden alla olevat osoitteet ovat IE:n oletusosoitteita, jotka HijackThis palauttaa mahdollisen korjauksen jälkeen. Eli jos kotisivu (aloitussivu) on kaapattu ja sen korjaa, HijackThis palauttaa arvoksi Default Start Page -kohdassa lukevan osoitteen.
Ignore-ikkunassa näkyvät ohitetut kohteet, eli ne joita ei enää skannata. Ohituslistalle lisääminen tapahtuu skannausikkunassa ruksaamalla kohde ja painamalla Add checked to ignorelist. Aina kun päivittää HijackThisin, pitäisi tämä listakin päivittää.
Backups-kohdasta löytyvät korjattujen kohteiden varmuuskopiot. Ne on helppo palauttaa, jos huomaa mämmänneensä.
Misc tools-ikkunassa on muutamia hyödyllisiä apuohjelmia. Generate StartupList log luo listan Windowsin keralla käynnistyvistä ohjelmista. Jos ruksaa kohdan List also minor sections listaan lisätään myös vähemmän tärkeät ryhmät. List empty sections kirjaa myös tyhjät ja epäkiinnostavat ryhmät.
System tools, Järjestelmätyökalut. Process manager on pieni sisäänrakennettu ohjelma, joka näyttää käynnissä olevat prosessit ja niihin liittyvät DLL:t (Show DLLs). Prosesseja voi sammuttaa (Kill process), sekä listan tallettaa tiedostoksi tai kopioida leikepöydälle.
Open hosts file avaa Hosts-tiedoston, jolloin siitä voi poistaa epätoivotut rivit. Periaattessa Hosts-tiedostossa pitäisi olla vain yksi rivi:
127.0.0.1 localhost
Jos sieltä löytyy muita kuin 127.0.0.1 alkavia rivejä, niihin kannattaa suhtautua epäillen. Hosts-tiedosto on yksi tapa kaapata selain. Kuvitellaan, että ystävälläni olisi sivu osoitteessa http://www.kaverini.xyz. Tuon sivun IP-osoite olisi 123.456.78.9. Selainkaappari olisikin kirjoittanut Hosts-tiedostoon seuraavan rivin:
987.654.32.1 http://www.kaverini.xyz.
Kirjoitan selaimen osoitekentään http://www.kaverini.xyz, selain katsoo Hosts-tiedostoon ja toteaa, että nyt on siis mentävä IP-osoitteeseen 987.654.32.1, joka ei tietenkään ole ystäväni sivu, vaan joku ällötys. Huomio!
Spybot S&D:ssa
on mahdollisuus lisätä epämääräisten sivujen osoitteita Hosts-tiedostoon. Jos sinulla on Spybot ja sen Hosts-lista käytössä (Tools | Hosts), on Hosts-listasi todennäköisesti muutama tuhat riviä pitkä. Kaikki Spybotin lisäämät rivit alkavat 127.0.0.1.
HijackThisin Hosts-manageri näyttää siis Hosts-listan sisällön. Delete lines-napista voi poistaa rivejä ja Toggle lines taas vaihtelee kommentoidun ja ei-kommentoidun rivin välillä. Rivin saa nimittäin "pois käytöstä" lisäämällä sen eteen #-merkin. Toggle lines lisää valitun rivin (rivien) eteen #-merkin ja toisen kerran painettuna jälleen poistaa sen. Jos selaimella ei pääse tietylle sivustolle, voi katsoa onko sivu "kielletty" Hosts-tiedostosta. Jos on, voi kokeilla #-merkin lisäämistä osoitteen eteen. Näppärä toiminto. Toki saman voi tehdä Muistiossakin.
System toolsin seuraava työkalu on Delete file on reboot, Poista tiedosto uudelleenkäynnistyksessä. Jotkut tiedostot eivät poistu koneelta kirveelläkään. Tällä työkalulla voi paikallistaa mokoman tiedoston ja kokeilla josko se jo häipyisi, kun kone jälleen käynnistetään.
Delete an NT Service poistaa NT Servicen, mikä se sitten onkaan, Win2000/NT4/XP -järjestelmissä. Kuulostaa vaaralliselta :-)
Open ADS Spy. ADS eli Alternate Data Streams on pientä, tiedostoihin metadatana piilotettua tietoa. Jotkin ADS:t ovat täysin OK, mutta ilkiötkin ovat alkaneet käyttää niitä selainkaappaukseen. Huomio! Lista jonka tämä työkalu luo sisältää myös hyviä, laillisia ADSiä. Käyttäjän on itse tiedettävä mitä poistaa ja mitä ei! ADS Spyn Help-nappulaa painamalla saa hieman lisätietoja tästä asiasta. ADS koskee vain NTFS-alustettuja järjestelmiä, joten FAT-ihmisenä en ole tätä kokeillut, eikä se ole minulle uhka :-)
Open uninstall manager avaa listan, josta näkee asennetut ohjelmat. Kohteita voi poistaa, mutta Delete this entry ei pura asennusta vaan poistaa kyseisen rivin listalta. Asennuksen purku tapahtuu painamalla Open Add/Remove software list, joka avaa Windowsin Lisää/poista sovellus -ikkunan. Asennuksen purkukomentoja (uninstall command) voi muokata. Varovaisuuttta, sillä niitä ei voi enää palauttaa!
Advanced settings - edistyneelle käyttäjälle. Calculate MD5 of files if possible. Tämä laskee tiedostojen MD5-tarkistussummat, jos mahdollista, ja lisää ne luotavaan lokitiedostoon. Include enviroment variables in logfiles ei aukea minulle lainkaan :-) Ympäristömuuttujat?
HijackThisin päivitykset voi tsekata Update check-kohdassa ja ohjelman ja sen luomien rekisterimerkintöjen poistaminen painamalla Uninstall HijackThis & exit.
Ei tarvitse asentaa.
Vaatii Visual Basic 6 ajonaikaiset kirjastot.
Kaikki Windowsit
Kotisivu:http://www.merijn.org/index.html
Koko: n. 212 kt. zip