Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Dezynfekcja systemu z Comodo Cleaning Essentials

Cud, całkiem niedawno napisałem jeden artykuł, teraz czas na kolejny :), zaczynamy...

Czym jest Comodo Cleaning Essentials?

Comodo Cleaning Essentials (w skrócie CCE) to zestaw narzędzi służących do dezynfekcji i naprawy systemu po ataku wirusa. Cleaning Essentials opracowany został przez firmę Comodo, znaną ze swojego produktu Comodo Internet Security. CCE działa bez instalacji, dystrybuowany jest w postaci archiwum ZIP. Wystarczy pobrać, rozpakować i można rozpocząć procedurę dezynfekcji/naprawy. W skład CCE wchodzi skaner antywirusowy (na żądanie) oraz główne narzędzie do naprawy czyli KillSwitch. Właśnie na tym elemencie skupię swoją uwagę.

Killswitch

Killswitch jest otwartoźródłową aplikacją, ponieważ został stworzony w oparciu o innych opensource-owy projekt - Process Hackera. Obecnie są pewne zawirowania licencyjne z tą aplikacją, ponieważ producent chce zintegrować KillSwitch z Comodo Internet Security. W ten sposób producent zostałby zmuszony do wydania kodu źródłowego owego pakietu bezpieczeństwa.
Wróćmy jednak do aplikacji.

Killswitch daje wgląd w uruchomione procesy, usługi, załadowane sterowniki i warstwy LSP. Jest też karta odpowiedzialna za ruch sieciowy i BHO (tj. pluginy do IE). Dzięki temu możemy m.in.: zabić proces i usunąć plik wirusa (dostępnych jest wiele metod zabijania procesów), usunąć podejrzaną warstwę LSP, zatrzymać i usunąć usługę NT. Mamy wgląd do prawie wszystkiego, można zajrzeć jakie uchwyty zamontował każdy z procesów, ile pobiera RAM i z jakich bibliotek korzysta. Zaawansowani użytkownicy docenią informacyjne możliwości Killswitcha :)

Do aplikacji dodano zestaw przydatnych "fiksów", tj. naprawiaczy niektórych elementów systemu, jak nałożona na edytor rejestru czy menedżer zadań blokada uruchomienia czy uszkodzone przywracanie systemu.

DACS

Akronim słów Distributed and Collaborative Scanning, najnowsza funkcja opracowana przez Comodo.
CEO Comodo skrytykował producentów innych rozwiązań komputerowych zarzucając im m.in. brak współpracy przy wymianie próbek. Gdyby producenci zaczęli ze sobą współpracować, być może udałoby się ograniczyć rozprzestrzenianie najnowszych wariantów? Dlatego powstał system DACS, który opiera się na społeczności użytkowników różnych programów antywirusowych. Agent DACS zbiera informacje o nowych detekcjach i przesyła je do chmury, co pozwala zwiększyć wykrywalność najnowszych szczepów wirusów.

DACS ma zostać w przyszłości zintegrowany z Comodo Internet Security, na razie działa razem z Killswitch-em. Można go zobaczyć w akcji, sprawdzając właściwości procesu czy modułu. Przyszłość tego projektu jest naprawdę obiecująca.

Podsumowanie

Bardzo ciekawa i funkcjonalna aplikacja. Przydatna podczas okresowego sprawdzania stanu systemu jak i w trudnej sytuacji, jaką jest infekcja złośliwym oprogramowaniem. Zaawansowani użytkownicy docenią ogromne możliwości Killswitcha oraz szerokie "pole widzenia" tej aplikacji.
Aplikacja bardzo przydatna i pożyteczna.

Dobra robota, Comodo!

Dziękuję za uwagę. 

Komentarze

0 nowych
swir555   3 #1 28.08.2011 02:22

gościu ja Cię proszę, takiego gówna to ja jeszcze nie widziałem, wolniejsze nawet od microsoftowskiego byle czego straciłem godzine na pobieranie bazy wirusów i skan a i tak nie dokończyłem go bo straciłem cierpliwość i tak by nic nie znalazł(na to wychodzi że mam dobrego antywirusa z licencją o którym napomknąłeś w poprzednim wpisie) to już lepszy jest malwerbytes no ale to jest tylko moje zdanie.

tores1977   8 #2 28.08.2011 12:14

"W ten sposób producent [u]zostałaby zmuszona[/u] do wydania kodu źródłowego owego pakietu bezpieczeństwa."
Co do Killswitch na pewno się przyda, nie znałem

adam993   4 #3 28.08.2011 20:30

Poprawione.
Bazy Comodo Antivirus stosunkowo dużo zajmują (około 100MB), dlatego na wolnym łączu trochę to trwa (plus załadowanie sygnatur do programu).

JanStefan   6 #4 28.08.2011 21:07

Korzystam z aplikacji COMODO i jestem z nich bardzo zadowolony - aż się nie spodziewałem tak dobrego produktu, bo jako pierwsze zabezpieczenie działa wyśmienicie - drugie to moja głowa - razem współpracują doskonale, bo jedno jak i drugie nie musi się męczyć ;)

adam993   4 #5 28.08.2011 21:54

Jak się "zrypie system" to nie zastanawiasz się nad CCE tylko nad dostaniem się do danych i reinstalacją...
VirtualBox - na PIV M i 1GB RAM mógłbym najwyżej zainstalować W98, bo o obiektywnym teście nie ma mowy. A co do definicji - stawiam swoje doświadczenie że CCE to dobra i przydatna aplikacja, która może pomóc w naprawie/diagnostyce systemu.

Maxi_S   4 #6 29.08.2011 12:58

Oprogramowanie z serii "zróbmy to tak jak inni, tylko bardziej amazing". Ocena:


1) Narzędzie podobno adresowane do profesjonalistów. Ściągnięcie z oficjalnej strony wymaga podania danych osobowych, e-maila itp. Ściągamy. Tu profesjonalizm się kończy, gdyż dostajemy dwa dostępne za darmo narzędzia, zapakowane w jedną aplikację.

2) Skaner jak skaner, ale KillSwitch jest z innej bajki. 75% przeciętnych użytkowników nie będzie wiedziało o co w tym chodzi, kolejne 20% zrobi systemowi krzywdę sądząc że wie o co chodzi i może 5%, które użyje tego prawidłowo, wiedząc jak zachowuje się malware.

3) Trudno powiedzieć jaki cel mieli twórcy tej chimery. Skaner może co najwyżej pogrozić paluszkiem dobrze zakorzenionemu malware, również KillSwitch nie zawsze okaże się skuteczny. No i to założenie, że wciąż jeszcze działa połączenie internetowe (CAMAS, bazy) jest nieco naiwne. Może gdyby nie traktować tego narzędzia jako profesjonalnego i dołączyć ichniego GeekBuddy, to miałoby to jeszcze sens. W zaistniałej sytuacji lepszym rozwiązaniem jest Emsisoft Emergency Kit - zdecydowanie bardziej przyjazny dla przeciętnego użytkownika, który wie co to proces i driver.

Wolę Sysinternals suite.

@adam993
Gdzie znalazłeś DACS-a? Widziałem jedynie CAMAS-a plus to co oferuje KillSwitch.

@sebt
Po co Ci testy, skoro jest to AV Comodo i zachowuje się dokładnie tak samo jak ten z CIS-a?

morphiusz1   5 #7 29.08.2011 14:06

Maxi_S to widzę chyba jakiś przewodniczący bojówki anty-Comodo, bo każdy jego post, nawet nie związany z tym oprogramowaniem, musi zawierać jakieś "psioczenie" na tą formę.
Twoje 2 pierwsze punkty się wykluczają.

Sądzisz, że EEK ma lepsze zdolności do usuwania? Dlaczego?
CCE ma świetny skaner MBR, usuwanie również jest bardzo dobre, potrafi wykrywać rootkity, dzięki bezpośredniemu dostępowi do dysku czy odhaczaniu jądra, więc domyślam się, że nigdy nie używałeś tego programu.

Adam, świetna recenzja.

Co do DACS to jest ono aktualnie usunięte z KillSwitcha.

adam993   4 #8 29.08.2011 14:17

1) Nigdzie nie musiałem podawać żadnych danych, pobrałem z linku podanego na forum Comodo.
2) Hmm czasami przydaje mi się narzędzie do analizy systemu, KillSwitch może nie jest tak superaśny jak Sysinternals, ale daje radę.
CCE jak i EEK to właśnie takie chimery. Nie znajdziemy tam bardzo zaawansowanych instrukcji dezynfekcji, ale obie aplikacje pozwolą na wgląd co się dzieje w systemie.
CCE ma KillSwitcha, Emsisoft ma HijackThis (nie, to nie ten HijackThis). Myślę że obie aplikacje trzymają taki sam poziom.

Maxi_S   4 #9 29.08.2011 18:12

[cytat "morphiusz1"]
Maxi_S to widzę chyba jakiś przewodniczący bojówki anty-Comodo, bo każdy jego post, nawet nie związany z tym oprogramowaniem, musi zawierać jakieś "psioczenie" na tą formę.
[/cytat]

Nie, nie jestem ani przewodniczącym, ani nawet uczestnikiem. Może Cię zaskoczę stwierdzeniem, że uważam iż Comodo ma dobre programy, ale nie widzę powodu by robić w gacie z zachwytu i prowadzić "politykę miłości". Nie wiem dlaczego wciąż węszysz spisek i każdą uwagę krytyczną traktujesz jak formę świętej wojny.

[cytat "morphiusz1"]
Twoje 2 pierwsze punkty się wykluczają.
[/cytat]

A dlaczego według Ciebie te dwa punkty się wykluczają?

[cytat "morphiusz1"]
Sądzisz, że EEK ma lepsze zdolności do usuwania? Dlaczego?
[/cytat]

Co do EEK, to chyba napisałem: jest przyjaźniejszy dla przeciętnego użytkownika od KillSwitch'a, a sam skaner A2 ma dobrą wykrywalność. O "lepszych zdolnościach wykrywania" nie pisałem i jeśli kręcą Cię te klimaty dyskusji, to sorry - zły adres.

[cytat "morphiusz1"]
CCE ma świetny skaner MBR, usuwanie również jest bardzo dobre, potrafi wykrywać rootkity, dzięki bezpośredniemu dostępowi do dysku czy odhaczaniu jądra, więc domyślam się, że nigdy nie używałeś tego programu.
[/cytat]

Nadal nie wiem o co Ci chodzi. Czy ja pisałem coś o skanerze? Programu używałem - nie mam zwyczaju pisać o gruszkach na wierzbie. Ficzery, o których piszesz ma większość programów antywirusowych - również tych darmowych - więc po raz kolejny pytam o co Ci chodzi?

Mam głęboko gdzieś wojnę Comodo vs reszta świata i również doradzam Ci trochę zdrowego dystansu do rzeczywistości. CCE, jak każdy program ma swoje wady, zalety i tyle.

[cytat adam993]
1) Nigdzie nie musiałem podawać żadnych danych, pobrałem z linku podanego na forum Comodo.
[/cytat]

Adamie, pobierając z oficjalnej strony masz otwiera Ci się formularz pod adresem http://enterprise.comodo.com/security-solutions/endpoint-security/cleaning-essen...

[cytat adam993]
2) Hmm czasami przydaje mi się narzędzie do analizy systemu, KillSwitch może nie jest tak superaśny jak Sysinternals, ale daje radę.
[/cytat]

Sysinternals to nieco inna bajka. To zestaw narzędzi plus parę niezobowiązujących dodatków do systemu. KillSwitch jest aplikacją podobną do Process Explorera z Sysinternals z paroma dodatkowymi ficzerami i masz rację - jest kawałkiem dobrego softu.

[cytat adam993]
CCE jak i EEK to właśnie takie chimery. Nie znajdziemy tam bardzo zaawansowanych instrukcji dezynfekcji, ale obie aplikacje pozwolą na wgląd co się dzieje w systemie.
CCE ma KillSwitcha, Emsisoft ma HijackThis (nie, to nie ten HijackThis). Myślę że obie aplikacje trzymają taki sam poziom.
[/cytat]

Super. To właśnie jest zdanie, które powinno znaleźć się w podsumowaniu wpisu.
Hijack Free (bo tak to chyba zwie się w Emsisoft), ma o tyle przewagę nad KillSwitchem, że dla przeciętnego użytkownika jest bardziej przejrzysty w użyciu plus społecznościowy opis większości procesów i driverów (co to jest, za co odpowiada i czy jest to potencjalny malware czy nie). To tyle mojego uzupełnienia do poprzedniego komentarza.

adam993   4 #10 29.08.2011 19:14

Zajrzałem teraz na stronę Comodo i zauważyłem coś dziwnego. CCE znajduje się w sekcji "small to medium business". Dla mnie to raczej aplikacja dla domowego użytkownika, małe średnie firmy będą miał własnego informatyka, który sam dobierze odpowiednie aplikacje czy narzędzia.
http://www.comodo.com/business-security/network-protection/cleaning_essentials.php
Po kliknięciu na przycisk pobierania otwiera się owy formularz.
Dziwna sprawa...
Wracając do Emsisoftu. Zajrzałem do swojego EEK, pełna nazwa Hijacka to Emsisoft HijackFree 4.5.

morphiusz1   5 #11 29.08.2011 20:01

Maxi_S chodzi o to, że w pierwszym punkcie piszesz, że trudno zdobyć CCE (tak na prawdę banalnie) i że nie jest on tak na wierzchu, a w drugim punkcie, że nie jest dla każdego.

Comodo ma tego świadomość, Melih pisał o tym kilka razy, chciano nawet KillSwitcha udostępnić tylko administratorom czegoś tam.

Owszem, EEK cechuje się b. dobrą skutecznością, ale miałem wrażenie jak byś CCE umieszczał w klasie Iobita, może nawet trochę niżej ;).

Maxi_S   4 #12 29.08.2011 23:01

@morphiusz1

Źle mnie zrozumiałeś. Nie jest trudno zdobyć CCE, ale na stronie Comodo należy przebrnąć przez formularz z takimi pytaniami jak nazwa firmy, na jakim stanowisku jesteś zatrudniony, ile PC masz pod opieką, adres strony WWW itp. To już sugeruje (łącznie z tytułem strony), że chodzi o profesjonalne narzędzie typu portable. Po ściągnięciu okazuje się, że otrzymujesz skaner + ogólnie dostępny program do zarządzania procesami (rebrandowany). Może ktoś włożył to w niewłaściwą przegródkę, pod niewłaściwy link? Mając do dyspozycji skaner online Comodo, CIMA na stronie www i KillSwitcha do ściągnięcia dostajesz podobne narzędzie, tyle że w formie "rozproszonej". Dostęp do sieci jest Ci potrzebny w obydwu przypadkach (aktualizacja baz, werdykt CIMA). Nie oceniam czy jest to dobre narzędzie czy złe, tylko pytam o sens tej formy w sekcji narzędzi profesjonalnych (do zastosowań domowych jak najbardziej i na miejscu).

KillSwitch daje spore możliwości zaawansowanemu użytkownikowi, natomiast przeciętnemu, który potrafi skorzystać z karty "Procesy" w "Menedżerze zadań", jawi się właśnie jako taki "inny Menedżer zadań". Wspomniane przeze mnie grono użytkowników, którym wydaje się że wiedzą o co chodzi, odpalając KillSwitcha na koncie z uprawnieniami admina są jak dziecko z nożem, zapałkami i kanistrem benzyny w rozdzielni wysokiego napięcia. Czy ktoś w ogóle zająknął się o zrobieniu backupu/lustra zainfekowanego systemu z danymi? Ile masz pewności szturchając takiego robaczka, że ten nie zrobi Ci z danych "jesieni średniowiecza"? W domu - pal sześć, ale w firmie może to zaboleć.
Jeszcze raz powtórzę, że nie było i nie jest moim zamiarem krytykowanie skanera CCE czy CAV, tym bardziej klasyfikowanie go.