Kaip atpažinti ir pašalinti Kovter kenkėją iš kompiuterio

Kovter – tai Trojos tipo kenkėjiška programa, kuri tyliai veikia fone ir imituoja paspaudimus reklamos tinkluose (click‑fraud). Dažniausiai ji patenka į kompiuterį per nulaužtų svetainių išnaudojimo rinkinius arba per „atsisiuntėjus“, kurie atgabena papildomą kenkėjišką kodą. Skirtingai nei daugelis kitų grėsmių, Kovter savo komponentus laiko ne diske, o „Windows“ registre ir atmintyje – todėl įprastai aptikti bei pašalinti ją gerokai sunkiau.

Kas nutinka, kai kompiuterį užkrečia Kovter

Kai ši grėsmė įsitvirtina, ji sukuria automatinio paleidimo įrašus registre, kad kiekvieno prisijungimo metu pati startuotų. Įrašai dažnai būna specialiai sukurti taip, kad jų nematytumėte įprastais įrankiais: bandant peržiūrėti reikšmes gali pasirodyti klaida, panaši į „Nepavyko parodyti: klaida skaitant reikšmės turinį“.

Dažniausi požymiai, kad įrenginys užkrėstas

• Užduočių tvarkytuvėje matyti daug vykdomų mshta.exe arba powershell.exe procesų.
• Naršant kai kurie puslapiai tampa nepasiekiami arba blokuojami.
• Sistema tampa vangiai reaguojanti, programos atsidaro lėtai.
• Pastebima neįprasta disko veikla.
• Gali atsirasti pranešimų, kad „PowerShell nustojo veikti“.

Kodėl Kovter sunkiai aptinkamas

Ši grėsmė laikoma „be failų“ (fileless) – pagrindinės jos dalys slypi registre ir atmintyje, todėl įprasti antivirusiniai sprendimai ne visada ją pamato. Be to, autorun įrašai dažnai yra užmaskuoti: vertės gali atrodyti tuščios, sugadintos arba neatsidarančios, todėl jų neįmanoma pašalinti standartiniu Registro redaktoriumi.

Savarankiško pašalinimo vadovas

Žemiau pateikiami žingsniai padės išvalyti sistemą. Prieš pradėdami perskaitykite instrukcijas iki galo, atsisiųskite reikalingus įrankius į darbalaukį ir, jei galite, atsispausdinkite šį planą – dalies veiksmų metu naršyklę gali tekti uždaryti ar perkrauti kompiuterį.

1 žingsnis. Sustabdykite įtartinas programas

• Atsisiųskite ir paleiskite patikimą „procesų nutraukimo“ įrankį, kuris automatiškai suranda aktyvias kenkėjiškas užduotis ir jas užbaigia. Jis turėtų laikinai sustabdyti Kovter bei kitus trukdančius procesus.
• Užbaigus nuskaitymą, peržiūrėkite įrankio ataskaitą ir uždarykite programą.
• Labai svarbu: neperkraukite kompiuterio iš karto po šio žingsnio, nes kenkėjiškos programos gali vėl pasileisti.

2 žingsnis. Atkurkite naršyklės atsisiuntimų parametrus

• Kovter dažnai pakeičia „Internet Explorer“ saugos nuostatas, kad trukdytų parsisiųsti valymo įrankius. Paspauskite „Windows“ klavišą + R.
• Atsidariusiame „Vykdyti“ lange įrašykite inetcpl.cpl ir spauskite Gerai.
• Skiltyje „Sauga“ spauskite „Atkurti visų zonų numatytuosius parametrus“, tuomet „Taikyti“ ir „Gerai“.
• Po to galėsite be trikdžių atsisiųsti reikalingas programas bet kurioje naršyklėje.

3 žingsnis. Paleiskite specializuotą Kovter šalinimo įrankį

• Atsisiųskite patikimą specializuotą įrankį, skirtą būtent šiai grėsmei šalinti. Pasirinkite versiją pagal savo „Windows“ architektūrą (32 arba 64 bitų). Sistemos tipą sužinosite per Nustatymai > Sistema > Apie.
• Išsaugokite diegimo arba vykdomąjį failą darbalaukyje. Paleiskite jį dukart spragtelėję.
• Perskaitykite licencijos sąlygas ir, jei sutinkate, tęskite. Programos pagrindiniame lange spauskite „Pradėti“ arba „Scan“.
• Įrankis nuskaitys sistemą, suras Kovter pėdsakus registre ir diske bei juos pašalins. Baigus darbą pamatysite pranešimą apie rezultatą.
• Ataskaitos failas paprastai išsaugomas tame pačiame aplanke kaip ir įrankis, su .log plėtiniu. Jį galite peržiūrėti, kad sužinotumėte, kas buvo pašalinta.

4 žingsnis. Patikrinkite sistemą „antroji nuomonė“ skeneriu

• Paleiskite papildomą, pagal pareikalavimą veikiantį saugos skenerį (gali būti nešiojama versija arba vienkartinis internetinis įrankis), kad įsitikintumėte, jog neliko kitų grėsmių.
• Jei skeneris ką nors randa, pasirinkite automatinį šalinimą ir, jei paprašys, perkraukite kompiuterį.

5 žingsnis. Pašalinkite pažeidžiamumus

• Daugelis užkrėtimų patenka per pasenusias programas. Nuskaitykite kompiuterį pažeidžiamumų tikrintuvu, kuris suranda atnaujinimų reikalaujančias programų versijas.
• Atnaujinkite operacinę sistemą, naršykles, įskiepčius (PDF, „Java“, „.NET“ ir pan.) bei kitas dažnai naudojamas programas.

Jei pašalinti nepavyko iš pirmo karto

• Paleiskite kompiuterį Saugiojo režimo su tinklu aplinkoje ir pakartokite 1–4 žingsnius.
• Jei specializuotas šalinimo įrankis nepanaikino visų komponentų, kreipkitės į kibernetinio saugumo specialistą. Pašalinimas rankiniu būdu reikalauja patirties ir gali būti rizikingas.

Techniniai pėdsakai, kuriuos dažnai palieka Kovter

Failų ir aplankų pavyzdžiai (gali skirtis priklausomai nuo varianto):

• %LocalAppData%\evum\
• %LocalAppData%\evum\1QGNQ.2MGvFO
• %AppData%\BlastoffCounterpoiseDissimilitude
• %AppData%\ForesideDopattaEmpyrean
• %AppData%\gangbang.dll
• %AppData%\htmlhelp.title.xml
• %AppData%\libertine.dll
• %AppData%\minimize_hover.png
• %AppData%\System.dll

Pastabos dėl vietų:

• %AppData% – dabartinio naudotojo programų duomenų aplankas. Pagal nutylėjimą: Windows 2000/XP – C:\Documents and Settings\< dabartinis naudotojas>\Application Data; Windows Vista/7 – C:\Users\< dabartinis naudotojas>\AppData\Roaming.
• %LocalAppData% – dabartinio naudotojo vietinių nustatymų programų duomenys. Pagal nutylėjimą: Windows 2000/XP – C:\Documents and Settings\< dabartinis naudotojas>\Local Settings\Application Data; Windows Vista/7/8 – C:\Users\< dabartinis naudotojas>\AppData\Local.

Registro įrašų pavyzdžiai (gali būti modifikuoti ar paslėpti):

• HKCU\Software\Classes\.2MGvFO
• HKCU\Software\Classes\.2MGvFO\
  ayC5
• HKCU\Software\Classes\ayC5
• HKCU\Software\Classes\ayC5\shell
• HKCU\Software\Classes\ayC5\shell\open
• HKCU\Software\Classes\ayC5\shell\open\command
• HKCU\Software\3c1cee05f3
• HKCU\Software\Classes\ayC5\shell\open\command\
  
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
  [neįskaitoma]
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
  [neįskaitoma]

Po valymo: ką dar verta patikrinti

• Atnaujinkite visą programinę įrangą ir OS pataisas.
• Pakeiskite naršyklių plėtinių sąrašą – pašalinkite nepažįstamus ar nereikalingus.
• Peržiūrėkite „Windows“ užduočių planuoklę ir automatinio paleidimo vietas, ar neliko įtartinų įrašų.
• Padarykite svarbių duomenų atsarginę kopiją į išorinę laikmeną ar debesį.

Prevencija: kaip apsisaugoti ateityje

• Naudokite patikimą saugos sprendimą su realaus laiko apsauga ir reguliariai atlikite pilnus nuskaitymus.
• Neklikinkite įtartinų el. laiškų priedų ir nuorodų, ypač jei jie prašo įgalinti „makrokomandas“.
• Dirbkite su ribotų teisių (ne administratoriaus) paskyra kasdieniams darbams.
• Apribokite arba stebėkite „PowerShell“ naudojimą, jei jo nereikia; įjunkite žurnalinimą.
• Reguliariai atnaujinkite naršykles ir įskiepius, pašalinkite nenaudojamus.

Ši informacija pateikiama kaip savipagalbos vadovas. Viską darykite atsakingai – jei nesate tikri dėl veiksmų, geriau kreipkitės į kvalifikuotą specialistą.