|
|||
Na mém počítači jsem nalezl havěť a chci se jí zbavitPředpokládejme, že se nacházíme v operačním systému Windows 9x/ME. Ještě jeden poznatek na začátek: je nutné rozlišovat mezi spustitelnými soubory pro operační systém DOS a Windows. Pokud tedy pod DOSem spustíme infikovaný PE EXE soubor (který je určen pro Windows), NEdojde k aktivaci viru. Dostaneme pouze chybové hlášení typu "This program cannot be run in DOS mode" ("Tento program nelze spustit v DOS režimu"). Z toho plyne, že pokud je počítač infikován virem pro Windows (napadá pouze PE EXE), nemusíme se ho pod DOSem vůbec bát - z DOSu ho nelze nijak aktivovat. Antivirus nalezl na pevném disku havěť pro DOSNejprve, jak vůbec zjistit, že jde o virus či jinou havěť pro operační systém MS-DOS (nebo *-DOS obecně). Antivirus většinou v takovém případě vypíše něco ve stylu {název_viru}.{délka_viru_v_bajtech}.{varianta_viru}. V praxi to může vypadat např. následovně: Helloween.1376.A. Pokud jde o ruzumný antivirus a před názvem se NEnachází nic jako Win32, Win95, VBS, W97M atd. jde skoro najistotu o souborový virus pro DOS. V tomto případě doporučuji odstranit DOS viry pomocí systémové diskety. Neměl by být problém odstranit virus pro DOS i přímo z operačního systému Windows 9x/ME, ale jistota je jistota... Antivirus nalezl na pevném disku havěť pro WindowsOpět napíšu něco o tom, jak zjistit, že jde o havěť pro Windows. Antivirus "zařve" v tomto případě nějak takto (nepočítám-li zprávu "Na vašem počítači byl nalezen..."): {něco}/.{název_viru}+další náležitosti. V praxi to může vypadat následovně: Win95/CIH, I-Worm/Navidad, VBS/LoveLetter, W97M/Class.Q (místo "/" se občas vyskytuje i ".") apod. Pokud v oblasti {něco} figuruje číslice 97 a písmeno "M", jde z největší pravděpodobností o makrovirus (příklady: W97M, WM, X97M, O97M...). V tomto případě můžete infikované soubory vyléčit přímo v prostředí Windows (obvykle mají příponu DOC, XLS atd.). Doporučuji jen vypnout všechny součásti kancelářského balíku Microsoft Office (tj. zavřít programy Word, Excel...). Pokud figurují v oblasti {něco} následující zkratky: W95, Win95, Win2k, Win32, W32 atd. jde nejčastěji o souborový virus pro Windows (někdy kombinován s červem). V tomto případě NEDOPORUČUJI léčit soubory přímo z prostředí Windows (virus by mohl proces léčení ovlivnit). Léčení lze provádět v režimu MS-DOS (nabídka Start/Vypnout/Restartovat v režimu MS-DOS), nebo přímo ze systémové diskety. Pokud figurují v {něco} věci, podobné této: VBS, I-Worm, Trojan, Backdoor... většinou pomůže pouze odstranění infikovaných souborů (nelze je léčit - typická vlastnost červů (worms) a trojanů, viz. kapitola infiltrace). I když to vypadá jednoduše, ve skutečnosti tomu tak není. Zde se ke slovu dostává Internet a virové encyklopedie, které se na něm vyskytují (www.asw.cz, www.eset.sk, www.sarc.com, www.viruslist.com, www.sophos.com). Na čistém/neinfikovaném počítači si doporučuji najít informace o viru/červu/backdooru, který se na počítači vyskytl. Třeba právě na www.sarc.com je hodně návodů, jak se jednotlivé havěti zbavit. V některých případech platí heslo: Nemažte infikované soubory dříve, než opravíte registry !!!. Některé červi (např. Navidad, PrettyPark) na to velice nehezky reagují tak, že již nelze spustit z Windows žádný EXE soubor (na svědomí to mají právě odmazané soubory a klíč v registrech: HKEY_CLASSES_ROOT\exefile\shell\open\command). Nelze tak spustit ani EXE soubor REGEDIT.EXE, kterým lze registry upravit do původní podoby. Neexistuje však nic jednoduššího, než REGEDIT.EXE překopírovat do souboru REGEDIT.COM :-) Proto i antiviry na červa PrettyPark či Navidad mívají často příponu COM. Další informace o registrech lze najít například zde. Červi často využívají pro svou replikaci soubor WINDOWS\SYSTEM\WSOCK32.DLL. Pokud je infikován, nejlépe když ho smažete a obnovíte z instalačního CD s OS Windows (poslouží příkaz SFC /SCANNOW). Velkou kapitolu tvoří souborový systém NTFS (Windows 2000/NT) a viry. Na pevný disk, opatřený souborovým systémem NTFS se nelze z bootovací diskety běžně dostat (maximálně tak do zaváděcího sektoru). Je tedy nutné využít nějaký ten ovladač, který nám NTFS z diskety zpřístupní. Takovou vymoženost lze získat třeba na adrese www.sysinternals.com, volně šiřitelná verze ovšem dokáže pouze z NTFS číst, nikoliv na NTFS zapisovat (což je nutné pro případné odstraňování viru). Postižený pevný disk lze samozřejmě přenést na jiný počítač s Windows NT/2000, popřípadě na něj přistoupit s Linuxu. Tyto metody jsou však méně pohodlné. U Windows ME se doporučuje při odstraňování virů vypnout funkci SYSTEM RESTORE (ta co vytváří na pevném disku protivný adresář _RESTORE). Postup je následující:
A závěr...Na závěr snad ještě informace o tom, jak takovou systémovou disketu vytvořit (nejednodušší způsob): zvolte v nabídce START: Nastavení/Ovládací panely/Přidat nebo odebrat programy. Jedna záložka je věnována právě systémové disketě. Pokud je počítač infikován, stačí systémovou disketu zasunout, restartovat počítač a nastartovat z ní systém. V BIOS setupu je nutné nastavit toto pořadí bootování: 1. A:, 2. C:, popř. 1. floppy, 2. hdd-0. A ještě jeden tip: doporučuji nastavit antivirus tak, aby prohlížel VŠECHNY soubory bez ohledu na jejich příponu (tj. *.*). Jistota je jistota... :-) |
|||
|