Wirusy i spyware

Spis zawartości

  1. Założenia
  2. Początek walki
    1. Mam wirusa - co robić?
    2. Archiwizacja ważnych danych
  3. Usuwanie wirusów
    1. Windows się nie uruchamia
    2. Windows się uruchamia - instalacja i użycie programu antywirusowego
  4. Usuwanie malware
    1. Jak usunąć robaka Conficker.C?
  5. Jak zapobiec kolejnej katastrofie?
  6. Instrukcja obsługi Google
    1. Jak obsłużyć Google?
    2. Jak obsłużyć google-groups?
  7. Prawa autorskie i zastrzeżenia prawne

Założenia

  1. Zakładam, ze posiadasz system Windows.
  2. Niniejszy podręcznik służy do usuwania wszelkiego rodzaju malware (ang. malicious software - złośliwe oprogramowanie, takie jak Spyware, Adware).
  3. Autor nie gwarantuje skuteczności metod, jak również nie ponosi odpowiedzialności za ewentualne straty.
  4. Podane oprogramowanie jest jedynie przykładowe.

Początek walki

Mam wirusa - co robić?

Spokojnie. To jeszcze nie katastrofa. Jeśli masz jeszcze sieć - wtedy sprawa jest znacznie uproszczona, a przede wszystkim nie szkodzisz innym użytkownikom naszej sieci. Jak sieci nie masz - nieoceniony okaże się ktoś z dostępem do sieci i kilka dyskietek lub płyta CD. Nie wpadaj w panikę, skup się na lekturze tego poradnika. Zacznij od sprawdzenia czy posiadasz wirusa, czy malware

Jeśli:

  • poginęły jakieś pliki,
  • system działa niestabilnie,
  • pojawiają się komunikaty o braku ważnych plików Windows,
  • masz sygnały od innych osób ze skanujesz ich porty,
  • dostałeś bana za wirusa,

posiadasz wirusa, więc skup się na rozdziale "Usuwanie wirusów" i kolejnych.

Jeśli:

  • podmieniło Ci stronę główną na inną (zwłaszcza "Spyware detected", czy strony porno),
  • zniknęła tapeta na pulpicie Windows,
  • system działa niestabilnie, duże obciążenie procesora, duży ruch sieciowy chociaż z niczego w danej chwili nie korzystasz,
  • pojawiają się okienka w trayu "Spyware detected", choć nie instalowałeś żadnego programu, który mógłby to wykryć,
  • Twoje zakładki (bookmarki) zniknęły, w zamian pojawiły się strony porno,
  • wyskakuje dużo okienek - głównie o tematyce porno, a Ty akurat takowych nie przeglądasz ;)

posiadasz malware, więc skup się na rozdziale "Usuwanie malware" i kolejnych.

Możliwe są różne mutacje "złośliwości ludzkiej", które łączą w sobie cechy typowego wirusa oraz typowego malware.

UWAGA: Przed rozpoczęciem jakichkolwiek akcji *WSZYSTKIE* ważne pliki (projekty, dokumenty, zdjęcia, archiwum poczty) zarchiwizuj na płycie CD lub innych przenośnych pamięciach. Nie zaleca się podłączania innego dysku do zarażonego komputera!

Archiwizacja ważnych danych

Jeśli uruchamia Ci się Windows - po prostu przekopiuj pliki na inny nośnik.

Jeśli nie uruchamia Ci się Windows - spróbuj uruchomić Windows w trybie awaryjnym (w trakcie uruchamiania komputera _przed_ ukazaniem się loga Windows, wciśnij F8). Gdy się nie uda to postaraj się zdobyć jakąś płytę Live-CD z Linuksem. Np. Ubuntu ( http://www.ubuntu.pl). Ściągnij plik .iso i wypal płytę (pamiętaj o ustawieniu wypalania obrazu - image burning, by uzyskać płytę samostartującą). W razie problemów płytę taka możesz wypożyczyć u swojego lokalnego administratora. Za pomocą X-Window możesz przekopiować wszystkie swoje pliki na inne media (także zdalne). Przy okazji będziesz miał szanse zobaczyć, że Linux wcale nie jest taki trudny :)

Usuwanie wirusów

Windows się nie uruchamia

Po Archiwizacji ważnych danych (opisanej w punkcie powyżej), niestety najlepszym sposobem usunięcia tego typu wirusów jest gruntowne czyszczenie dysku twardego (tzw. format) i zainstalowanie Windowsa na nowo. Chyba, że posiada się dobrego znajomego, który poświęci kilka godzin na naprawę Windowsa, która i tak może nie przynieść efektów.

Windows się uruchamia - instalacja i użycie programu antywirusowego

Domyślasz sie ze posiadasz wirusa, tak? Zacznijmy od ustalenia jakim konkretnie wirusem Twój komputer jest zarażony. Wejdź na stronę  http://skaner.mks.com.pl/ i postępuj zgodnie ze wskazówkami. Możliwe, że będzie konieczność przekonfigurowania Internet Explorera zgodnie z instrukcją podaną na stronie. Przeskanuj _WSZYSTKIE_ dyski. Alternatywnie można skorzystać z Skanera On-line Pandy ( http://www.pandasoftware.com/activescan/activescan/ascan_1.asp). Niestety, MKS-Skaner w 99% przypadków tylko poinformuje Cię o posiadaniu wirusa oraz o jego nazwie. Po sprawdzeniu jego nazwy w Google (www.google.pl) (oraz google-groups (groups.google.pl)), lub np. na stronie  http://www.mks.com.pl/wirusy.html będziesz już miał ogólne pojęcie o charakterze wirusa, zagrożeniach i sposobach walki z nim.

W końcu, jak usunąć wirusa? Musisz się zaopatrzyć w program antywirusowy. Mogę polecić darmowe programy antywirusowe takie jak:

Istnieją także płatne programy (z reguły można pobrać wersję testową, działającą np. 30dni, lub posiadające ograniczoną funkcjonalność) takie jak

OK. Zakładam, że ściągnąłeś(-łaś) i zainstalowałeś(-łaś) program antywirusowy. Następnie zaktualizuj bazę danych do najnowszej ("pobierz uaktualnienia", "aktualizuj dane o wirusach", "update"). Zaznacz _wszystkie_ dyski i wciśnij "Skanuj" ("Scan"). Czekaj cierpliwie na wynik poszukiwań. Gdy wirus zostanie znaleziony - postępuj zgodnie ze wskazówkami na ekranie. W przypadku nie wykrycia niczego, lub niemożności zainstalowania lub uruchomienia programu przejdź do trybu awaryjnego Windows (zrestartuj komputer, w trakcie uruchamiania _przed_ ukazaniem się loga Windows, wciśnij F8 i wybierz "uruchom w trybie awaryjnym z obsługą sieci"). W trybie awaryjnym postępuj analogicznie. W przypadku dalszych problemów poszukaj rozwiązanie na Google lub google-groups, na pewno u kogoś wystąpił już analogiczny problem i został on rozwiązany (punkt 5.)

Usuwanie malware

Malware jest z reguły bardzo złośliwym oprogramowaniem. Zasadniczo potrzebujesz dwóch podstawowych (i darmowych!) programów:

Zainstaluj program Spybot, następnie zaktualizuj bazę danych do najnowszej (update) Przechodzisz do trybu awaryjnego z obsługą sieci. Uruchom program HijackThis. Kliknij "Scan", następnie "Save Log". Otrzymany plik wklej w okienko na stronie " http://www.hijackthis.de" i kliknij Analyze. Przejrzyj otrzymany wynik - wszystkie "zielone ptaszki" są ok. "Czerwone wykrzykniki" zaznacz w programie HijackThis i kliknij "Fix". Żółte znaki zapytania to są wątpliwe przypadki - jeśli nie kojarzysz nazwy pliku, proponuje również go zaznaczyć i skasować. Powtarzaj te kroki tak długo aż na liście będą tylko "zielone ptaszki", ew. _znane_ "żółte znaki zapytania". Następnie uruchom program Spybot i przeskanuj wszystkie dyski zgodnie z instrukcją ( http://www.safer-networking.org/pl/tutorial/index.html). Być może okazać się konieczne zrestartowanie komputera - pamiętaj o ponownym wejściu do "Trybu awaryjnego". Gdy zarówno Spybot jak i HijackThis już nic znajduje, uruchom ponownie komputer i wejdź do zwykłego trybu Windows. Dla pewności jeszcze raz przeskanuj system tymi dwoma programami i usuń ew. resztę malware. Należy również sprawdzić ustawienia Zapory Systemu Windows (w przypadku Windows XP) i zablokować wszelkie nieznane usługi (np "WWW" na losowych numerach portów) W przypadku dalszych problemów poszukaj rozwiązanie na Google lub google-groups, na pewno u kogoś wystąpił już analogiczny problem i został on rozwiązany (punkt 5.)

Jak usunąć robaka Conficker.C?

Ostatnio dużym problemem w naszej sieci jest infekcja robakiem Conficker.C (inne nazwy: Downup, Downadup, Kido). Podatne są jedynie systemy Windows (szczególnie te nieaktualizowane).

Do usuwania tego złośliwego oprogramowania służy  EconfickerRemover. Aby usunąć Confickera należy:

  1. Ściągnąć ww program.
  2. Kliknąć start -> uruchom -> wpisać cmd -> potwierdzić.
  3. Przejść do partycji i folderu gdzie znajduje się ww program. Zasady poruszania sie w linii poleceń Windows:
  • zmiana partycji to litera_partycji i dwukropek np D:,
  • przejście do konkretnego miejsca na dysku to cd folder1/folder2,
  • cofanie/wychodzenie z folderu to cd i dwie kropki, czyli cd ..,
  • aby sprawdzić gdzie jesteśmy używamy trzyliterowego skrotu dir (od ang. directory).
  1. Uruchomić program, wpisując: EConfickerRemover.exe -autoclean.
  2. Zezwolić, aby sie wykonał.
  3. Przeskanować komputer antywirusem (w celu usunięcia pliku wskazanego przez program).
  4. Zrestartować system.

Jak zapobiec kolejnej katastrofie?

  1. Czytać co się wyświetla na monitorze! Niestety, większość niedoświadczonych użytkowników klika odruchowo "Tak, zgadzam się", "Dalej", "Dalej", "ok!". Właśnie w taki sposób wiele użytkowników zgadza się na zainstalowanie często niemożliwego do usunięcia spyware'u
  2. Zainstalować dobry program antywirusowy i uruchomić "Skanowanie w locie", albo "Monitorowanie". Odpowiednie propozycje i adresy znajdują się w rozdziale 2.2 . Oprócz tego zainstalować firewalla (lub uruchomić tego z WindowsXP). Polecam także regularne używanie programu "Spybot Seek&Destroy" z rozdziału 3, lub uruchomienie skanera. Okresowo polecam skanowanie darmowym programem Ad-Aware SE Personal ( http://www.lavasoftusa.com/support/download/)
  3. Regularnie aktualizować zarówno system operacyjny ( http://www.windowsupdate.com ==> zainstaluj aktualizacje krytyczne), oraz bazy danych programu antywirusowego i anty-malware. Pamiętaj, że najnowsze wirusy błyskawicznie się rozpowszechniają dlatego baza danych programu antywirusowego powinna mieć max 10 dni!
  4. Zrezygnować z używania Microsoft Explorera, na korzyść innej przeglądarki stron np Opera ( http://www.opera.com/download/) lub Firefox ( http://www.firefox.pl/pobierz.html). Są one znacznie bezpieczniejsze i w zasadzie wykluczają zainstalowanie wirusów czy malware za pomocą spreparowanego linka np. przesłanego nam przez obcą osobę na GG)
  5. Zasada piąta: Nie otwieraj nieznanych plików (np. otrzymanych mailem od obcych osób), traktuj obce osoby z rezerwa, zwłaszcza gdy bardzo chcą nam coś pokazać. Programy staraj się sciągnać z oficjalnych ich stron, ich mirrorów lub repozytoriów takich jak np Tucows ( http://tucows.com), czy Cnet ( http://www.download.com/), czy dobreprogramy.com ( http://dobreprogramy.com). Staraj się używać bezpłatnych odpowiedników programów płatnych (np ze strony  http://www.freewarehome.com/)
  6. Zasada szósta: Nie instaluj niepotrzebnych programów takich jak keyloggery itp. Nie instaluj "cracków" do programów - po pierwsze łamiesz w ten sposób prawo, po drugie często taki program zawiera "dodatkowe" instrukcje, wykradające Twoje dane. To samo się odnosi do wszelkich programów "hackerskich" typu skanery portów, czy legendarny _nieistniejący_ GGHack. Pamiętaj także, że używanie jakiegokolwiek oprogramowania tego typu jest w naszej sieci *surowo* zabronione.

Instrukcja obsługi Google

Zasadniczo każdy potrafi użyć googli (www.google.pl) i google-groups (groups.google.pl). Niestety, są wyjątki.

Jak obsłużyć Google?

Przykład 1.

Aby otrzymać informację np nt. wirusa "Mytob.KE" - zakładam, że taką nazwę podał nam program antywirusowy, po prostu wpisujemy jego nazwę w okienko wyszukiwarki. Pierwszy link skieruje nas do strony MKS Vir, gdzie znajdziemy odpowiednią informacje na temat tego wirusa.

Przykład 2.

HijackThis pokazuje nam plik "ze znakiem zapytania" pod nazwą: "polo.exe". Nie wiemy co to jest, a nie chcemy kasować, bo "być może to ważny plik". Wpisujemy nazwe pliku do googli i pierwszy link kieruje nas do toczącej sie dyskusji na portalu "dobreprogramy.pl" - z dyskusji wynika, ze nie tylko my zastanawiamy się co to za plik. Piąty link wskazuje przenosi nas do kolejnej dyskusji w której grupowicze radzą usunąć plik!

Przykład 3.

Plik winlogon.exe. Szukamy, ale wyniki są dość złożone. Zaznaczamy "szukaj w sieci Web". Ponownie klikamy "szukaj" i pierwszy link wskazuje nam na bardzo dobrą stronę, która opisuje bardzo dużo plików (), a opis pliku wskazuje:

"winlogon - winlogon.exe - Process Information

Process File: winlogon or winlogon.exe

Process Name: Microsoft Windows Logon Process"

czyli plik jest ok, co nie znaczy, ze nie jest zawirusowany!

Jak obsłużyć google-groups?

Analogicznie do google.pl, używamy strony groups.google.pl - odpowiedzi tutaj często są udzielane bardziej szczegółowo, gdyż odpowiedzi są zazwyczaj długo dyskutowane.

Prawa autorskie i zastrzeżenia prawne

Ponieważ nie jestem ekspertem, nie zamierzam nawet sprawiać wrażenia, że wiem wszystko o wirusach i Windowsie. Moje rady odnośnie bezpieczeństwa mogą być w zasadzie dobre tylko do użytku domowego.

Ten dokument nie ma na celu zastąpienia żadnego innego przewodnika lub innej dokumentacji.

Autorzy tego dokumentu nie biorą jakiejkolwiek odpowiedzialności za powstałe szkody. Wszelkie znaki handlowe są własnością ich posiadaczy.

Autorem niniejszego opracowania jest Piotr Piwarski ( piffko@ds.pg.gda.pl) / modyfikacji dokonał Marek 'oczek' Oszczapiński-  oczek@ds.pg.gda.pl

Niniejszy tekst można dowolnie rozpowszechniać i modyfikować, ale nie można pobierać za niego żadnych opłat.