Otklanjanje virusa i trojana vlastitom rukom na Windows-ima

Anti-virusi su neophodni, ali samo mi recite koliko puta vam se dogodilo da super, novi, do kraja update-ani anti-virus "bleji" u problem kao u šarena

vrata? Ako je odgovor "nikada", onda sigurno nemate dovoljno iskustva sa trojancima i virusima.

Ove tehnike su ograničene toliko koliko znate tehnika odbrane, poznamo neke a sigurno postoji njih još bezbroj, ali bi voljeli da i Vi pošaljete svoja

iskustva sa trojanima i virusima.

Prije svega...

Prije svega i svačega otvorite Options od Windows Explorera, te pod tabom View
- iskljucite "hide file ekstensions for known types"
- ukljucite "show all files"
- iskljucite "hide windows protected files"

Kako znati da ste zaraženi?

1. Banalne metode

U večini slučajeva se počnu događati neke čudne popratne stvari. Kao naprimjer, vaše računalo u jednom momentu zastane a da mu nemožete

odrediti uzrok, ili ako koristite dial-up onda nakon odspajanja sa internet-a, otvori se prozor sa ponovnim zahtjevom da se spojite, jer virus se

pokušava spojiti na internet. Ako dobijete povratni mail od vašeg mail server-a koji kaze da mail nije dostavljen na neku mail adresu, a vi taj mail

nikada niste ni poslali jer je virus slao sam sebe svima okolo, do svake email adrese na koju je naisao.

2. Pregledanjem liste procesa

Skinite neki freeware ili shareware program koji lista i manipulira sa procesima, a nipošto se ne oslanjajte na taskmanager od windowsa. Testirajte

vaš Process Manager tako što ćete pokusati ubiti neki od bitnih procesa kao npr. WINLOGON, te bilo koji bitni proces, ako on uspije ubiti svakog

od njih bez ikakvog problema onda tek možete govoriti o pravom programu.

Kada tek instalirate windows, onda bacite pogled na procese, vizualno zapamtite sadržaj, a sa vemenom ćete ih sve zapamtiti napamet. Svaki

program koji naknadno instalirate, može dodati neki svoj proces koji bi se u pozadini pokrenuo, ako mislite da vam taj program ne služi nečemu

bitnom, tj. da samo smeta računalu time što je učitan u memoriju, jednostavno ga maknite bez ikakvog razmišljanja.
Naravno ovaj program će se ponovo pokrenuti kada slijedeći put upalite računalo, ali doći ćemo i do toga.

Ako pet dana zaredom po 5 sec dnevno pregledate listu procesa, svaki slijedeći dan ako se neki dodatni program pokrene upasti će vam u oko.

3. Pregledanjem učitanih modula odnosno DLL-ova

Ovo posebno vrijedi za Explorer.exe, dogodilo se da neki dll ima upisan svoju putanju u registry bazi u nekom ključu, kojeg explorer ili bilo neki

drugi program kojemu je to zadatak učita tek nako bez ikakvog pitanja, a također unutar ovih DLL-ova mogu biti trojanci itd. Listu ovih učitanih DLL

ova mozete vidjeti koristeći neki proces viewer koji ima podršku da prikaže i module odnosno DLL-ove koje je učitao određeni proces. Izbor za ovo

je Essential Net Tools koji ima i prikaz putanje gdje se nalazi određeni progam ili modul na disku i koji je Manufacturer od tog programa ili modula.

Svaki program ili modul kojem je manufakturer prazan, nalazi se na nekoj čudnoj lokaciji ili ima neko čudno ime je sumnjiv i potrebno ga je

detaljnije istražiti.

4. Kada su mijenjane bitne windows komponente

Windows komponente se mijenjaju samo kada se radi windows update, ne znam postoji li alatka koja bi vodila računa o tome, jer bi se takođe

mogao instalirati trojan modificiranjem nekih od windows komponenti tako da bi sam sebe inficirao u postojeću komponentu (EXE, DLL, COM, itd.).

5. Data stream, Data stream, grrrr...

Potražite program na googlu koji bi možda se mogao zvati data stream viewer/ editor/manager itd. jer je to mjesto gdje se također može svašta

smjestiti. Ovo vrijedi ako je Vaša particija NTFS. Fajl je smješten uz drugi file ili direktorij koristeći sinstaksu file1.txt:file2.txt. Ovaj filel2.txt se

uopće ne vidi koristeći Windows Explorer ili command line interface, ali je divno mjesto za skrivanje virusa trojanaca itd. Kada tek instalirate

windows pogledajte koji su standardni fajlovi koji dolaze skriveni u data stream (ako ih uopće ima jer nema nikakve potrebe za tim), a zatim

pokrećite povremeno taj data stream viewer da bi otkrili novo nastale.

6. Start -> Programs -> StartUp

Pogledajte startup za All Users i za vašeg user-a, jer iako izgleda glupo možda neki virus ili trojan stavi link do sebe u ovaj folder tako da kada se

svaki slijedeći put računalo bude palilo pokrenuti će se i taj program.

7. Registry

Ja volim otvoriti Regedit.exe, zatim Edit -> Find
Find what: Run
Look at: Keys

Ovim dobijem neke bezveze rezultate ali nakon nekoliko pritiska na F3 stignem i do pravih vrijednosti.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

zatim kod nekih windowsa

HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun

HKLMSoftwareMicrosoftWindowsCurrentVersionAeDebug
HKLMSoftwareMicrosoftWindowsCurrentVersionImage File Execution Options

HKEY_CLASSES_ROOTexefileshellopencommand

Unutar ovih ključeva se mogu postaviti putanje do virusa i trojana koji ce se paliti zajedno sa windows-ima.

8. Control Panel -> Administrative tools -> Services

Također u Services je moguće dodati trojana ili virusa. Naravno uvijek ima opcija disable kojom zaustavite i onemogučite taj neki "zli" servis

Poslije možete upisati njegovo ime pod kojim se predstavlja u servisima, upisati u regedit.exe Edit->Find tako da možete otkriti orginalnu putanju,

a naravno možete izbirsati te registry ključeve.

9. %systemroot%system32drivers

Umalo da zaboravimo, može se pojaviti i "novi" driver za Vas kompjuter.

10. Dokumentacija

Ovo nije posebna tehnika, ali sve što nađete bilo u registriju ili negdje drugo zapišite ime filea, lokaciju, veličinu, datum kreiranja, pristupanja itd.

tako da Vam poslije bude lakše prilikom brisanja.

Ukljanjanje / brisanje

1. Ako nabavite putanju tog zlog programa potražite u istom direktoriju, ili gledajuči riječi koje se spominju u sadržaju tog zlog momka, potrazite

fajlove koji su povezani sa njim, možda koje on koristi kao resurse, u koje smiješta logove itd. Čak je moguće da su više tih fileova povezani, i

čuvaju jedni druge. Možete te dodatne iskopirati na neko sigurno mjesto za naknadno istraživanje, a zatim izbrisati ih. Ukoliko ste našli da se zli

file nalazi u data streamu, ista stvar vrijedi i za njega, kopirajte ako vam treba a zatim pokušajte izbrisati. (ako ne možete bilo koji fajl izbrisati

znači da je pokrenut ili ga je neki pokrenuti proces otvorio, [čitajte dalje]

2. Ako je riječ o tome da je virus modificirao neki sistemski file onda ga pokušajte zamijeniti sa Backupom tog istog filea, ugasite računalo i

probajte
- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računalu npr. linux
- KNOPPIX je takodje dobro rjesenje

3. Sada smo došli do toga da izbrišemo to "sranje"
Ukoliko doslovno brisanje da Shift+Delete ne radi znači da je pokrenut ili ga je neki pokrenuti proces otvorio. Rješenje mozete uzeti iz prethodnog

slučaja, tako što ugasite računalo i probate:
- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računalu npr. linux
- KNOPPIX je takodjer dobro rjesenje

4. Postoji jos jedna metoda, koja je također efikasna jer je izuzetno jednostavna i ne zahtjeva da se pokreće nikakav drugi operativni sistem.

Ukoliko imate NTFS particiju na kojoj se nalazi zli file, a pokrenut je winNT/2000/XP odite u Properties -> Security, a zatim svi korisnicima,

SYSTEM, Administrators, i sve što vidite pred očima stavite Full Access Deny Iako je program učitan u memoriju ne možete ga brisati ni mijenjati,

možete mijenjati njegove dozvole, znači stavite svima DENY!!! Slijedeći put kada se bude palio Windows taj file se neće moci učitati, a zatim ga

možete mirno obrisati nakon što mu vratite dozvole u normalno stanje.