ScanImage31 (3)

METODY WYKRYWANIA I USUWANIA SZKODLIWYCH APLIKACJI

Problem na starcie

Gdy wirusy nieustannie się odtwarzają lub system nie chce wystartować, warto posłużyć się narzędziem skanującym system i usuwającym groźne pliki jeszcze przed uruchomieniem peceta. Tym narzędziem, jest płyta ratunkowa programu Panda Antivirus.

Zaznac2, Jeżeli chcesz utworzyć płytę ratunkową CD/DVD liii zestaw dyskietek.

Utwórz dyski ratunkowe Utwórz płytę ratunkową CD/DVO

Utwórz płytę ratunkową

Poczekaj aż utworzona zostanie płyta ratunkowa Tworzeni© dysku

uiiiunniiiiiuninii

6 Po skończonym skali

1

? Ekspert radzi

Dysk ratunkowy trzeba utworzyć zaraz po zainstalowaniu programu antywirusowego. Gdy system przestanie się uruchamiać, nie przygotujemy ratunkowego CD.

1 Uruchamiamy program Panda Antivirus.

W oknie aplikacji klikamy na zakładkę IŁ u«tuqi|.

W nowym oknie wybiera-

.™yj-

2 Otwiera się okno kreatora dysku ratunkowego.

Klikamy na | Dale) >'■. Potem__

zaznaczamy opcję •. Lepiej skorzystać z płyty CD, niż mozolnie tworzyć zestaw kilku dyskietek ratunkowych. Wybieramy iDalej >|.

Usługi

Ktiknłj usługę, do które) chcesz

Moja strefa pobierania ffll Pomoc techniczna ^ Pomoc techniczna E-mal Uwagi użytkowników O Kutetyny Panda

Dysk ratunkowe -----

Wkładamy do napędu płytę CD i wybieramy na-grywarkę. Ponownie klikamy na|biieT>!.

3 Gdy tworzenie • płyty ratunkowej zakończy się pomyślnie, klikamy na[ok~L Cdy będziemy chcieli sprawdzić pecet, restartujemy go i w BLOS-ie ustawiamy napęd CD-ROM jako pierwsze urządzenie bootowalne. Następnie wkładamy płytę ratunkową do napędu.

nowaniu aplikacja wyświetla wyniki | Aby je zapisać, wciskamy klawisz ID- Jeżeli chcemy zakończyć skanowanie, wciskamy jT). Wykryte wirusy zostają usunięte i możemy restartować pecet.

- Uynikf

Liczba skanowanych plików ......: 15523

Liczba plików zainfekowanych ...: O

4 Z listy języków wybieramy IPoltshl. Następnie wciskami klawisz E). Program wyszuka plik z sygnaturami wirusów. Aby rozpocząć skanowanie, wciskamy rsjT).

1

i Awaryjne przywracanie

Czasami, pomimo usunięcia wirusa, nasz system nadal nie chce się uruchamiać. W takim wypadku możemy spróbować przywrócić działanie systemu, korzystając z konsoli uruchamiania oraz zachowanych punktów przywracania systemu. Opis przeprowadzenia tej operacji znajdziemy w Ekspercie 6/2004.

i Gdy nic nie pomaga

Możemy poprosić internautów o pomoc w wykryciu groźnych programów w pececie. W tym celu musimy zainstalować specjalny program analizujący działanie Windows [HUack This * lub Silent Runners). Następnie należy uruchomić aplikację i wygenerować log, czyli specjalny dokument zawierający informację o systemie (na stronie © przeczytamy, jak tego dokonać). Gotowy log wklejamy potem na specjalistycznym forum (na przykład O) I prosimy internautów o rady.

8t*« trs    rwifii ot tf*    tl« zWii you doły*, Htoó.TTe tetra

d»tan*»«łw*tibsdar>jHh!f !Terel/cvB«w>fc*dbvir<w. ttabMtUJwjtotto | l« w-s fłe ord t ta    fcła,    L

W • HCLW^cŻtwef^^łgiaiftllntamet    P»yi - htlgJfgo.PtoocrfbccrTjfoWflUł *

iJW •    Ccwutlksi W3»d,p*łte-/i -

! IM •    C)«**«\Too*tfr,lW,sFc*fcrti*iao- t«za

■02-90. MCcrrot O*CwHs* • (3SP7K»a20AHBM-By/-WT$efOEW«lł • OlPrognm f !i 02-00, SSWote* Cto« • (7ćt4WI80!«MMC-6«B<H W1092JM - OtfYaygn «*Pwł\)ri \ 04 • t*lM|..VUri! (ATtCCC] "Cfrt^rtn OetlATi Tethfob^^Tl.AOntłWnrtBw -Oelay W - HftMi,. \Rijni (SoncKrd SCUCKóHBZ _04-mK|..\Rijni'    -    - ......

Bez autounichamiania

X Pocket KUthox 1 Files , O poldors    0    |X|

Na stronie 26 Ekspert opisał, jak groźne programy bronią się przed usunięciem, uruchamiając się na nowo przy starcie systemu. Teraz dowiemy się, jak walczyć z tym zjawiskiem i rozpoznać zagrożenia.

Bardzo często złośliwe programy umieszczają informacje uniemożliwiające ich usunięcie w kluczach rejestru opisanych w ramce •:-------------------------------------

Nrtf/ęd/le konfiguracji tytlcmu

Cqóho ; SYSTEM.INI WIN. IM BOOT,IMS : L&tup; Unrchatrtante [

Ekwł startowy -21 tozoe : 0 laręiłaęw i 0 fcesoMedaOotoctor j 0 RoaBtorOropHztnder ! 0POVD5erv i! B Semontfcjftsi**

; 0 WżywMla Tostera ; 0 0>t)*

i 0 OceoCfffco.uK.plZ...

Ci\Progrom F<«*\Koi*j\katM.oxB /5Y5T... ■C:VVojram f lełKyłwUfikiPoy^OYOU.., C:\Proęram R«'^:8S«2\PK«aM«<S5Cte.., C:\Fr oęran BkM\5conr<«F\TBftt£<Z\0m... 'OtFrogram FMCyber lrt-.\Pow« DVO)... C:\Ft c-yzm Wet\RXToo8w\5en»«*: los... Ci\P»x>jram Fks\TBONBn\lbco.exe /t C;\KtC<lRA~l\¥C>P)Yćb&rt\W«tch.e«

C ;\PRC«jRA~ 1 \CflBnD-' I \o»btdm. a x a JH C:\PR03kA~ l \C^W ~1,0\jnoęrflm\Q...

Utafctocja    -*•

SOF TWARt\McrOKft\Włvdovrt\ 50FTWAR£\Mlim»oft\WVkJO¥rtl

50FTNVWkEV^rc*>f»\V<Vw4?«t

SOPTWA?£¹^kroich\WM?A^,s'

SSFT\VfeB£\t*1goscft\Wr»to^l^

SCfTWARElMcrotc/tlWndoió^

Cotrrxo Stortup

Corrrren Ste/tup

Star tup

IAby wykryć skróty uruchamiające groźne programy i je usunąć, musimy wykonać kilka czynności. Na początku klikamy na jfiKEIUE Uruchom...[. w pole |otwórc:| wpisujemy I msconfig | i Idikamy na [ok],

2 Klikamy na zakładkę | Uruchamianie |. wyświetla się lista wszystkich aplikacji ura-_ chamianych przy_ st_a_ręie_#^ Obok nazwy każdej z nich widzimy ścieżkę do pliku •. Przeglądamy listę i wyszukujemy nieznane nam aplikacje, na przykład 4. Usuwając zaznaczenie w polu przy ich nazwie, wyłączamy uruchamianie danej aplikacji.

3 Warto jeszcze usunąć plik, stanowiący zagrożenie. Ścieżkę do dokumentu widzimy W Oknie

28 LUTY 2007

eKspert]

Błąd usuwania pliku lub folderu
&	Nła można usunąćtbon.exe: Odriowa dostępu.
	Sprwdź, ery dysk No Jest zapełniony łub chroNony przed 2dplsem 1
	oraz, ay płik Ne jest aktualnie używarty,	—1
	IEZMZ1I

Za pomocą Eksploratora Windows otwieramy folder zawierający dokument. Usuwamy go. W przypadku gdy groźny program jest aktywny, nie można go usunąć - informuje o tym komunikat •. Musimy się posłużyć programem Poczet Killbox. Instalujemy aplikację z płyty Eksperta (jest dostępna w dziale Narzędziowe) i uruchamiamy ją.

i

Filo Tools RemoYe Kem Optlons Hdp Processes» Fuli Palh of File to Delcie

■ J^jCAProgram Fite$\T BON \tbon.exe

: Tbon.cHe

<s ISlaidłidFteKii r Dełeto on Reboot O Repiaco on Reboot

T    ■

T End Expkxw ShdIWhile Kiliing FZe

T    dlfedfeOSewsIł ’

Exit

4 W oknie programu klikamy na 4 i wska-.groźny.PiUi • • Następnie zaznaczamy opcję |g Ddele on Rebootl. Klikamy na przycisk SS, a potem na [£*j. Komputer zostaje restartowany, a groźny plik usunięty.

i Klucze rejestru wykorzystywane przez robaki

(£’ Edytor rojoslru

£lik gdycja Widok Ulufetone Pomoc + _J ProportySystem    >

^ Qj Retnstafl Śl C3 RejabUfty

aa

RunOnce I RunOrxeEx RurtServlc« ę D Setup Glj SharedOLLs |£ij Sh«odMlxed

INazvya    Typ    Opnę

^(Oomyilna)    REG_SZ    (wartoić nie ustało na)

iŚAPWEWlN    REG.SZ    ■C:\Progr«n Ftes^Pando SoftwwslPanda AntMrus + F...

[^)AVPOWIN    REG_SZ    ‘C:\ProgramRlos\PandaSoftwara\PondaDemo\panda...

SlDAEMON Tools    REG.SZ    •C:\ProflramRle5®AEMONToote\da8mon.oxo-Jang I...

^Neromerdied'.    REG_SZ    C:\W1W>OVi>Shy5tem32\NeroOxKk.axo

iEjSoundMAX    REG_SZ    "C:\Program Flas\Analog Devjca^SourxWAX\Smaxa.e...

iysoundMA^nP    REG_SZ    C:\ProgramFllas\AnalogDevices\SajndMAX\SMax4PN...

^JSunJavaUpdataSched REG_SZ    C:\Program FltesUava\Jrel.5.0_06\bln\juscłied.exo

Zainfekowane klucze możemy oczyścić ze zbędnych wpisów także za pomocą Edytora rejestru HKEY_CURRENTJJSER\Software\Microsoft\Windows\CurrentVersion\Run - zawiera programy uruchamiane przy każdym logowaniu się danego użytkownika

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - zawiera programy uruchamiane tylko raz, przy najbliższym logowaniu się danego użytkownika

HKEY_LOCAL_MACHINE\SOFTWARE\Mlcrosoft\Windows\CurrentVersion\Run - zawiera programy uruchamiane przy każdym logowaniu się dowolnego użytkownika

HKEY_LOCAL_MACHINE\SOFTWARE\Hlcrosoft\Wlndows\CurrentVerslon\RunOnce - zawiera programy uruchamiane tylko raz, przy najbliższym logowaniu się dowolnego użytkownika

HKEY_LOCAL.MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot - zawiera listę sterowników, z których korzysta Windows przy ładowaniu systemu.