METODY WYKRYWANIA I USUWANIA SZKODLIWYCH APLIKACJI
Problem na starcie
Gdy wirusy nieustannie się odtwarzają lub system nie chce wystartować, warto posłużyć się narzędziem skanującym system i usuwającym groźne pliki jeszcze przed uruchomieniem peceta. Tym narzędziem, jest płyta ratunkowa programu Panda Antivirus.
Zaznac2, Jeżeli chcesz utworzyć płytę ratunkową CD/DVD liii zestaw dyskietek.
Utwórz dyski ratunkowe Utwórz płytę ratunkową CD/DVO
Utwórz płytę ratunkową
Poczekaj aż utworzona zostanie płyta ratunkowa Tworzeni© dysku
uiiiunniiiiiuninii
6 Po skończonym skali
1
? Ekspert radzi
Dysk ratunkowy trzeba utworzyć zaraz po zainstalowaniu programu antywirusowego. Gdy system przestanie się uruchamiać, nie przygotujemy ratunkowego CD.
1 Uruchamiamy program Panda Antivirus.
W oknie aplikacji klikamy na zakładkę IŁ u«tuqi|.
W nowym oknie wybiera-
.™yj-
2 Otwiera się okno kreatora dysku ratunkowego.
Klikamy na | Dale) >'■. Potem__
zaznaczamy opcję •. Lepiej skorzystać z płyty CD, niż mozolnie tworzyć zestaw kilku dyskietek ratunkowych. Wybieramy iDalej >|.
Usługi
Ktiknłj usługę, do które) chcesz
Moja strefa pobierania ffll Pomoc techniczna ^ Pomoc techniczna E-mal Uwagi użytkowników O Kutetyny Panda
Dysk ratunkowe -----
Wkładamy do napędu płytę CD i wybieramy na-grywarkę. Ponownie klikamy na|biieT>!.
3 Gdy tworzenie • płyty ratunkowej zakończy się pomyślnie, klikamy na[ok~L Cdy będziemy chcieli sprawdzić pecet, restartujemy go i w BLOS-ie ustawiamy napęd CD-ROM jako pierwsze urządzenie bootowalne. Następnie wkładamy płytę ratunkową do napędu.
nowaniu aplikacja wyświetla wyniki | Aby je zapisać, wciskamy klawisz ID- Jeżeli chcemy zakończyć skanowanie, wciskamy jT). Wykryte wirusy zostają usunięte i możemy restartować pecet.
- Uynikf
Liczba skanowanych plików ......: 15523
Liczba plików zainfekowanych ...: O
4 Z listy języków wybieramy IPoltshl. Następnie wciskami klawisz E). Program wyszuka plik z sygnaturami wirusów. Aby rozpocząć skanowanie, wciskamy rsjT).
1
i Awaryjne przywracanie
Czasami, pomimo usunięcia wirusa, nasz system nadal nie chce się uruchamiać. W takim wypadku możemy spróbować przywrócić działanie systemu, korzystając z konsoli uruchamiania oraz zachowanych punktów przywracania systemu. Opis przeprowadzenia tej operacji znajdziemy w Ekspercie 6/2004.
i Gdy nic nie pomaga
Możemy poprosić internautów o pomoc w wykryciu groźnych programów w pececie. W tym celu musimy zainstalować specjalny program analizujący działanie Windows [HUack This * lub Silent Runners). Następnie należy uruchomić aplikację i wygenerować log, czyli specjalny dokument zawierający informację o systemie (na stronie © przeczytamy, jak tego dokonać). Gotowy log wklejamy potem na specjalistycznym forum (na przykład O) I prosimy internautów o rady.
8t*« trs rwifii ot tf* tl« zWii you doły*, Htoó.TTe tetra
d»tan*»«łw*tibsdar>jHh!f !Terel/cvB«w>fc*dbvir<w. ttabMtUJwjtotto | l« w-s fłe ord t ta fcła, L
W • HCLW^cŻtwef^^łgiaiftllntamet P»yi - htlgJfgo.PtoocrfbccrTjfoWflUł *
iJW • Ccwutlksi W3»d,p*łte-/i -
! IM • C)«**«\Too*tfr,lW,sFc*fcrti*iao- t«za
■02-90. MCcrrot O*CwHs* • (3SP7K»a20AHBM-By/-WT$efOEW«lł • OlPrognm f !i 02-00, SSWote* Cto« • (7ćt4WI80!«MMC-6«B<H W1092JM - OtfYaygn «*Pwł\)ri \ 04 • t*lM|..VUri! (ATtCCC] "Cfrt^rtn OetlATi Tethfob^^Tl.AOntłWnrtBw -Oelay W - HftMi,. \Rijni (SoncKrd SCUCKóHBZ _04-mK|..\Rijni' - - ......
Bez autounichamiania
X Pocket KUthox 1 Files , O poldors 0 |X|
Na stronie 26 Ekspert opisał, jak groźne programy bronią się przed usunięciem, uruchamiając się na nowo przy starcie systemu. Teraz dowiemy się, jak walczyć z tym zjawiskiem i rozpoznać zagrożenia.
Bardzo często złośliwe programy umieszczają informacje uniemożliwiające ich usunięcie w kluczach rejestru opisanych w ramce •:-------------------------------------
Nrtf/ęd/le konfiguracji tytlcmu
Cqóho ; SYSTEM.INI WIN. IM BOOT,IMS : L&tup; Unrchatrtante [
Ekwł startowy -21 tozoe : 0 laręiłaęw i 0 fcesoMedaOotoctor j 0 RoaBtorOropHztnder ! 0POVD5erv i! B Semontfcjftsi**
; 0 WżywMla Tostera ; 0 0>t)*
i 0 OceoCfffco.uK.plZ...
Ci\Progrom F<«*\Koi*j\katM.oxB /5Y5T... ■C:VVojram f lełKyłwUfikiPoy^OYOU.., C:\Proęram R«'^:8S«2\PK«aM«<S5Cte.., C:\Fr oęran BkM\5conr<«F\TBftt£<Z\0m... 'OtFrogram FMCyber lrt-.\Pow« DVO)... C:\Ft c-yzm Wet\RXToo8w\5en»«*: los... Ci\P»x>jram Fks\TBONBn\lbco.exe /t C;\KtC<lRA~l\¥C>P)Yćb&rt\W«tch.e«
C ;\PRC«jRA~ 1 \CflBnD-' I \o»btdm. a x a JH C:\PR03kA~ l \C^W ~1,0\jnoęrflm\Q...
Utafctocja -*•
SOF TWARt\McrOKft\Włvdovrt\ 50FTWAR£\Mlim»oft\WVkJO¥rtl
50FTNVWkEV^rc*>f»\V<Vw4?«t
SOPTWA?£1^kroich\WM?A,s'
SSFT\VfeB£\t*1goscft\Wr»to^l^
SCfTWARElMcrotc/tlWndoió^
Cotrrxo Stortup
Corrrren Ste/tup
Star tup
IAby wykryć skróty uruchamiające groźne programy i je usunąć, musimy wykonać kilka czynności. Na początku klikamy na jfiKEIUE Uruchom...[. w pole |otwórc:| wpisujemy I msconfig | i Idikamy na [ok],
2 Klikamy na zakładkę | Uruchamianie |. wyświetla się lista wszystkich aplikacji ura-_ chamianych przy_ st_a_ręie_#^ Obok nazwy każdej z nich widzimy ścieżkę do pliku •. Przeglądamy listę i wyszukujemy nieznane nam aplikacje, na przykład 4. Usuwając zaznaczenie w polu przy ich nazwie, wyłączamy uruchamianie danej aplikacji.
3 Warto jeszcze usunąć plik, stanowiący zagrożenie. Ścieżkę do dokumentu widzimy W Oknie
28 LUTY 2007
Błąd usuwania pliku lub folderu | ||
& |
Nła można usunąćtbon.exe: Odriowa dostępu. | |
Sprwdź, ery dysk No Jest zapełniony łub chroNony przed 2dplsem 1 | ||
oraz, ay płik Ne jest aktualnie używarty, |
—1 | |
IEZMZ1I |
Za pomocą Eksploratora Windows otwieramy folder zawierający dokument. Usuwamy go. W przypadku gdy groźny program jest aktywny, nie można go usunąć - informuje o tym komunikat •. Musimy się posłużyć programem Poczet Killbox. Instalujemy aplikację z płyty Eksperta (jest dostępna w dziale Narzędziowe) i uruchamiamy ją.
i
Filo Tools RemoYe Kem Optlons Hdp Processes» Fuli Palh of File to Delcie
■ J^jCAProgram Fite$\T BON \tbon.exe
: Tbon.cHe
<s ISlaidłidFteKii r Dełeto on Reboot O Repiaco on Reboot
T ■
T End Expkxw ShdIWhile Kiliing FZe
T dlfedfeOSewsIł ’
Exit
4 W oknie programu klikamy na 4 i wska-.groźny.PiUi • • Następnie zaznaczamy opcję |g Ddele on Rebootl. Klikamy na przycisk SS, a potem na [£*j. Komputer zostaje restartowany, a groźny plik usunięty.
i Klucze rejestru wykorzystywane przez robaki
(£’ Edytor rojoslru
£lik gdycja Widok Ulufetone Pomoc + _J ProportySystem >
^ Qj Retnstafl Śl C3 RejabUfty
aa
RunOnce I RunOrxeEx RurtServlc« ę D Setup Glj SharedOLLs |£ij Sh«odMlxed
INazvya Typ Opnę
^(Oomyilna) REG_SZ (wartoić nie ustało na)
iŚAPWEWlN REG.SZ ■C:\Progr«n Ftes^Pando SoftwwslPanda AntMrus + F...
[^)AVPOWIN REG_SZ ‘C:\ProgramRlos\PandaSoftwara\PondaDemo\panda...
SlDAEMON Tools REG.SZ •C:\ProflramRle5®AEMONToote\da8mon.oxo-Jang I...
^Neromerdied'. REG_SZ C:\W1W>OVi>Shy5tem32\NeroOxKk.axo
iEjSoundMAX REG_SZ "C:\Program Flas\Analog Devjca^SourxWAX\Smaxa.e...
iysoundMA^nP REG_SZ C:\ProgramFllas\AnalogDevices\SajndMAX\SMax4PN...
^JSunJavaUpdataSched REG_SZ C:\Program FltesUava\Jrel.5.0_06\bln\juscłied.exo
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - zawiera programy uruchamiane tylko raz, przy najbliższym logowaniu się danego użytkownika
HKEY_LOCAL_MACHINE\SOFTWARE\Mlcrosoft\Windows\CurrentVersion\Run - zawiera programy uruchamiane przy każdym logowaniu się dowolnego użytkownika
HKEY_LOCAL_MACHINE\SOFTWARE\Hlcrosoft\Wlndows\CurrentVerslon\RunOnce - zawiera programy uruchamiane tylko raz, przy najbliższym logowaniu się dowolnego użytkownika
HKEY_LOCAL.MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot - zawiera listę sterowników, z których korzysta Windows przy ładowaniu systemu.