Zastita sistema

ADMINISTRATOR
Učlanjen(a)
10.05.1971
Poruka
54.331
Ručno otklanjanje virusa i trojanaca na Windowsu


Pre svega...


Pre svega i svačega otvorite Options od Windows Explorera, pa pod tab-om View
- isključite "hide file ekstensions for known types"
- uključite "show all files"
- isključite "hide windows protected files"

Kako znati da ste zaraženi?

1. Banalne metode


U većini slučajeva se počnu događati neke čudne propratne stvari. Kao na primer, vaš računar u jednom momentu zastane, a da mu ne možete odrediti uzrok, ili ako koristite dial-up ,onda nakon isključenja sa interneta, otvori se prozor sa ponovnim zahtevom da se spojite, jer virus pokušava da se spoji na internet. Ako dobijete povratni mail od vašeg mail server-a koji kaze da mail nije dostavljen na neku mail adresu, a vi taj mail nikada niste ni poslali, jer je virus slao sam sebe svima okolo, do svake email adrese na koju je naišao.

2. Pregledanjem liste procesa

Skinite neki freeware ili shareware program koji lista i manipuliše procesima i ne oslanjajte se baš na taskmanager od windowsa.

Kada tek instalirate windows, onda bacite pogled na procese, vizuelno zapamtite sadržaj, a vemenom ćete ih sve zapamtiti napamet. Svaki program koji naknadno instalirate, može dodati neki svoj proces koji bi se u pozadini pokrenuo i ako mislite da vam taj program ne služi nečemu bitnom, tj. da samo smeta računaru time što je učitan u memoriju, jednostavno ga maknite bez ikakvog razmišljanja.
Naravno ovaj program će se ponovo pokrenuti kada sledeći put upalite računar, ali doći ćemo i do toga.

Ako pet dana zaredom po 5 sec dnevno pregledate listu procesa, svaki sledeći dan, ako se neki dodatni program pokrene, upašće vam u oko.

3. Pregledanjem učitanih modula odnosno DLL-ova

Ovo posebno vredi za Explorer.exe, dogodilo se da neki dll ima upisanu svoju putanju u registry bazi u nekom ključu, kojeg explorer ili neki drugi program kojem je to zadatak učita bez ikakvog pitanja, a takođe unutar ovih DLL-ova mogu biti trojanci itd. Listu ovih učitanih DLL-ova možete videti koristeći neki proces viewer koji ima podršku da prikaže i module odnosno DLL-ove koje je učitao određeni proces. Izbor za ovo je Essential Net Tools koji ima i prikaz putanje gde se nalazi određeni progam ili modul na disku i koji je Manufacturer od tog programa ili modula.

Svaki program ili modul kojem je manufakturer prazan, nalazi se na nekoj čudnoj lokaciji ili ima neko čudno ime je sumnjiv i potrebno ga je detaljnije istražiti.

4. Kada su menjane bitne windows komponente

Windows komponente se menjaju samo kada se radi windows update, ne znam postoji li alatka koja bi vodila računa o tome, jer bi se takođe mogao instalirati trojan modifikovanjem nekih od windows komponenti ,tako da bi sam sebe inficirao u postojeću komponentu (EXE, DLL, COM, itd.).

5. Data stream, Data stream, grrrr...

Potražite program na googlu koji bi se možda mogao zvati data stream viewer/ editor/manager itd. jer je to mesto gde se takođe može svašta smestiti. Ovo vredi ako je Vaša particija NTFS. Fajl je smešten uz drugi file ili direktorijum koristeći sinstaksu file1.txt:file2.txt. Ovaj filel2.txt se uopšte ne vidi koristeći Windows Explorer ili command line interface, ali je divno mesto za skrivanje virusa trojanaca itd. Kada tek instalirate windows, pogledajte koji su standardni fajlovi koji dolaze skriveni u data stream (ako ih uopšte ima, jer nema nikakve potrebe za tim), a zatim pokrećite povremeno taj data stream viewer da bi otkrili novo nastale.

6. Start -> Programs -> StartUp

Pogledajte startup za All Users i za vašeg user-a, jer iako izgleda glupo, možda neki virus ili trojan stavi link do sebe u ovaj folder tako da kada se svaki sledeći put računar bude palio, pokrenuće se i taj program.

7. Registry

Ja volim da otvorimi Regedit.exe, zatim Edit -> Find
Find what: Run
Look at: Keys

Ovim dobijem neke bezveze rezultate, ali nakon nekoliko pritiska na F3 stignem i do pravih vrednosti.

HKLMSoftwareMicrosoftWindowsCu rrentVersionRun
HKLMSoftwareMicrosoftWindowsCu rrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCu rrentVersionRunOnceEx

Zatim kod nekih windowsa:

HKLMSoftwareMicrosoftWindowsCu rrentVersionpoliciesExplorerRu n
HKLMSoftwareMicrosoftWindowsCu rrentVersionAeDebug
HKLMSoftwareMicrosoftWindowsCu rrentVersionImage File Execution Options

HKEY_CLASSES_ROOTexefileshello pencommand

Unutar ovih ključeva se mogu postaviti putanje do virusa i trojanaca koji će se paliti zajedno sa windows-om.

8. Control Panel -> Administrative tools -> Services

Takođe u Services je moguće dodati trojanca ili virus. Naravno uvek ima opcija disable kojom zaustavite i one mogućite taj neki "zli" servis.Posle možete upisati njegovo ime pod kojim se predstavlja u servisima, upisati u regedit.exe Edit->Find ,tako da možete otkriti orginalnu putanju,a naravno možete i izbrisati te registry ključeve.

9. %systemroot%system32drivers

Umalo da zaboravimo, može se pojaviti i "novi" driver za Vas kompjuter.

10. Dokumentacija

Ovo nije posebna tehnika, ali sve što nađete bilo u registriju ili negde drugo, zapišite ime file-a, lokaciju, veličinu, datum kreiranja, pristupanja itd,tako da Vam posle bude lakše prilikom brisanja.

Uklanjanje / brisanje

1. Ako nabavite putanju tog zlog programa, potražite u istom direktorijumu, ili gledajući reči koje se spominju u sadržaju tog zlog momka, potrazite fajlove koji su povezani sa njim, možda koje on koristi kao resurse, u koje smešta logove itd. Čak je moguće da su više tih file-ova povezani, i čuvaju jedni druge. Možete te dodatne iskopirati na neko sigurno mesto za naknadno istraživanje, a zatim ih izbrisati. Ukoliko ste našli da se zli file nalazi u data streamu, ista stvar vredi i za njega, kopirajte ako vam treba, a zatim pokušajte izbrisati. (ako ne možete bilo koji fajl izbrisati,znači da je pokrenut ili ga je neki pokrenuti proces otvorio, [čitajte dalje].

2. Ako je reč o tome da je virus modifikovao neki sistemski file ,onda ga pokušajte zameniti sa Backupom tog istog filea, ugasite računar i probajte:

- DOS butabilnu disketu
- Repair Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računrlu npr. linux
KNOPPIX je takodje dobro resenje

3. Sada smo došli do toga da izbrišemo to "sranje"
Ukoliko doslovno brisanje sa Shift+Delete ne radi ,znači da je pokrenut ili ga je neki pokrenuti proces otvorio. Rešenje možete uzeti iz prethodnog slučaja, tako što ugasite računar i probate:

- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računaru npr. linux
- KNOPPIX je takodje dobro resenje

4. Postoji jos jedna metoda, koja je takođe efikasna, jer je izuzetno jednostavna i ne zahteva da se pokreće nikakav drugi operativni sistem.

Ukoliko imate NTFS particiju na kojoj se nalazi zli file, a pokrenut je winNT/2000/XP idite u Properties -> Security, a zatim svim korisnicima,SYSTEM, Administrators, i sve što vidite pred očima, stavite Full Access Deny. Iako je program učitan u memoriju ne možete ga brisati ni menjati,možete menjati njegove dozvole, znači stavite svima DENY!!! Sledeći put kada se bude palio Windows ,taj file se neće moci učitati, a zatim ga možete mirno obrisati, nakon što mu vratite dozvole u normalno stanje.

Izvor-Colicweb
 
ADMINISTRATOR
Učlanjen(a)
10.05.1971
Poruka
54.331
Spyware, Adware, dialers, hijackers ...

Obicnim surfovanjem, bez vaseg znanja, mozete zakaciti razne spyware, adware
dialers programe i time uciniti da vas PC postane domacin ovim napastima.

Spyware je sve rasirenija vrsta softvera koji potajice prenosi podatke o
korisnikovim online aktivnostima, a strucnjaci predvidaju kako bi ove vrste
programa mogle zaraziti i do 90 posto svih racunala povezanih s Internetom.
Ako ga se na vrejeme ne otkrijete, spyware moze dovesti do krade identiteta i
osobnih podataka, kvara racunara ili najezde dosadnih pop-up reklama.

Dialers nisu spy programi ali vam mogu napraviti velike tel. racune tako
sto vrse dial up konekciju sa udaljenim racunarima u svetu. Obicno se zakace
prilikom posete porno sajtovima, kreiraju ikonu u startapu tako da se podizu
sa vindowsom.

Adware su programi koji prikazuju reklame dok su programi startovani.
Obicno reklame izlaze kao pop-up prozori ili kao prozori u okviru samog
programa.

Hijackers su kradljivci vase Home Page strane koja je postavljena kao
osnovna. Oni ce promeniti podesavanje Internet Explorera i postavice
svoju stranu kao Home Page, prebacivace saobracaj na nezeljene web strane ...
Ubacice se u registry bazu tako da se uvek vraca bez obzira na vasu promenu
u opcijama Internet Explorera.


Kako se zastititi?

- Najbolje bi bilo u opcijama vašeg pretraživaća iskljuciti Active X,
Skripting i Cookies ali time mnoge strane na webu nece biti dostupne.
- Kada posetom nekoj web strani dobijete dijalog sa pitanjem
da li zelite da instalirate nesto, uvek odgovarajte NO !
- Koristite Opera i Firefox browser koji ima manje sigurnosnih rupa nego IE
- Koristite neki od programa za real time zastitu od ovih
programa:

1. SpywareGuard



Kod:
http://www.javacoolsoftware.com/products.html
2. Ad-watch, koji je deo programa
Ad-Aware Professional v6.0.181 Retail



Kod:
http://www.lavasoft.de/software/adawareprofessional/
Ovi programi prate svaki pokusaj upisivanja podataka u registry bazu,
blokiraju upis, instalaciju Active X kontrola kao i upis neke strane
kao Home Page-a (Hijackers)...

Uklanjanje:

Ukoliko ste ipak zakacili neki spyware program njega lako mozete ukloniti
nekim od sledecih alata:

1. Ad-Aware Professional



Kod:
http://www.lavasoft.de/software/adawareprofessional/

Povremeno izvrsite update baze



Kod:
http://www.lavasoft.de/update/refs/reflist.zip

Potpuno automatizovano ce pronaci spyware programe i predloziti njihovo
uklanjanje, pa je dobar za manje iskusne korisnike.

2. CWShredder



Kod:
http://www.spywareinfo.com/~merijn/

Ovim programom uklanjate razne programe koji vrse kradju Home Page-a
i time dosadjuju stalnim otvaranjem u odredjenim vrem. intervalima.

3. Spybot - Search & Destroy



Kod:
http://www.safer-networking.org/

Uklanjanje raznih vrsta spyware programa koji nisu pokriveni AntiVirusima
Ako dodje do pojave novog toolbara u pretraživacu, browser pocinje da se blokira,
otvara strane koje niste uneli ... vreme je da startujete ovaj program
jer je velika verovatnoca da ste zakacili neki spywere program koji radi
u pozadini

4. Spy Sweeper



Kod:
http://www.webroot.com

Slicno kao Ad-aware i Spybot, uklanja spyware, trojance, dialere ...
Radi i skeniranje i zastitu u realnom vremenu - monitor

5. PestPatrol Corporate



Kod:
http://www.pestpatrol.com/

Detektuje i uklanja adware, spyware, key loggere, trojance, napade hakera
Osim toga, radi skaniranje sistema u realnom vremenu i stiti sistem

6. SpywareBlaster



Kod:
http://www.javacoolsoftware.com/products.html

Takodje jedan od alata koji vrse prevenciju instaliranja ActiveX kontrola,
spyware programa, raznih dialera ... Program nije aktivan u memoriji i
radi i sa Mozilla browserom

7. HijackThis



Kod:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/index.html

Program koji uklanja strane koje su se postavile kao Home Page bez vaseg
znanja, dodatne toolbar programe ...

8. Gip@MoveOnBoot



Kod:
http://www.gibinsoft.net/gipoutils/fileutil/index.htm

Uklanja fajlove koji se ne mogu obrisati na uobicajen nacin jer su
zakljucani od strane vindowsa

9. CopyLock


Kod:
http://noeld.com
Istu funkciju kao Gip@MoveOnBoot - brise fajlove koji se ne mogu obrisati
komandom "delete" (razni trojanci, dialers ...)

10. Proces Explorer



Kod:
http://www.sysinternals.com

Moze posluziti da pogledate koji su sve procesi startovani i eventualno
prepoznate neki sumnjivi proces, ubijete ga (kill) a zatim obrisete
program (virus, trojanac ...) koji ga je startovao.

11. Nakon ciscenja spy programa, obavezno ponovo proverite sistem jer
se oni znaju tako sakriti da je nekad potrebno koristiti kombinaciju
vise programa za ciscenje.

NAPOMENA: cak i kada ne primecujete cudno ponasanje vaseg browsera potrebno je
s vremena na vreme pustiti ove programe, kako bi bili sigurni da se
nije zakacio neki od zlonamernih programa.


Virusi, worm, trojanci ...


Virusi su programi ili programski kodovi koji se ucitavaju bez vaseg znanja
a pisani sa namerom da nanesu neku stetu racunaru. Lako se umnozavaju
samostalnim kopiranje a kako su aktivni u memoriji zarazice svaki pokrenuti
program. Brisanje programa, blokiranje racunara ili kompletno formatiranje
diska su neki od nacina delovanja virusa.

Wormovi su slicni virusima. Razlika je sto se ne sire dodavanjem programima
kao virusi vec se repliciraju i postoje kao samostalni programi. Sire se
automatski preko mreze sa racunara na racunar i imaju mogucnost da se salju
samostalno putem mailova u obliku .bat .exe .pif .scr fajlova.
Pokretanjem ovih fajlova iz primljenog maila pocinje njihovo umnozavanje.

Trojanci su programi koji sluze kao back door za ulazak hakera na vas sistem
bez vaseg znanja, kradju podataka ili unistenje sistema. Napadac se moze
zakaciti na vas racunar, premnositi, brisati, dodavati programe i imati
potpunu kontrolu nad vasim racunarom.

Ukoliko se vas sistem ponasa cudno u poslednje vreme (gasi se nasumice,
blokira, otvara neke web strane bez vaseg znanja, usporeno radi...), moguce
je da ste se zarazili nekim virusom.

Zastita


Zastita od virusa i wormova ukljucuje anti virus program sa najnovijim
updateom av baze. Izaberite AV koji vama odgovara (Kasperski, Norton,
PC Cillin, NOD32, F-Prot, Panda, McAfee, Sophos ...), redovno skenirajte
sistem i vrsite update av baze.

I bez startovanja avnti virusa, kucanjem komande "msconfig"
(Start/run/msconfig) u startup tabu videcete koji se programi podizu sa
podizanjem Windowsa. Ukoliko primetite nove stavke sa cudnim nazivima a
u medjuvremenu niste instalirali nista od softvera velika je verovatnoca
da ste se zarazili nekim od virusa. Potrazite opis sumnjivog programa na
internetu




Kod:
www.google.com
Virus se moze startovati i kao servis, pa mozete pogledati i stavku
services tab (koristite Hide Microsoft Services) i pogledajte koji se
sve servisi startuju sa podizanjem racunara. Mozete koristiti i komandu
services.msc (Start/run/services.msc)


PRVENTIVA I UKLANJANJE

1. Anti-Virus program (na vama je da odaberete koji mislite da je najbolji). Ja ću predložiti:



Kod:
http://www.kaspersky.com/

Zastitice vas od vecine novih virusa, wormova ...

2. Nikako ne otvarajte tj. ne startujte fajlove koje ste skinuli sa interneta
dobili od prijatelja ... a da predhodno niste proverili anti virusom.
Bez obzira koliko su "sigurni" programi, igrice ... koje ste uzeli od
prijatelja, obavezno proverite anti virusom!

3. Ne otvarajte mailove sa attachmentom koji sadrzi: .exe, .bat, .scr, .pif
ili slicnu extenziju cak i ako stizu od vasih prijatelja. Novi wormovi
generisu nasumice imena i salju mailove sa mailing liste vaseg prijatelja
bez njegovog znanja.

4. Pozeljno bi bilo koriscenje mail klijenta koji ima mogucnost pregleda
naslova poruka na serveru bez downloada na racunar i njihovim brisanjem
direktno na serveru.
- TheBat!



Kod:
http://www.ritlabs.com/en/products/thebat/

ima ovu mogucnost.
- Email Remover



Kod:
http://eremover.bizhosting.com/
Takodje vrsi pregled mailova na serveru a vi odlucujete sta ce
se preneti na vas racunar. Sve sumnivo pregledate kao tekst
poruku i brisete direktno na serveru.
- U Outlook Expressu koristite opciju "Do not allow atachment ..."
u Tools/Options/Security kako se zlonamerni skriptovi ne bi automatski
startovali i iskljucite "Show Privew pane" u View/Layout opciji.

5. Ne ostavljajte prave podatke kod registracije i vas email kod provajdera
vec koristite web nail adrese kao sto je hotmail ili yahoo mail.



Kod:
http://www.hotmail.com
http://www,mail.yahoo.com
jer time smanjujete mogucnost da primate razne spam poruke koje sadrze
i trojance, wormove ...

6. Anti virus monitor treba da uvek bude aktivan kako bi sistem bio zasticen.
AV nece dozvoliti startovanje programa zarazenog virusom ako je monitor
aktivan.

7. Update AV baze vrsite bar jednom nedeljno jer se novi virusi pojavljuju
svakodnevno i samo AV sa novim bazama moze uspesno zastititi vas sistem

8. Dok ste na internetu koristite neki firewall program (Zone Alarm, McAfee
Personal Firewall, Norton Internet Security ...) koji ce stititi vas sistem
od napada hakera i ostalih upada u sistem.

- ZoneAlarm Pro with Web Filtering



Kod:
http://www.zonelabs.com

On vas takodje stiti i od wormova, trojanaca, i zlonamernih mailova

9. Ukoliko ste ipak zakacili neki virus (monitor nije bio aktivan) a AV ga je
kasnije detektovao, desava se da ga AV ne moze ukloniti ukoliko je novijeg
datuma. Preporuka je da potrazite "remover" bas za taj virus, worm ili
trojanac. Preko pretrazivaca potrazite opis virusa i nacin njegovog brisanja



Kod:
http://www.google.com/search?hl=en&lr=&ie=UTF-8&oe=UTF-8&q=bugbear+remover
Svi veci proizvodjaci AV softvera izbacuju samostalne programcice
za uklanjanje najnovijih vrsta virusa, wormova i trojanaca.
- McAfee AVERT Stinger
je besplatni, samostalni anti virus alat koji uklanja grupe od 30-ak
najnovijih vrsta virusa, wormova, trojanaca ...



Kod:
http://download.nai.com/products/mcafee-avert/stinger.exe

- Panda Remover je besplatni program za uklanjanje najnovijih wormova



Kod:
http://www.pandasoftware.com/download/utilities/
10. Neki virusi pronalaze sigurnosne rupe u windowsu i ubacuju se i nakon
ciscenja ukoliko nemate instalirane sigurnosne zakrpe za Windows (Hotfix).
Zato redovno posecujte sajt Microsofta posle pojave novih virusa i skinite
najnovije zakrpe:


Kod:
http://www.microsoft.com/security/

koje ispravljaju uocene nedostatke i sigurnosne rupe.
Instalirajte SP - service pack za Windows jer on ukljucuje sve sigurnosne
zakrpe koje su izasle u medjuvremenu.


11. Ukoliko je sistem vec zarazen desava se da anti virus nece moci da
ukloni virus iz Windowsa jer je virus vec zarazio anti virus program
ili je virus aktivan u memoriji pa ne dozvoljava start anti virusa ...
U ovom slucaju potrebno je:
- podici sistem sa boot cd-a koji sadrzi anti virus
Hirens boot CD, ERD Commander, Norton System Works ... su neki od
boot CD-ova koji mogu pomoci u uklanjanju virusa
- ukoliko nemate boot cd potrebno je vas hard disk skinuti, zakaciti na
drugi racunar koji nije zarazen i tamo ga ocistiti nekim anti virusom
i vratiti na racunar

12. Na kraju, moze se desiti da je virus toliko ostetio sistemske fajlove,
zamenio boot sektor tako da je jedina varijanta formatiranje diska i
reinstalacija sistema. Pre formatiranja podignite sistem sa startne diskete
i koristite komandu:
FDISK /MBR
kako bi uklonili virus iz boot sektora racunara.

thanx to @frigo
 
ADMINISTRATOR
Učlanjen(a)
10.05.1971
Poruka
54.331
U PDF....




:download:

[raw]<iframe src="https://skydrive.live.com/embed?cid=37BC32D29066020F&resid=37BC32D29066020F!1209&authkey=ACY67K8gZmFybII" width="98" height="120" frameborder="0" scrolling="no"></iframe>[/raw]
 
Član
Učlanjen(a)
22.11.2009
Poruka
6
hvala nisam pokusao jos ali ima smisla.kada budem hteo da raqdim sistem odrade cu ovo,ali ja preporucujem eset nod32 i malwarebytes i mirni ste 100%.Ako vam trebaju linkovi kazite 100% ste sigurni.
 
Natrag
Top