Odhalte sami viry, které antivirové programy přehlídly

Ačkoliv antiviry a speciální čističe dokážou odhalit spoustu infekcí v systému, někdy selhávají. Na řadu pak přichází „ruční“ vyhledání škodlivého softwaru a jeho následné odstranění.

Důvodem selhání může být jednak to, že malwarová nákaza, kterou jste chytili, ještě není v identifikačních definicích vašeho antivirového či antispyware softwaru, ale také se často stává, že infekce vaši ochranu zablokuje či se před ní schová. Proto je pak nutné, máte-li podezření, že se vaše Windows něčím nakazily (jsou pomalejší než předtím, nefunguje vám Windows Update, Internet Explorer vás nepustí na vámi zadané stránky, ale přesměrovává vás na vám neznámé weby, ukazují se vám podivná varovná systémová hlášení v angličtině, byť vaše Windows jsou české, atp.), provést sofistikovanější kontrolu, která si sice žádá více akcí od uživatele než zautomatizovaný antivirus, ale která vám často vytáhne trn z paty.

Domníváte-li se tedy, že váš systém byl něčím nakažen, proveďte nejprve antivirovou kontrolu přítomným antivirem (nejlépe ještě před úplným startem Windows ― zabráníte tím uzamčení infekce, jež poté nejde odstranit; bezplatným antivirem, který tohle dokáže, je český Avast). Mimoto není od věci stáhnout i „odvirovací čističe“ (ty se můžou hodit v případě, že váš antivirus je zablokovaný infekcí) různých antivirových společností a také už proslulé pomocníky, jako je SpyBot Search & Destroy či Spyware Terminator. Oba jsou zdarma a hlavně umějí česky. Samozřejmě můžete použít i Nástroj pro odstranění škodlivého softwaru, který je už ve Windows; přesněji je v C:WINDOWSsystem32 (jako soubor mrt.exe). Nezaberou-li tyto profláknuté metody, musíte zkusit vlastní analytické schopnosti. Zdroje nákazy však často nejdou smazat jen tak ― jsou systémově uzamčené. Pokud zabráníte jejich automatickému spuštění při startu Windows, můžete je i následně smazat. Pro ruční odstraňování infekcí je vhodné přejít i do nouzového režimu Windows ― ten vám rovněž dovolí se soubory nakládat dle libosti.

Vynikající programy z dílny Sysinternals

Abychom se drželi v rovině kvalitních produktů pro analýzu spuštěných procesů, produktů, které jsou stále zdarma, zmiňme úžasné nástroje známé jako Windows Sysinternals. Balík spousty šikovných utilitek vám otevře okna do světa nastavení Windows a vy budete moci provádět akce, o kterých se vám ani nesnilo.

Sluší se poznamenat, že aplikace Sysinternals od roku 1996 vyvíjeli dva programátoři Mark Russinovich a Bryce Cogswell pod značkou Winternals Software LP. V roce 2006 však jejich firmu pohltil Microsoft, takže všechny vyvíjené programy patří už Microsoftu. Nicméně jsou stále zdarma a stále lepší a lepší.

Pro naše účely ― hledání a odstranění škodlivého softwaru ― nám postačí čtyři programy: Autoruns, Process Explorer, Process Monitor a RootkitRevealer. Process Explorer a Monitor, jak názvy napovídají, nám ukážou probíhající dění v systému: Explorer ukazuje spuštěné procesy nebo také to, jaké DLL knihovny jsou v souvislosti s procesem načteny. Obě informace se dají využít k identifikaci nákazy, třebaže pro začátečníka je tohle těžký úkol ― proto je v menu procesu (vyvolané pravým tlačítkem myši) položka Search online ― jméno procesu bude vyhledáno na webu, čímž jej můžeme identifikovat a následovně „odstřelit“ (kill). Proces Explorer ukazuje i podrobnou cestu běžícího procesu, což je další vodítko v určování malwarové nákazy. (Uvidíte-li třeba ― plácnu ― proces tvářící se jako Explorer, ale přitom proces explorer.exe běží třeba v nějaké složce Program FilesCool Player, můžete si být skoro jisti, že tento explorer.exe vaším kamarádem nebude.)

Process Explorer ― detailní informace o jednotlivých procesech a možnost vyhledat popis procesu na webu.

Podobným nástrojem je Process Monitor, který ukazuje i dění v registrech ― pochopení toho, co v programu vidíte, si však žádá určitých znalostí. Přesto je možné díky tomuto nástroji zjistit, co je kde špatně.

Výborným pomocníkem je pak uvedený Autoruns. Obsahuje i pro nás důležité funkce výše zmíněných programů, ale zároveň skýtá neskutečně moc možností, co s Windows dělat. Namátkou jmenujme: můžete zakázat/povolit, jaké aplikace se budou spouštět souběžně s Windows, jaké služby budou aktivní, jaké ovladače se mohou načítat a spousty dalšího. Pro nás je hlavně důležité to, že vidíme, co se spouští souběžně s Windows a co je „nalepeno“ na Explorer. Jakmile zamezíme spuštění nákazy při startu Windows, budeme s to ji ručně nebo nástrojově smazat. Autoruns i Process Monitor obsahují stejně jako Process Explorer funkci hledání online.

Poslední zmíněný nástroj, RootkitRevealer, už podle názvu dělá jednu užitečnou věc: odhaluje přítomnost rootkitů v systému Windows. Pod pojmem rootkit se rozumí malé programy a sofistikované techniky, kterými jsou malwarové nákazy skryty před odhaleními. Obyčejné antiviry pak virus, trojan či jiného záškodníka nejsou s to odhalit. Typů rootkitu je více a právě RootkitRevealer je vám pomůže najít. Jakmile odstraníte rootkit, můžete odstranit i k němu přidruženou infekci. (Pamatujte, že v žádném případě ne vše, co tento program ukáže na konci skenování, je nebezpečný rootkit! Pokud výstupu nerozumíte, poraďte se s někým zkušenějším.)

Co se spouští souběžně s Windows. Jakmile najdete mezi automaticky spouštěnými procesy malwarovou nákazu, zabraňte ji, aby se s Windows příště spustila. Tak ji budete moci smazat (i ručně), protože nebude systémově uzamčená.

HijackThis

Velice populárním programem, který se používá nejen na odhalování malwaru (speciálně spywaru třídy hijackers), je HijackThis. Opět jde o bezplatnou aplikaci, navíc malou a snadno ovladatelnou. Ačkoliv je v angličtině, jeho ovládání není nikterak složité ― dá se snadno zvládnout se slovníkem.

Program se nemusí instalovat tak, jak to obyčejně znáte, stačí soubor HijackThis.exe uložit do libovolné složky (ale vlastní, kde bude jen on) a spustit. Po odsouhlasení smlouvy se vám ukáže hlavní menu aplikace ― zde je vhodné kliknout na Do a system scan and save a logfile, čímž se provede nejen rychlá kontrola důležitých oblastí, ale zároveň se otevře a uloží textový soubor, v němž bude uveden výstup výsledků. Nevíte-li, co jednotlivé položky znamenají, pak vám pomůže právě výsledný „log“ kontroly. Ten totiž můžete umístit nejen do diskusních fór, kde vám jej zanalyzují letmým pohledem zkušenější uživatelé, ale můžete jej odeslat i na automatickou on-line kontrolu. Na webových stránkách jako www.hijackthis.cz či www.hijackthis.de/cz se vám po odeslání textového výstupu ihned objeví, které položky jsou podezřelé či přímo vadné a které bezpečné. Pamatujte, že v tomto případě není výsledek analýzy stoprocentní a měli byste položky v seznamu, které neznáte, hledat přes internetový vyhledávač. Tak se o nich dozvíte to podstatné.

Po nalezení závadných položek se vrátíte do okna programu, v němž jsou výsledky prohlídky, zaškrtnete odpovídající políčka položek k odstranění a zvolíte tlačítko Fix checked, čímž se odstraní. HijackThis raději dělá zálohy, takže jestliže byste smazali něco, co jste mazat neměli, můžete svou chybu napravit. (V hlavním menu je View the list of backups, což je seznam záloh, ty pak jedním kliknutím ― Restore ― obnovíte).

Hijackthis byl od původního vývojáře odkoupen společností Trend Micro ― stáhnout si jej můžete ze stránek firmy.

(pokračování příště)

Související článek: Co dělat při nakažení počítače virem a jinou havětí?

26. 9. 2008

Autor: Oldřich Klimánek