Vse co chcete!!!

Rozdělení havěti je v dnešní době opravdu komplikované. Možná, že následující dělení je momentálně nejrozumnější, resp. nejrozumnější pro kapitolu likvidace. Lze tedy říci, že existuje havěť, kterou odstraníme:

• smazáním infikovaného souboru,
• vyléčením infikovaného souboru.

Pokud budeme slovíčkařit, pak nelze pravděpodobně v prvním případě zcela otevřeně hovořit o "infikovaném souboru X" ve smyslu "napadený soubor X". V tomto případě totiž platí, že soubor X = havěť. Tj. že celý soubor X je dílem havěti a že nikdy předtím nevykonával nic užitečného a nepatřil žádné aplikaci, která se již v minulosti nacházela na PC uživatele. Havěť ho prostě přitáhla s sebou.

Co je virus a jak se liší od trojských koní asi nemá smysl rozebírat (toto je otázkou pro Knihu o virech), protože to není pro tento článek důležité.

Následuje tedy praktický přehled slov, popř. slovních spojení, která se mohou vyskytnout při ohlášení infekce antivirovým systémem a odpovídají výše uvedenému dělení:

• virus - tato havěť infikuje nejčastěji existující - spustitelné soubory na pevném disku. To se děje tak, že se k nim "tělo viru" připojí (obvykle na jejich konec) a při spuštění infikovaného souboru dojde nejprve k aktivaci viru (ten vykoná další činnost) a následně je činnost předána původnímu programu. Původní program v infikovaném souboru tak není poškozen a lze ho vyléčit, tj. "vykousnout" tělo viru a vrátit soubor do původního stavu před infekcí. Je však potřeba připomenout, že ve většině případů nemusí být vyléčený soubor zcela identificky se stavem před jeho infekcí. Některé programy (typicky Total Commander) provádějí vlastní kontrolu a jakoukoliv změnu mohou ohlašovat jako chybu i když to nemá žádný vliv na funkčnost. Pokud se tedy nabízí možnost obnovit infikované soubory ze zálohy, jde určitě o lepší variantu než používat vyléčenou podobu souborů.

• Následující havěť má jedno společné: léčení = smazání "infikovaného" souboru.
  • trojan - obecný pojem. V minulosti se takto označovaly škodlivé programy, které se vydávaly za jiný - neškodný.
  • backdoor - škodlivý kód, který umožňuje převzít vzdáleně (např. přes Internet) kontrolu nad takto infikovaným PC.
  • downloader - škodlivý kód, který z Internetu stahuje další havěť.
  • dropper - škodlivý kód, který ve svých "útrobách" přenáší další škodlivou havěť a tuto po spuštění vypouští do PC.
  • worm, červ - každý tímto pojmem označuje něco jiné. V dnešní době se obvykle pojmem "červ" označuje havěť, která se šíří ve formě síťových paketů (jako slavný červ Lovsan/Blaster).
  • adware - aplikace, která má obvykle za následek to, že vyskakují reklamní okna během práce i surfování a nervy uživatele tak dostávají na frak.
  • spyware - špionážní software. Může odcizovat data z PC uživatele. Většinou se na něj váže další havěť.
  • dialer - aplikace, která se postará o to, že připojení k Internetu se v případě vytáčeného dial-up připojení několikanásobně prodraží. Je to dáno tím, že modem se připojuje přes tzv. "žluté linky", které jsou telefonními operátory draze účtovány (např. 60 Kč / 1 minuta), popř. jde o čísla, patřící někomu na druhé straně zeměkoule. Známe z televize - kauza Český Telecom vs nadávající zákazníci ("z ničeho nic mi od ČT přišla faktura na 30 tisíc Kč").

Jak na havěť?

Kdy soubor smazat a kdy léčit již víme. Nevíme ale, kdy je k tomu nejlepší příležitost. Tím je nouzový režim Windows:

Během startu PC, jakmile se zobrazí velká tabulka s údaji o PC (procesor, paměť, disky...), stiskněte klávesu F8 (můžete i několikrát). Z nabídky, která se zobrazí, vyberte volbu "Nouzový režim Windows", popř. "Stav nouze". V tomto režimu budou zavedeny do paměti jen základní části Windows, takže je pravděpodobné, že havěť bude v tomto režimu "mrtvá" a nebude nijak komplikovat proces léčení - mazání.

Existenci nouzového režimu si v poslední době uvědomuje i samotná havěť. Některé exempláře havěti tak během infekce počítače provedou takovou změnu ve Windows, která vede k nemožnosti spoustit nouzový režim!

Nejčastější problémy

Havěť se stále po restartu odněkud vrací:

• Pokud je PC ve firemní síti (LAN), zkontrolujte, zda síťově nesdílíte celý pevný disk, popřípadě systémové adresáře (celý adresář Documents and Settings, Windows...). Taková síťová sdílení zakažte. Některá havěť se dokáže šířit z jiných infikovaných PC právě přes tato sdílení.
• Zároveň je vhodné zkontrolovat, zda uživatel "Administrator" má nastaveno heslo a pokud nemá, nastavit ho. Ideálně nějaké rozumné a nikoliv "profláknuté" jako "abc" nebo "123". Tato a další hesla totiž znají i některé potvory. " Vypněte funkci Obnova systému (viz. níže). Odtud může systém automaticky obnovovat soubory - bohužel i v infikované podobě.
• V počítači se může nacházet další infikovaný objekt (nejčastěji soubor), který antivirus nedokáže detekovat a právě tento vrací známou část infekce (např. opakovaným stahováním z Internetu). V tomto případě lze doporučit kapitolu likvidace v části spyware.

Infikovaný soubor nelze odstranit:

• Infikovaný soubor je v archivu RAR, ZIP, CAB... - vnořený objekt
  Řada antivirů nedokáže léčit/mazat soubory v archivech). Infikovaný soubor v archivu je nutno ručně odmazat pomocí archivačního programu (WinRAR, WinZIP apod.), popřípadě smazat celý archiv. Typickým případem je havěť v adresáři Internet Temporary Files. Zrovna v tomto případě ji lze vypudit zapnutím Internet Exploreru a volbou " Odstranit soubory " v menu Nástroje / Možnosti Internetu.
• Infikovaný soubor je "v držení" viru
  V tomto případě doporučuji zkusit nastartovat Windows v tzv. nouzovém režimu Windows. Během startu PC, jakmile se zobrazí velká tabulka s údaji o PC (procesor, paměť, disky...), stiskněte klávesu F8 (můžete i několikrát). Z nabídky, která se zobrazí, vyberte volbu "Nouzový režim Windows", popř. "Stav nouze". Z tohoto režimu opět spusťte antivirovou kontrolu pevného disku a infikované soubory dle potřeby odmažte / dejte vyléčit. Pod systémy NT (Win NT4, 2000, XP, 2003) lze eventuálně zkusit daný proces havěti "odstřelit" pomocí kláves CTRL-ALT-DEL v záložce Procesy. Pokud si pamatujete cestu k infikovanému souboru, můžete ho odstranit i ručně - např. přes ikonu TENTO POČITAČ (nezapomeňte v menu Nástroje / Možnosti Složky / záložka Zobrazení povolit zobrazení skrytých adresářů a souborů). Pokud nelze soubor smazat ani v nouzovém režimu, pak lze zkusit soubor nejprve přejmenovat a následně ho smazat (např. SOUBOR.DLL na SOUBOR.OLD). K tomu lze použít například "Průzkumníka", popř. správce souborů jako Total Commander nebo Servant Salamander (nezapomenout opět povolit zobrazení skrytých souborů / adresářů). Alternativním řešením je nabídka START / Spustit a aplikace následujících příkazů:
  attrib -H -R C:\cesta_k_infikovanému_soubor\soubor.exe A následně: ren C:\cesta_k_infikovanému_souboru\soubor.exe soubor.old Později je vhodné soubor.old vymazat.
  TIP: pokud se nechcete s havětí mazlit, zkuste program KillBox ( více zde ), který libovolný soubor zlikviduje bez ohledu na to, zda je vázán na běžící proces nebo nikoliv. V praxi se možná lépe osvědčil program The Avenger ( více zde ), avšak vyžaduje delší přípravu.
• Infikovaný soubor je v adresáři System Volume Information nebo _RESTORE
  Vypněte funkci Obnova systému. Jakmile bude vypnuta, nebude již infekce z tohoto adresáře hlášena.
  Postup pro Windows ME:
  • Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER) a zvolte z nabídky VLASTNOSTI (PROPERTIES).
  • Přepněte se do záložky VÝKON (PERFORMANCE) a stiskněte tlačítko SOUBOROVÝ SYSTÉM (FILE SYSTEM).
  • Zde se přesuňte na záložku PŘI POTÍŽÍCH (TROUBLESHOOTING) a zaškrtněte poslední volbu - ZAKÁZAT OBNOVU SYSTÉMU (DISABLE SYSTEM RESTORE).
  • Vše potvrďte tlačítkem OK, Windows se restartuje.
  Postup pro Windows XP:
  • Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte záložku OBNOVENÍ SYSTÉMU (SYSTEM RESTORE).
  • Zatrhněte volbu VYPNOUT NÁSTROJ OBNOVENÍ SYSTÉMU NA VŠECH JEDNOTKÁCH.
  • Potvrďte, Windows provede restart.
• Přesto všechno je problém infikovaný soubor odstranit
  

  Rovnou použijte aplikaci The Avenger ( více zde ) nebo KillBox ( více zde ). Navíc je možné, v PC zůstavá nějaká další skrytá havěť, která se stará o "oživování mrtvol". Doporučejeme nechat nahlédnout odborníka do protokolu získaného aplikací HijackThis ( více zde ) a pak se teprve pustit do vraždění.