Hlavní navigace

Havěť a její likvidace v praxi

15. 2. 2005

Sdílet

S jakou havětí se může uživatel v počítači setkat? Rozdělení havěti je dnes opravdu komplikované. Možná, že následující dělení je v tuto chvíli nejrozumnější, resp. nejrozumnější z hlediska likvidace. Lze tedy říci, že existuje havěť, kterou odstraníme: • smazáním infikovaného souboru, • vyléčením infikovaného souboru.

S jakou havětí se může uživatel v počítači setkat? Rozdělení havěti je dnes opravdu komplikované. Možná, že následující dělení je v tuto chvíli nejrozumnější, resp. nejrozumnější z hlediska likvidace. Lze tedy říci, že existuje havěť, kterou odstraníme:

• smazáním infikovaného souboru,

• vyléčením infikovaného souboru.

Pokud si budeme hrát se slovíčky, pak pravděpodobně v prvním případě nelze zcela otevřeně hovořit o infikovaném souboru X ve smyslu "napadený soubor X". V tomto případě totiž platí, že soubor X = havěť. Tedy celý soubor X je dílem havěti a nikdy předtím nevykonával nic užitečného, nepatřil žádné aplikaci, která se již v minulosti nacházela na PC uživatele. Havěť ho prostě přitáhla s sebou. Co je pak virus a jak se liší od trojských koní asi nemá smysl rozebírat, protože je to pro tento článek nepodstatné.

Uvedeme si ale praktický přehled slov, popř. slovních spojení, která se mohou vyskytnout při ohlášení infekce antivirovým systémem a odpovídají výše uvedenému dělení:

• Virus: tato havěť infikuje nejčastěji existující spustitelné soubory na pevném disku. To se děje tak, že se k nim "tělo viru" připojí (obvykle na jejich konec) a při spuštění infikovaného souboru dojde nejprve k aktivaci viru (ten vykoná další činnost) a následně je činnost předána původnímu programu. Původní program v infikovaném souboru tak není poškozen a lze ho vyléčit, tedy odstranit tělo viru a vrátit soubor do původního stavu před infekcí.

Následující havěť má jedno společné: léčení = smazání "infikovaného" souboru.

• Trojan: obecný pojem. V minulosti se takto označovaly škodlivé programy, které se vydávali za jiný, neškodný.

• Backdoor: škodlivý kód, který umožňuje převzít vzdáleně (např. přes internet) kontrolu nad takto infikovaným PC.

• Downloader: škodlivý kód, který z internetu stahuje další havěť.

• Dropper: škodlivý kód, který ve svých útrobách přenáší další škodlivou havěť a tuto po spuštění vypouští do PC.

• Worm (červ): každý tímto pojmem označuje něco jiného. V dnešní době se obvykle pojmem "červ" označuje havěť, která se šíří ve formě síťových paketů (jako slavný červ Lovsan/Blaster).

• Adware: aplikace, která má obvykle za následek vyskakování reklamních oken během práce i surfování - nervy uživatele tak dostávají zabrat.

• Spyware: špionážní software. Může odcizovat data z PC uživatele. Většinou se na něj váže další havěť.

• Dialer: aplikace, která se postará o to, že připojení k internetu se v případě vytáčeného dial-up připojení několikanásobně prodraží. Je to dáno tím, že modem se připojuje přes tzv. "žluté linky", které jsou telefonními operátory draze účtovány (např. 60 Kč/minutu), popř. jde o čísla, patřící někomu na druhé straně zeměkoule. Známe z televize: kauzy Český Telecom versus nadávající zákazníci ("z ničeho nic mi od ČT přišla faktura na 30 tisíc Kč").





Jak na havěť?

Kdy soubor smazat a kdy ho léčit již víme. Nevíme ale, kdy je k tomu nejvhodnější okamžik. Tím je nouzový režim Windows. Během startu PC, jakmile se zobrazí velká tabulka s údaji o PC (procesor, paměť, disky...) stiskněte klávesu F8 (můžete i několikrát). Z nabídky, která se zobrazí, vyberte volbu Nouzový režim Windows, popř. Stav nouze. V tomto režimu budou zavedeny do paměti jen základní součásti Windows, takže je pravděpodobné, že havěť bude v tomto režimu "mrtvá" a nebude nijak komplikovat proces léčení (mazání).



Nejčastější problémy

Havěť se stále po restartu odněkud vrací

• Pokud je PC ve firemní síti (LAN), zkontrolujte, zda síťově nesdílíte celý pevný disk, popřípadě systémové adresáře (celý adresář Documents and Settings, Windows...). Taková síťová sdílení zakažte. Některá havěť se dokáže šířit z jiných infikovaných PC právě přes tato sdílení.

Zároveň je vhodné zkontrolovat, zda uživatel Administrator má nastavené heslo a pokud nemá, tak ho nastavit. Ideálně nějaké rozumné heslo, nikoliv nějaké "profláknuté" jako "abc" nebo "123". Tato a další hesla totiž znají i některé škodlivé kódy. Vypněte funkci Obnova systému (viz níže). Odtud může systém automaticky obnovovat soubory - bohužel i v infikované podobě.



Infikovaný soubor nelze odstranit

• Infikovaný soubor je v archivu RAR, ZIP, CAB...: řada antivirů nedokáže léčit/mazat soubory v archivech. Infikovaný soubor v archivu je nutné ručně odstranit pomocí archivačního programu (WinRAR, WinZIP apod.), popřípadě smazat celý archiv. Typickým případem je havěť v adresáři Internet Temporary Files. Zrovna v tomto případě ji lze vypudit spuštěním Internet Exploreru a volbou Odstranit soubory v menu Nástroje/Možnosti Internetu.

• Infikovaný soubor je "v držení" viru: v tomto případě doporučuji zkusit spustit Windows v tzv. nouzovém režimu. Jak bylo uvedeno výše, při spuštění počítače stiskněte klávesu F8 (můžete i několikrát za sebou). Z nabídky, která se zobrazí, vyberte volbu Nouzový režim Windows, popř. Stav nouze. Z tohoto režimu opět spusťte antivirovou kontrolu pevného disku a infikované soubory podle potřeby smažte/dejte vyléčit. V systémech NT (Windows NT4, 2000, XP, 2003) lze zkusit daný proces havěti vypnout pomocí kombinace kláves CTRL+ALT+DEL v záložce Procesy. Pokud si pamatujete cestu k infikovanému souboru, můžete ho odstranit i ručně, například přes ikonu Tento počitač (nezapomeňte v menu Nástroje/Možnosti složky na záložce Zobrazení povolit zobrazení skrytých adresářů a souborů). Pokud nelze soubor smazat ani v nou-
zovém režimu, pak jej zkuste nejprve přejmenovat a následně ho smazat (např. SOUBOR.DLL na SOUBOR.OLD). K tomu lze použít například Průzkumníka, popřípadě správce souborů jako Total Commander nebo Servant Salamander (nezapomeňte opět povolit zobrazení skrytých souborů/adresářů). Alternativní řešení představuje nabídka Start/Spustit a aplikace následujících příkazů: attrib -H -R C:cesta_k_infikované-mu_souborusoubor.exe, následně pak: ren C:cesta_k_infikovanému_souborusoubor.exe soubor.old. Později je vhodné SOUBOR.OLD vymazat.

• Infikovaný soubor je v adresáři System Volume Information nebo _RESTORE: vypněte funkci Obnova systému. Jakmile bude vy-pnuta, nebude již infekce z tohoto adresáře hlášena.



Postup pro Windows ME

• Klikněte pravým tlačítkem myši na ikonu Tento počítač (My Computer) a zvolte z nabídky položku Vlastnosti (Properties).

• Přejděte do záložky Výkon (Performance) a stiskněte tlačítko Souborový systém (File System).

• Zde se přesuňte na záložku Při potížích (Troubleshooting), zaškrtněte poslední volbu: Zakázat obnovu systému (Disable System Restore).

• Vše potvrďte tlačítkem OK. Windows se restartují.



Postup pro Windows XP

• Klikněte pravým tlačítkem myši na ikonu Tento počítač (My Computer).

• Zvolte Vlastnosti (Properties) a vyhledejte záložku Obnovení systému (System Restore).

• Zatrhněte volbu Vypnout nástroj obnovení systému na všech jednotkách.

• Potvrďte, Windows provedou restart.

Autor článku