Mit tegyünk?!

A kártékony programok készítői mindig egy lépéssel előrébb járnak, emiatt még egy jó vírusvédelmi szoftver mellett is becsúszhat néha egy fertőzés. Mit tegyünk ilyenkor?

Első körben várjunk pár órát, hátha a víruskeresőnk újabb frissítése már lehetővé teszi a betolakodó kiebrudalását. Ha ez nem jönne össze, próbáljunk meg az interneten körülnézni más gyártók online víruskeresői közt. Jó eséllyel lesz már valahol fegyver a kellemetlen látogató ellen. A programok keresését magazinunk Segélyvonal fórumának Biztonság rovatában (Szoftver -› Biztonság), az Ingyenes biztonsági szoftverek otthonra című topikban érdemes elkezdeni, itt számos díjmentes alkalmazásra lelhetünk. Az ismertebb biztonsági szoftverek fejlesztőinek (AVG, ESET, F-Secure, Kaspersky, McAfee, Panda Software, Sunbelt, Symantec, VirusBuster stb.) honlapját is megnézhetjük, hogy az adott kártevő ellen kínálnak-e azonnali gyorssegélyt. Érdemes még benézni a Biztonságportálra is, amely honlap elsősorban tájékoztatást nyújt arról, hogy hol találhatunk gyógyírt a bajunkra, illetve a tapasztaltabb felhasználók és rendszergazdák kézi eltávolítási metódusokat is olvashatnak.

A modernebb Windowsoknál a telepítő korongon vagy az általunk készített Rendszer-helyreállító lemezen olyan eszközöket is találunk, amikkel egy elindulni képtelen Windows korábbi, jól működő elmentett állapota is visszahozható

Mielőtt bármit mást tennénk, próbáljunk meg a rendszer-visszaállítási szolgáltatás segítségével visszatérni egy korábbi, vélhetőleg fertőzés előtti állapotba. Ha a kártevő megakadályozná, hogy a Rendszer-visszaállítás varázslót a Start menüből elindítsuk, próbáljuk meg direktben megkeresni. A mágus rendes programneve
rstrui.exe, Vista és Windows 7 alatt a Windows System32 mappájában, XP alatt ugyan itt, csak eggyel még beljebb, a restore mappában lakik. Modernebb Windowsok alatt a telepítő DVD-ről vagy a Rendszer-visszaállító lemezről rendszert indítva (bebootolva) is kezdeményezhetjük a rendszert visszaállító funkciót. Ha a fertőzetlen rendszerre való visszaállás sikertelen lenne, akkor inkább töröljünk minden visszaállítási pontot, majd kapcsoljuk ki a teljes rendszer-visszaállítási szolgáltatást a vírusirtás idejére.

Vannak olyan vírusok és férgek, amelyeket nem lehet csak úgy kidobni, ha már elfoglalták gépünket. Egy újabb fajta, egyelőre ismeretlen rootkit segítségével rejtőzködő fertőzést nem fogunk megtalálni a futó, az elrejtőzésben „önként” segítő Windows alól, ráadásul az is megeshet, hogy a váratlan jövevény blokkolja a biztonsági szoftverünket, vagy egyszerűen megakadályozza az internethez való hozzáférését, így hiúsítva meg a frissítések letöltését. Egy furfangos kártevő általában jól ismeri ellenfeleit, ezért szinte minden népszerűbb biztonsági program honlapját le tudja tiltani, hogy ne tudjunk ellenszerhez jutni.

Hogy ez ne történhessen meg, próbáljuk korlátozni a futásában! Erre a klasszikus módszer a Windows csökkentett módban való futtatása. Indítsuk újra gépünket, majd mielőtt még a Windows betöltődne – még a BIOS bejelentkezését látva –, nyomjuk meg az [F8] billentyűt, és tartsuk is lenyomva. A hamarosan megjelenő menüből először válasszuk ki a Csökkentett mód hálózattal lehetőséget.

A már rendszerünkbe költözött kártevők kiirtását jobb csökkentett módban elkezdeni
Csökkentett módban nem töltődnek be az automatikusan indítandó alkalmazások és a Windows szolgáltatásainak nagy része sem fut. Ha szerencsénk van, a kártevő sem indult el, azaz el lehet kezdeni kényelmesen kiirtani megszokott víruskereső programunkkal, vagy a már említett, internetes online keresők egyikével.

Sajnos a mai vírusok gyakran nem egy egyszerű programként futnak, hanem „hozzáláncolják” magukat a Windows egyes komponenseihez. A szolgáltatások nagy részének leállításával lehet, hogy nem tudjuk kilőni a vírust, de azért annyi bizonyos, hogy csökkentettük a rendelkezésére álló lehetőségeket, ezért jobbak az esélyeink a kipenderítésére.

Ha még mindig ragaszkodna gépünkhöz, próbáljuk meg ismét csökkentett módban indítani a rendszerünket, most viszont hálózat nélkül. Ekkor mi sem látjuk az internetet – nem tudunk online keresőt futtatni –, de még jobban le tudjuk korlátozni a betolakodó mozgásterét. A Csökkentett mód parancssorral lehetőséget választva már a Windows Intéző (explorer.exe) sem töltődik be, így annak kéretlen beépülőjeként sem tud a rendszerünkhöz férkőzni a kártevő.

A seregnyi eseti vírusirtó közül csak egy a Kaspersky Virus Removal TOOL
Lássunk most egy példát egy „kézi” víruskereső futtatására! Egy másik, fertőzetlen gépen menjünk fel mondjuk a Kaspersky Virus Removal Tool (KVRT) honlapjára. A letöltés automatikusan elindul, ennek eredménye egy, setup_9.0.0.722_16.04.2010_11-11.exe-szerű névre hallgató program. A név folyamatosan változik – a program naponta többször is frissül –, az elején a keresőmotor verziója, a közepén a kiadási dátum, végén az adatbázis verziója olvasható. Másoljuk fel egy USB-kulcsra, és vigyük át a fertőzött gépre, ahol csökkentett módban telepítsük, majd futtassuk. (Parancssori csökkentett módban a legjobbak az esélyeink, ám ehhez nem árt némi DOS-os ismeret.)

A program kétfajta üzemmódban működik, az Autoscan fülről indítható a szokásos kereső/irtó funkció. Itt jelölhetjük ki a vizsgálandó meghajtókat, a Security level felirat mellett látható Recommended linkre kattintva férhetünk hozzá a heurisztika kapcsolóihoz. Legyünk észnél, túl erős szintre lépve még egy tiszta rendszerben is gyanús dolgok fognak előkerülni!

A másik, Manual Disinfection nevű fül a szakembereknek szól. Itt először egy rendszerfelmérés készül, az ennek eredményeként született, tömörített naplóállományt aztán (egy másik, fertőzetlen gépről) fel kell tölteni a Kaspersky fórumára, angolul írjuk le, hogy mi történt a gépünkkel, mire gyanakszunk, majd pár nap múlva, a válaszként kapott szkriptet töltsük vissza a fertőzött gépen futó KVRT-be és futtassuk.