Kaip aš su virusais kariavau

Green Throat Sweets
Creative Commons License nuotraukos autorius: incurable_hippie

Dabar, kai ant mūšio lauko baigia nusėsti dulkės, trumpai papasakosiu, kaip aš kariavau su virusais darbiniame kompiuteryje, kuriame net administratoriaus teisių neturiu. Trumpai primenu visą istoriją tiems, kas ją praleido: užkrėčiau sistemą per Flash atmintinę, Symantec antivirusinas virusų nesulaikė. Pajutau ne iš karto – bet ilgainiui klaikiai sulėtėjo internetas, padidėjo atminties ir procesoriaus apkrovos (turiu KlipFolio ir stebiu nuolat), naršyklėje (Firefox) buvo pagrobti adresai, reklamos tinklalapiuose pakeičiamos visokiomis šlykštynėmis. Kitaip tariant – visi klasikiniai užkrėtimo požymiai.

Bandyti įrankiai, kurie nepadėjo:

Kai kurie iš išvardintų yra santykinai nekalti dėl nesėkmės. Kaspersky ir Panda atrado aibę problemų, bet kadangi nemokamai nebegydo, tai pridėjau prie nepadėjusių, nes jokios iš jų naudos – kad turiu virusų, ir taip žinojau.

Kas padėjo:

Apie a-squared nieko nežinojau prieš bandydamas, bet dėl ankstesnių priemonių nesėkmių, nutariau bandyti visus FileHippo rastus įrankius iš eilės pagal abėcėlę. Pasisekė su pačiu pirmuoju. a-squared išrankiojo ir sunaikino visus virusų failus, išskyrus vieną – DLL, per kurį buvo paleistos visos Windows programos, įskaitant ir pačią a-squared. Beje, tai labai dažnas virusų savigynos būdas – paleisti visas programas per savo DLL. Taip paleisti antivirusinai ir antišinipinėjimo programos nesugeba kovoti „pačios su savimi“.

Išvalęs visą kitą mėšlą su a-squared, paleidau Process Explorer ir įsitikinau, kad iš tikrųjų visos programos yra priklausomos nuo vieno DLL failo. Ištrinti jo negaliu, nes jo įsikibusios laikosi visos Windows programos. Tuomet parsisiunčiau Unlocker ir „atkabinau“ jas nuo virusinio DLL. Gavau tuziną pranešimų apie klaidas, kai kurios programos lūžo, bet DLL pavyko atkabinti. Tuomet paprasčiausiai jį ištryniau (apeidamas šiukšliadėžę). Beliko dar kartą paleisti a-squared, atnaujinti Symantec AntiVirus, su Autoruns patikrinti, kad jokie nepažįstami failai nebūtų leidžiami sistemos startavimo metu, ir atgaivinti Windows Defender, kurią virusas buvo visiškai pargriovęs.

Taigi išsigydyti galima ir be jokio rimto antivirusino, nors niekam nelinkiu, kad iki to sistema prieitų. Svarbiausia turėti gerą procesų stebėjimo programą, su kuria rastumėte „nelegalius“ DLL ir EXE, Unlocker jiems atkabinti nuo kitų programų ir patikimai veikiantį Delete klavišą klaviatūroje. :)

This entry was posted in patarimai, programos and tagged , , , , . Bookmark the permalink. Both comments and trackbacks are currently closed.

33 Comments

  1. Posted 2008.5.28 at 11:59 | Permalink

    Paprastam vartotojui baisokai gali atrodyti, kad šitiek pastangų reikia įdėti ir tiek žinių reikia turėti, norint sunaikinti eilinį virusą. Ir tuo labiau, kad iki šiol laikytos patikimomis antivirusinės programos niekuo negali pagelbėti.

  2. Posted 2008.5.28 at 12:58 | Permalink

    Tuomet parsisiunčiau Unlocker ir „atkabinau“ jas nuo virusinio DLL. Gavau tuziną pranešimų apie klaidas, kai kurios programos lūžo, bet DLL pavyko atkabinti. << Patiko šitie du. Vos ne kraujo praliejimas :DDD

    Taigi, va ir išlindo AVG nepatikimumas.

  3. Rytis
    Posted 2008.5.28 at 13:02 | Permalink

    Įsirašykit linux (pvz. Ubuntu). Nebereiks vargti su visokiais virusais ir kitomis MS nesąmonėmis.

  4. Hoola boola
    Posted 2008.5.28 at 13:35 | Permalink

    Is tikruju jokia anivirusine negali susitvarkyt. Apie nortona nesneku, ne lygis, Kaspersky irgi ne etalonas. Syki dll pavyko isvalyti su hijackthis pamacius, kad pasileidzia is temporalu. Tada atsitiktines atrankos budu ussikrioviau Save mode Command propt only ir klizmavau su „del blbla~1.dll“ net nustebau kad taip lengvai issivale :D o pries tai vargau ir su virtualiais virusu prikurtais tinklo irenginiais, ir su spybotu belekiek, avast, avg antirootikt, etcetera. Beje, windows vistoj su UAC. Gerai, kad ne mano kompe :))

  5. Jonas
    Posted 2008.5.28 at 13:45 | Permalink

    Jeigu žmonės tik internete naršytų ir paprastus laiškus rašytų Linux būtų galima įsirašyti. Pats žinai, kodėl žmonės nesirašo.
    .
    Įsirašykit linux (pvz. Ubuntu). Nebereiks vargti su visokiais virusais ir kitomis MS nesąmonėmis.

  6. Posted 2008.5.28 at 13:59 | Permalink

    Geriausias lietuviškas sprendimas format c: :D dažniausiai laiko sutaupo, nei tie visi antivirusų diegimai ir žaidimai, o galiausiai vistiek apgraužtos windows bylos lieka…

    pasidarai windows install’ą su Service pack naujausiu, driveriais ir programomos, 15min ir tie XP per naujo įdiegti, turi pagrindines programas, o kitas dar valandą užtrunka prisidiegti, bet efektas 10 kart geresnis ir kompas bendrai paspartėja belenkiek. :)

  7. vienastoks
    Posted 2008.5.28 at 14:07 | Permalink

    @Rytis:

    Aha, prašiau. Administratoriai nelabai nori diegti ir prižiūrėti kelias skirtingas OS. Bet matysim, gal ir pakeis.

  8. vienastoks
    Posted 2008.5.28 at 14:09 | Permalink

    @Original’o BLOG’as:

    Tu tekstų neskaitai prieš komentuodamas. :( Kompiuteris darbinis – namie aš randu, kaip greitai susitvarkyti. Dar daugiau – ten ir problemų nekyla, apsisaugau.

    Būk žmogus, rašyk atidžiau. Smagu, kad apie viską turi savo nepajudinamą nuomonę, bet atsižvelk ir į kitų, nes po truputėlį į spamą viskas tampa panašu.

  9. nbmn
    Posted 2008.5.28 at 14:50 | Permalink
  10. Zheka
    Posted 2008.5.28 at 14:55 | Permalink

    na windowsu perrasymas pvz man nelabai padeda,jau 3 kart perinstaliavau dienos begyje,o simptomai panasus,reiks pamegint pasiulyta recepta su auksciau isdestytom priemonem.kai pasileidzia windowsai viskas ok,pas kui 15 min laikotarpyje taip viskas suleteja…muzika paleidi,strigineja garsas,procas nerodo jokios apkrovos,o pele vos juda,cpu tik 10-30% o kompas lyg butu mirtinai apkrautas programomis,o 2gb ram…1.83 intel duo.

  11. Nejaugi
    Posted 2008.5.28 at 15:18 | Permalink

    Aš tai dar kažkur skaičiau, kad kai kurie antivirusinių kūrėjai jau pripažįsta, jog antivirusinių kova su virusais yra beviltiška, nes šios nespėja taip sparčiai tobulėti, kaip kad yra atnaujinami virusai.

    Taigi, metam antivirusines lauk? :)

  12. Karolis
    Posted 2008.5.28 at 15:43 | Permalink

    O tai už ką administratoriams jūsų darbe moka?

  13. vienastoks
    Posted 2008.5.28 at 15:45 | Permalink

    @Karolis:

    Nežinau. :) Manau, kad jie paliko mane pačiam sau, nes nusprendė, kad aš gerai išmanau kompiuterius. Yra daug žmonių, kuriems labiau pagalbos reikia.

  14. Posted 2008.5.28 at 15:47 | Permalink

    format c labiausiai gelbsti ir nuo administravimo draudimų. :)) ne aklas, matau, kad darbe, bet tai kodėl tada pačiam išvis reikia kažką tvarkyti? Juk čia admino darbas, pirmiausiai sutvarkyti taip, kad išvis užkrėst neitų..

    Tarkim univere dar daugiau žmonių per tuos kompus praeina, aš žinau, kad net mano flash’e yra virusas, bet iki tiek viskas ten apribota ir automatizuota, kad net jei užkrėsi, rytoj vėl viskas nauja bus.. :)

  15. Marius
    Posted 2008.5.28 at 15:52 | Permalink

    > vienastoks: jei jau paliko pačiam sau, kodėl administratoriaus teisių nesuteikia, jei patys tingi / neturi laiko kompo sutvarkyt?
    nors čia galbūt daugiau retorinis klausimas :)

    > Zheka: gal tu darai upgrade, o ne format C? gal instaliacinis kompaktas nelabai panašus į originalų, su visokiais priedais ir paturbinimais? O gal problema – ne OS, o gendančioje geležyje ar tiesiog kompas prisivalgė dulkių?

  16. Hoola boola
    Posted 2008.5.28 at 16:31 | Permalink

    >Zheka
    10-30 proc svieziuose windausuose jau apkrovimas nesveikas. Net maniskis po metu neinstalinimo vos iki 5 proc tepasoka ramybes busenoj. Pirmiausia, kas sauna, tai kad per tas 15 minuciu isirasai kazkokia megstama programa su taip vadinama crapware bonusu :) pvz daemon tools su search bar priedu. Antivirusine keisk i kokia spartesne avast ar bent jau avg. VGA driveriai standartiniai Microsoftiniai, IDE irenginiai veikia PIO rezime, reik uninstalint visus Ide driverius ir perkraut PeCe. Kas dar, gal pas tave Vista? :)

  17. Zheka
    Posted 2008.5.28 at 16:37 | Permalink

    xp +sp2,originalus cd,laptopas,nzn is kur dulkiu?,antivirusine ir buvo avg,dbr avast isimeciau,nes avg8.0versija isvis isvede is rikiuotes kompa.daemon nera instaliuota.idomu kodel dell L820 metu neturinciam kompui turetu pareidinet gelezis?:O kai ka instaliuoju,neinstaliuoju jokiu papildomu toolbaru ar dar ko.

  18. Zheka
    Posted 2008.5.28 at 16:38 | Permalink

    p.s. darau format,fresh copy of windows.ne repaire,ne upgrade.

  19. Marius
    Posted 2008.5.28 at 16:44 | Permalink

    Zheka> tada tai jau išvis keista… įsitikinęs, kad tvarkyklės įdiegtos visos, kurių reikia, nėr šauktukų Device Manager’yje? (tokia mintis atsirado perskaičius apie stringantį garsą).
    Pamėgink patestuoti RAM’ą – gal ten bėdų yra?

  20. saulius
    Posted 2008.5.28 at 17:02 | Permalink

    visus kompe atsiradusius virusus del antivirusu neefektyvumo dazniausiai trinu tokiu budu:
    1) regedit
    2) msconfig
    3) rastas nezinomas procesas ivedamas i google arba symantec security
    4) jei virusas – F8 (atrodo), safe boot, tuomet trini visus su juo susijusius failus

    dazniausiai uztrunku iki 20 minuciu, nereikia jokiu pagalbiniu programu…

  21. Hoola boola
    Posted 2008.5.28 at 17:12 | Permalink

    >Zheka
    Nu esi pasikaustes. O kaip su driveriais, nieko neminejai. Ar instalini is support cd ar kaip ten jis uzvadintas. Nesvarbu kad veikia pc. Gal tau pvz desktopo ikonikes tarsi „nulupineja“. Beje suradau gali atsisiust kiek naujesni bus
    http://support.dell.com/suppor.....#038;impid=
    P.s. O kompas dailus :)

  22. Zheka
    Posted 2008.5.28 at 17:39 | Permalink

    taip,turiu gi driveriu cd,nu nesu jau tiek zalias,kad nezinociau apie tokiu elementariu butinu dalyku instaliavima iskart po windowsu:)

  23. Zheka
    Posted 2008.5.28 at 17:43 | Permalink

    beje,gal galit kokia programike ramam patestuot parekomenduot?dekui is anksto;)

  24. Galva neneša
    Posted 2008.5.28 at 18:18 | Permalink

    Va, va, va, ir aš tai pastebėjau – ir sulėtėjimus, ir daugiau visokių šunybių, ir tai, kad paskutinė Spybot Search&Destroy versija yra kažkokia neįgali. Ankstesnė mažiausiai 5 prielipas rasdavo su kiekvienu tikrinimu, o dabar tik „Sveikinu, šnipų nerasta!). Ar tik nereiks jos atsisakyti, nes tik vietą užima kompe.

  25. Minusas
    Posted 2008.5.28 at 18:21 | Permalink

    memtest

  26. Marius
    Posted 2008.5.28 at 19:34 | Permalink

    Nešiojamuose kompiuteriuose (arba, jei kalbėt taisyklingai lietuviškai, skreitinukuose, kaip sako mūsų apsirūkę kalbininkai) itin svarbus dalykas ir tvarkyklių diegimo eiliškumas – pamėgink pasiknaisiot po forumus. Turėjau prieš pusmetį HP, su kuriais gerokai prasiknisau, kol priverčiau dirbt kaip priklauso.

    Kažkada buvo fokusas su naujai pirktu kompu – kai tik paleidžiu kokią DOSinę programėlę fullscreen režimu, kompas pakimba :) niekaip nesuprasdavau kame reikalas – draiveriai buvo sudėti iš to, ką gavau su kompu. Sprendimas buvo – nauji vaizdo plokštės draiveriai, kurie viską sutvarkė ;)

  27. Hoola boola
    Posted 2008.5.28 at 20:15 | Permalink

    Man irgi sviecias, kad video driveriai, nes tame „skreitinuko“ ;D modelyje eina arba nVidia arba SGP video plokste. Maza gal kas susiplake? RAM pasitikrint neblogai, bet kiek teko susidurt, jei tai butu RAM gedimas kompas arba gailiai pypsetu vos ijungtas, arba Windows daznai ismetinetu melynaji BSOD ir persikrovinetu.
    Del driveriu, pvz Toshibos megsta prasyt dar Hotkey aplikacijos (ATK atrodo), kuri isiraso kaip atskiras irenginys, o iki tol jo nedetektina Device Man’as. Bet „skreitinukas“ (jezus, koks zodis :) stabdo lyg ir ieskodamas kazko.. Update’us atjunk, ju BITS stabdo ypac letesnius PC, System Restore nukilink, vis tiek naudos mazai.

  28. Posted 2008.5.28 at 21:56 | Permalink

    > Jeigu žmonės tik internete naršytų ir paprastus laiškus rašytų Linux būtų galima įsirašyti. Pats žinai, kodėl žmonės nesirašo.

    Jonai, jei ne paslaptis, ką tokio darai savam kompe, kad linux netinka?

  29. Hoola boola
    Posted 2008.5.29 at 0:19 | Permalink

    > Kiras
    Man cia jau kvepia fleimo dumais, bet tiek to :D Jei teisingai atsiminsiu senus du straipsnius apie microsoft ir ju produkta, tai Windows ispopuliarejo kada ten 1984(?) metais, kai biurams pasiule greta „pigaus“ pc ir savo pirmaji Word, ir Excel skaiciuokle kuri is principo buvo pasiekimas. Taip buvo uzimta verslo rinka, ty pagrindas kitoms taikomosioms programoms atsirast.
    Siandien is principo galima rinktis ziureti pro langus, ikurdinti pingvina, tigra, leoparda ir dar bilezinoka. Bet esminis pasirinkimas – iprotis, siek tiek, „nedideli“ office nesuderinamumai su openofficais, htm adaptavimas prie ie7, o ne w3c (gerai kad jau praeitis, aciu firefox) ir zaidimai. Iprociu galima atsikratyt, bet be zaidimu pramogos ne asketiskas zmogus, sunkiai gali isgyvent… Taigi dabar zaidimai varomoji jega. Pasiziurekit kad ir Wii Fit karstine :) visos shtatu naujienos tik apie tai.

  30. Posted 2008.5.29 at 3:05 | Permalink

    O virsuo pavadinimą parodė kas nors?

  31. vienastoks
    Posted 2008.5.29 at 8:45 | Permalink

    @Evil:

    Jų buvo daug. Paskutinis likęs, kai jau išravėjau trojanus, buvo kažkoks adware.w32.virtumonde ar panašiai. Jis jau trojanų „šalutinis“ produktas, įmestas, kad suktų kažkam pinigėlius. Ištryniau viską iš karantino, tai tiksliau pasakyt negaliu.

  32. Posted 2008.5.30 at 14:29 | Permalink

    > Administratoriai nelabai nori diegti ir prižiūrėti kelias skirtingas OS.

    Suprantu aš juos …

    Kai bosas klausia „kodėl kompai neveikia?“, lengviau yra pasakyti „kalti virusai, jie mums nepavaldūs“, nei „dar nevisai suprantam kaip linux veikia“.

    Todėl adminai visom išgalėm kratosi permainų, net jei jos duotų naudos.

  33. rred
    Posted 2009.2.20 at 21:14 | Permalink

    Kas galetu buti,kai Google rodo kelias nuorodas,kurias paspaudus ,islenda visai kiti,nesusije puslapiai,o uzdejus strele ant adreso,apatineje eilutej kaireje rodo to nesusijusio puslapio adresa(t.y. po google rastu adresu slepiasi kito puslapio adresas?