Smitka development

Odvirování prakticky - SpyBot a podobní

Na naší různorodé síti se opět začaly šířit viry typu Spybot a jemu podobní (rbor, loveboom, a mnoho dalších jmen). Napadají neaktualizované počítače - windows bez SP2 neobstojí. Útočí na porty 135 a 445. Jejich úkolem je rozesílat spamy, stahovat další nepěkné programy, umožňují dálkovou správu pc přes irc, prostě nic hezkého.
Vypracoval jsem postup, jak se této konkrétní nákazy zbavit. Je k tomu potřeba Balíček programů.
  1. stáhněte si Balíček a rozbalte ho
  2. odpojte kabel od sítě
  3. spuste start.bat z balíčku, zobrazí se výpis z programu fport
    výpis z fport
    Z výpisu je vidět, že problémový program je mtf.exe - otevírá mnoho spojení na různých portech. Takovýchto programů může být více. Může se stát, že bude mít mnoho otevřených portů také svchost.exe, to je ale součást windows.
  4. V dalším kroku je třeba nalezené programy ukončit. K tomuto účelu je vhodný program ProcessExplorer - procexp
    program process explorer
    V tomto programu vidíme běžící program mtf.exe, přes pravé tlačítko zvolíme "Kill Process Tree" a program by měl být ukončen.
  5. Nyní se pustíme do odstranění samotného souboru. Musíme tento soubor najít na systémovém disku, pravděpodobně ve složce c:\windows\system32 (je to napsáno v fportu). Musíme si však vypnout skrývání skrytých a systémových souborů (v total commanderu - Konfigurace - Možnosti - Zobrazení - Zobrazovat skryté a systémové soubory). Až jej nalezneme, můžeme ho smazat.
    nalezený soubor
    pokud je souborů více, ulehčíme si práci tak, že si v total commanderu necháme nalézt všechny soubory *.exe s atributem Systémový (záložka Rozšířené).
  6. Následuje odstranění zbytků. Spustíme HijackThis, zvolíme "Do a system scan only". Program propátrá nastavení počítače.
    HijackThis
    Ve výpisu vidíme 3 položky s naším souborem jako typ O4, vybereme je a dáme "Fix checked". Tím by měl být virus fyzicky zlikvidován.
  7. A jak dál, systém je sice bez viru, ale je stále zranitelný. Při připojení k internetu je velké pravděpodobnost, že bude opět napaden. Abychom tomu zabránili, použijeme nejprve pár triků:
    • přejmenujeme program ftp.exe ve složce windows/system32 na něco jiného, tím zabráníte viru, aby se opětovně stahoval
    • použijete program UnPnP, kterým zakážete zranitelné služby windows, které stejně nejsou potřeba
    Nainstalujte bezpečnostní aktualizace, pokud nemáte Service Pack 2 (SP2), tak jej instalujte (najdete opět na mém ftp). Používejte Firewall a antivirový program.
Tento postup odstraní jen tuto konkrétní nákazu, pro jiné typy však může být mnoho kroků společných.
komentáře komentáře (0)
Nahoru HOME PC•Elektro Programování Blog Autor
© 2006 Smitka development