"Az, hogy bekapcsolod, és Működik, nem jelenti azt, hogy hibátlan!"®           "A Számítógép füsttel működik. Ha az kijön belőle, mindennek vége!"           "Az elmélet, és a gyakorlat között elméletileg nincsen különbség, gyakorlatilag van"           "hacker gondolkodás: ha pingre ugat a kutya, nem matatsz a zárral."

2010. július 23., péntek

Trójai Vadászat

Amikor egy Operációs rendszer fertőzött, és felhívnak, segítséget kérve, akkor már többnyire átvette a rendszer felett az uralmat egy ártalmas kód. Legyen az Vírus, Trójai, stb.

Sajnos az esetek többségében mire szólnak, a legcélszerűbb, ha újra is telepítjük a rendszert, mert ha ki is sikerül irtani a fertőzést a rendszerből, viszi magával a rendszer valamely fontos részét. Tehát a megtisztítás után nem fog olyan stabilan menni, mint előtte!

A megelőzésről:
- Legyen telepítve Vírusirtó! ( Nod32 )
- Lehetőség szerint használjunk Tűzfalat. Ezekből erősebb a hardveres! (Pl.: Router)
- Rendszeresen frissítsük az operációs rendszerünket! (Ajánlott beállítás: Automatikusan töltse le, de én döntöm el, hogy mikor telepítem azokat!)

- Készítsünk a jól beállított rendszerünkről visszaállítási pontot! Amikor minden szükséges alkalmazás telepítése megtörtént, vagy valami fontos dolgot változtattunk, illetve új programot telepítettünk, jó, ha létrehozunk egy ilyen visszaállítási pontot. Ha rendszerünkkel bármi történik, erre az állapotra vissza tudjuk állítani. Ez néha a trójaiak ellen is hatásos lehet!!! Főleg, ha elsőként a fizikális törléssel, takarítással kezdtünk, majd csak utána ezzel a lépéssel. (Ezekről a visszaállítási pontokról, majd legközelebb írok.)

Egy pár szót, hogyan is állok neki rendbe-rakni a rendszert:
Csak egy olyan Vírusirtó van, ami jó szívvel ajánlok, ez pedig a Nod32! (Hogy miért? Azt nem most részletezem, oldasd el itt, és itt! Egyszer majd talán én is írok róla.)
Ezenfelül ha a rendszerbe férkőző ártalmas kódok után kutatok, akkor használom a "HijackThis" nevezetű Szoftvert. Ez igen jól átnézi a rendszerünket, és ha a riport fájl tartalmát bemásoljuk a következő linken ( HijackThis Analyzer ) található szövegdobozba, majd elemezteted, akkor az oldalon olvashatod az operációs rendszeredre telepített alkalmazások értékelését.

Amennyiben a rendszerünket nem frissítjük, úgy a Vírusirtó, és a Tűzfal kevés, és nem képes megvédeni a rendszerünket  támadástól!
Ezt úgy képzeljük el, hogy felhúzunk egy 10 méter magas várfalat, (Tűzfal) és ráállítjuk a védő sereget, (Vírusirtó) de a várfal alatt olyan alagutak húzódnak, olyan nyitott ajtók vannak a várfalban, (Az ismert biztonsági rések a rendszerben, a BackDoor-ok, - más néven hátsóajtók) melyeken keresztül hátba-támadják a védőket, így azok hatásfoka csökken, esetleg teljesen tehetetlenekké válhatnak.

+ 1 Trükk, ha ismerjük a Vírusok működését: (Mivel igyekszik megvédeni magát, nem hagyja törölni a saját fájljait, de másolja őket, és átnevezi, így igyekezvén elrejteni a kódot tartalmazó fájlokat!)
Amennyiben a Vírusirtó sem képes elbánni az általa is megtalált kórokozóval, de ismerté válik a neve, szoktam manuálisan eltávolítani. Előhívom a feladatkezelőt-Taskmanager-t, (Ctrl+Alt+Del) és leállítom a futó folyamatot. Természetesen azonnal újra is indul, mindeközben a vírusirtó jelez, akár többször is. Ismerté válik a futó kód helye! Lehetőség szerint használjunk TotalCommandert, - sokkal egyszerűbb lesz így több munka is - és keressük meg. Nevezzük át, mivel törölni nem fogja hagyni magát. Mindegy mire nevezzük át, án a végére szoktam írni több karaktert is, így nem helyeződik át a fájok sorrendjében. Ha most a feladatkezelőben leállítom, akkor már tudom is törölni!!! Fontos, hogy ne a lomtárba tegyem, hanem a törlés közben a "Shift" billentyű lenyomásával azonnal véglegesen töröljem!
Sokszor előfordul, hogy beírja magát a regisztribe is, így biztosítva, hogy rendszeresen fusson, az operációs rendszerrel együtt töltődjön be, és ha töröljük, vissza tudja magát telepíteni.
Tehát a "Start Menü/Futtatás"-ba beírom: "regedit", majd a "Szerkesztés" menü keresésre kattintva felbukkanó ablakba beírom a kódom ismert nevét. (Itt egyébként minden a vírussal kapcsolatos dologra rákereshetek, de pont ezzel könnyű végleg hazavágni az operációs rendszert! Tehát aki nem tudja nagyon is pontosan, hogy mit csinál, és melyik kulcs mire való, az jobban teszi, ha nem nyúlkál bele!) Az "F3" billentyű megnyomására folytatja a keresést, mindaddig, amíg az adatbázis végére nem ér!






Bizonyos Trojaiak megteszik, hogy a regisztribe több általuk használt szerver IP címét is beépítik, elérve ezzel akár az ártalmas kódok folyamatos letöltését, és frissítését, akár minden hálózati/netes adatforgalmunk rajtuk keresztül történő átvitelét. Eközben akár fertőzéseket juttathatnak köz. akár megszerezhetik jelszavainkat, és egyéb bizalmas adatainkat. Viszont nem minden itt található IP cím feltétlenül haszontalan/veszélyes, tehát nem is lehet azt gondolkozás nélkül eltávolítani!

Amennyiben olyan érzésem van, hogy maradt még olyan kód, ami problémát okozhat, "Csúnya" lépéshez szoktam folyamodni. Egyszerűen "lelövöm" az operációs rendszert. Pl a reset gombal. ennek értelme, hogy a káros kódnak sincsen alkalma újratelepíteni magát, vagy bármit kiírni a meghajtóra, (!) nem csak a rendszernek. A következő bekapcsoláskor fusson le a "Scandiszk"-lemezterület ellenőrzés. Többször előfordult már, hogy pont az takarította el a káros kód maradékát! :D

Sokszor használom a legutolsó helyes állapot visszaállítását is. Ehhez persze kell, hogy legyen használható visszaállítási pont! (Ezekről mint előzőleg is írtam, majd legközelebb írok.)

Összefoglalva:
Talán ennyi elég volt, hogy meggyőzzem a kedves olvasót, hogy ilyen  esetben jobb hozzáértőt hívni!
És még valami. Ha a kártevő eltávolítása tovább tart, mint 1 óra, jobb újratelepíteni a rendszert!

És végezetül:
A leírás - idő hiányában - korán sem teljes! Alkalomadtán fogom bővíteni...

2010. július 18., vasárnap

WindowsXP hiba 2010

Hát ez szép. Egy újabb gyöngyszem az XP-től. Megint sikerült egy érdekes hibát találnom. Íme a PrinrScreen:



Hát egyszóval: SZÉÉÉÉÉP!

Több kommentárt nem is fűznék hozzá.