Kako prepoznati računar zaražen virusima?

Virusi na računaru

Želim da proverim da li se računaru nalaze virusi!

Koji su sigurni znaci da je računar zaražen?

Šta mogu da učinim da sprečim ili smanjim mogućnost zaraze?

Uputstva i saveti za totalne početnike

– Ova pitanja muče većinu korisnika Windows operativnih sistema, od početnika do profesionalaca u poznavanju računara. Microsoft operativni sistemi, od kojih je najpoznatiji i ubedljivo najpopularniji među korisnicima Windows XP, a tu su i Windows Vista, pa i novi Windows 7, su najviše na meti programera koji stvaraju takozvane „Viruse“. Virusi su u suštini programi čija je namena da, bez saglasnosti, često i bez znanja vlasnika računara izvrše na zaraženom računaru određene komande. Postoje virusi svih mogućih vrsta i namena, a njihovo prisustvo na računaru u većini slučaja usporava sistem i otežava ili onemogućava normalno korišćenje računara od strane korisnika. Proći ćemo kroz nekoliko jednostavnih načina na koje možemo ustanoviti da li je i u kolikoje meri naš računar zaražen virusima. Ovo su samo primeri na koje sam naleteo do sada i koji su bili siguran znak da je računar zaražen.

Računar je nemoguće normalno koristiti

  • Na pozadini desktopa je ispisano upozorenje da je računar zaražen virusima
  • Prilikom podizanja sistema pokreće se nepoznat program koji skenira računar i nalazi hiljade virusa, a zatim traži od korisnika da kupi licencu za program da bi virusi bili uklonjeni
  • Računar jako sporo radi, stalno se čuje „krčanje“ hard diska u pozadini, potrebno je više minuta da se otvori neki program ili folder…
  • Na desktopu nema ikonica, ne možemo da otvorimo „My Computer“, „Control Panel“, ne možemo da kreiramo novi folder, ne pojavljuje se kontekst meni (tj desni klik)…

Računar se najveći deo vremena ponaša normalno ali ipak želimo da proverimo da li je zaražen

Windows Task Manager

Mnogi virusi prilikom aktiviranja na računaru prave određene izmene u registrima, čime mogu da onemoguće pokretanje programa koji mogu da prikažu i onesposobe virus. Jedan od programa koje virusi često blokiraju je „Windows Task Manager“. Da bismo ga otvorili, kliknućemo desnim tasterom miša na „Taskbar“, tj donji panel na desktopu, i odabrati „Task Manager“. Ako se prozor programa ne otvori i dobijemo samo upozorenje da je Administrator zabranio otvaranje i korišćenje programa, postoji velika verovatnoća da je u pitanju delo virusa.

Windows Task Manager

Windows Task Manager

Napomena: Ako nalog na koji smo prijavljeni nema administratorske dozvole, moguće je da „Task Manager“ ne može da se pokrene zbog vrste naloga, a da nije u pitanju virus. Ovo je bio samo jedan od načina na koji možemo ustanoviti da li je računar zaražen virusima, ukoliko problemi postoje preporuka je da računar pogleda iskusnije lice.

Skriveni fajlovi i folderi

Windows Explorer podrazumevano korisniku ne prikazuje skrivene fajlove i foldere, važne sistemske fajlove, ekstenzije fajlova… Kada je računar zaražen virusom, fajlovi koje virus koristi se moraju nalaziti negde na računaru i kreirani su tako da budu skriveni. To znači da korisnik ne može da vidi te fajlove dok u podešavanjima ne zada Windows Explorer-u da prikazuje te vrste fajlova i foldera. Da bismo omogućili prikaz skrivenih i zaštićenih fajlova i foldera, pokrenućemo Windows Explorer i iz menija „Tools“ odabrati „Folder Options“. Otvoriće se prozor gde ćemo preći na karticu „View“, a zatim u listi opcija pronaći „Hidden files and folders“ i označiti „Show hidden files and folders“. Ispod ćemo ukloniti kvačicu sa opcije „Hide protected operating system files“ i na kraju kliknuti na „Apply“. Ako se pojavi upozorenje vezano za malopre napravljene izmene kliknućemo „OK“.

Prikaz skrivenih fajlova i foldera

Kada smo napravili i primenili izmene, možemo da proverimo da li smo u mogućnosti da vidimo skrivene fajlove i foldere. Najjednostavnije je da otvorimo „My Computer“ i uđemo na „C“ particiju. Trebalo bi da izgleda otprilike ovako:

Izgled C particije sa skrivenim fajlovima i folderima

Na slici se može jasno videti koji fajlovi i folderi su skriveni i koji inače nisu bili vidljivi, a to su oni koji imaju bledu ikonicu. Većina virusa koji „napadaju“ particije ili flash memorije prave .inf i .exe fajlove u „root“-u, tj na mestu čim se otvori particija ili flash. Na taj način virusi budu aktivirani čim se otvori takva particija ili flash memorija i omogućeno je njihovo širenje na medije koji još nisu zaraženi.

Napomena: Većina skrivenih sistemskih fajlova su neophodni za rad sistema i ukoliko obrišemo pogrešan fajl ili folder može se dogoditi da sistem neće uopšte raditi. Ovo je bio samo jedan od načina na koji možemo ustanoviti da li je računar zaražen virusima, ukoliko problemi postoje preporuka je da računar pogleda iskusnije lice.

Ako i posle izvršenih izmena skriveni fajlovi i folderi nisu prikazani, velika je verovatnoća da je određeni virus preuzeo kontrolu i jednostavno svaki put vraća izmene na staro da izmene koje napravimo ne mogu biti primenjene. To možemo potvrditi ako ponovo otvorimo prozor „Folder Options“. Ako je u opciji „Hidden files and folders“ vraćeno podešavanje na „Do not show hidden files and folders“ potvrdili smo sumnju da na računaru ima virusa.

Brzina i lakoća širenja zaraze

Razlog što se virusi u većini slučaja pojavljuju na „root“-u određene particije ili eksterne memorije (flash memorija, memorijska kartica, eksterni hard diskovi…) je da bi bili aktivirani čim neko pokuša da otvori/uđe na zaraženu particiju ili folder. Koriste „Autoplay“ opciju Windows XP sistema, koja se do sada više pokazala kao slabost nego kao korisno rešenje. Ako je računar zaražen, dovoljno je samo da spojimo flash memoriju na USB ulaz i virus je na memoriji već napravio sebi fajlove pomoću kojih će, kada tu istu memoriju posle priključimo na neki drugi računar, da se širi. Taj drugi računar će virus ubaciti na sve memorije koje se priključe na njega i tako u nedogled, po principu „piramide“. Kada se u određenom krugu korisnika pojavi negde virus (recimo u školi, firmi, kod kuće…) posle je jako teško iskoreniti ga, jer je tada potrebno pregledati sve računare i eksterne memorije koje su se od pojave virusa priključivale na te računare. Tada je dovoljno da je samo na jednom računaru ili flash memoriji ostao virus, pa da se kroz par dana ponovo raširi.

Idealna zaštita protiv zaraze virusima i njihovog širenja ne postoji. Antivirusi mogu da spreče viruse za koje imaju definiciju u svojoj bazi, koje mogu da prepoznaju i spreče a, koliko god se trudili, proizvođači antivirus-a ne mogu da prate ogroman broj već postojećih virusa i da toliko brzo odreaguju čim se neki novi virus pojavi. Firewall programi neće izbaciti upozorenje kada se neki virus aktivira, ali će uspeti da blokiraju njegovu akciju i, ukoliko korisnik proceni da je u pitanju virus, na ovaj način može se sprečiti zaražavanje računara ili memorije.

Iz ličnog iskustva mogu da kažem da je 80% računara na koje sam priključivao svoju Flash memoriju bilo zaraženo nekim virusom. S obzirom da koristim Linux operativne sisteme, uvek sam u mogućnosti da Flash memoriju prvo spojim na računar gde je instaliran Linux i očistim memoriju od virusa. Isto tako, kada neko hoće svoju memoriju da priključi na moj računar sa Windows XP sistemom, uvek je prvo priključim na Linux radi provere. Linux operativni sistemi rade na sasvim drugačijem principu u odnosu na Windows sisteme i samim tim virusi pravljeni za Windows ne mogu da se aktiviraju i šire na računare sa instaliranim Linux-om. Linux ne koristi .exe fajlove i fajlovi koji su pod Windowsom skriveni ovde su vidljivi.

Rezultat priključivanja zaražene Flash memorije na računar sa instaliranim Linux operativnim sistemom je da možemo na lak i bezbedan način očistiti memoriju od virusa brisanjem određenih fajlova za koje smo sigurni da su virusi ili fajlovi koji pokreću viruse preko Windows-ov „autoplay“ opcije. Na slici ispod možemo videti kako izgleda zaražena Flash memorija priključena na računar sa Ubuntu sistemom.

Zaražena Flash memorija

Kada ugledamo nek sumnjiv fajl na flash memoriji ili na računaru, uvek možemo na Internetu potražiti informacije o kakvom se fajlu radi i, ukoliko je u pitanju virus, saznati na koji način možemo da ga iskorenimo sa računara/memorije. U ovom slučaju Ghost.pif, autorun.inf, comment.htt a verovatno i ku’a.vsd su  sigurno fajlovi kojima je flash memorija zaražena. Osim toga, kada na flash memoriji vidimo folder „RECYCLER“ velika je verovatnoća da u sebi sadrži neki virus. Folder „RECYCLER“ Windows koristi kada nešto obrišemo na računaru ili ubacimo u „Recycle Bin“. Virusi često smeštaju upravo u te foldere, odakle uvek mogu da se vrate (restore) i napadnu sistem. Bez obzira da li sadrži viruse ili ne, preporučujem brisanje ovih foldera jer njihovo brisanjem nećemo učiniti nikakvu štetu kako sistemu, tako ni našim podacima. autorun.inf je fajl iz kojeg Windows dobija informacije šta da uradi kada se Flash memorija priključi na računar. autorun.inf fajlovi se uglavnom nalaze na CD/DVD-ovima i služe da pokrenu instalaciju softvera (uglavnom pokreću setup.exe za instalaciju neke igre, programa…) čim ubacimo CD/DVD u čitač, ali može se upotrebiti i za pokretanje virusa.

Evo još nekoliko primera kako izgleda zaražena flash memorija i sadržaj fajla „autorun.inf“ koji pokreće virus i izvršava komande:

Zaražena flesh memorija

Zaražena flesh memorija

Izgled autorun.inf fajla kreiranog od strane virusa

Virusi koji služe za „širenje“ se u većini slučajeva nalaze u „root“-u particije ili nekog medija, ali na računarima koji su zaraženi uglavnom se smeštaju u sistemske foldere (C:WINDOWS; C:WINDOWSSystem; C:WINDOWSSystem32…), smeštaju se među procese koji se pokreću svaki put kada se računar uključi, prave određene izmene u registrima onemogućavajući korisnicima da učine bilo šta da spreče ili uklone zarazu…

Šta učiniti?

Pod Linux operativnim sistemom dovoljno je obrisati neželjene fajlove i za svaki slučaj odjaviti, pa ponovo priključiti memoriju jer se zna dogoditi da nam nešto promakne i virusi budu ponovo kreirani. Ukoliko pod Windows-om primetimo viruse na memoriji već je kasno jer je virus već aktiviran i sprečiće bilo kakav pokušaj njegovog brisanja. Računar je zaražen i virus/virusi će se proširiti na sve medije koje budu u bilo kakvom kontaktu sa tim računarom. Skeniranje računara pomoću više vrsta antivirusa može da potraje satima, ponekad i danima, a na kraju postoji velika verovatnoća da računar nije „očišćen“ u potpunosti. Virusi prave toliku štetu sistemu da posle čišćenja od virusa neće nikada raditi kako je radio pre pojave virusa i da mnoge funkcije sistem neće moći normalno da obavlja… Zbog toga se uvek preporučuje čuvanje bitnih podataka i reinstalacija sistema. Ovo isto važi za sve vrste eksternih memorija koje su se priključivale i koje će se posle priključivati na računar. Jedino na taj način možemo biti 100% sigurni da nemamo viruse na računaru i da ih nećemo pokupiti ponovo istog momenta kada priključimo još uvek zaraženu Flash memoriju ili karticu iz fotoaparata.

Dodatak – Windows 7, 8

S obzirom da se na većini današnjih računara nalazi instaliran Windows 7, ili Windows 8, želim da napišem par rečenica na ovu temu i u vezi sa pomenutim novijim sistemima iz Windows familije. UAC (User Account Control), Windows Defender, kao i mnogo naprednija zaštita sistemskih fajlova (u suštini cele C particije) rezultovali su da virusi mnogo teže napadaju ove sisteme. Čak i kada je računar zaražen virusom, šteta može biti mnogo manja.

Kada je u pitanju UAC, kod Windows Viste je ova vrsta zaštite počela da se koristi i predstavlja vrstu zaštite gde korisnik mora ručno da odobri određene operacije ili izmene na računaru. Za korisnike koji i dalje ne znaju o čemu pišem, to je onaj momenat kada pokušate da instalirate određeni program, ili na primer pokušate da preimenujete neki folder na C particiji, pa se ekran zatamni i sistem zatraži od Vas da odaberete da li dozvoljavate da se operacija izvrši ili ne. Dozvolu može da da samo korisnik naloga, što znači da su ovim zaštićeni i drugi nalozi, ukoliko je na računaru kreirano više korisničkih naloga. Čak i nakon reinstalacije računara, ako ime korisnika nije isto kao pre, sistem će tražiti dozvolu da pristupite ličnim podacima vezanim za nalog (Dokumenti, slike, video, muzika…).

S obzirom da pojedini programi zahtevaju administratorske dozvole za svoj rad, prilikom svakog pokretanja takvog programa od korisnika će biti zatraženo da odobri pokretanje aplikacije, ili da zabrani…

Ono što predstavlja problem je to što su virusi u poslednjih nekoliko godina mnogo napredniji, mnogo ih je teže detektovati, mnogo lakše „probijaju“ zaštitu koju ima prosečan kućni računar, kao što su antivirusi, firewall-i i slično. Pored intenrneta, gde postoje sajtovi koje je dovoljno samo posetiti kako bi „pokupili“ viruse, bez potrebe da kliknete na neku reklamu ili sliku, i dalje je eksterna memorija (USB fleševi, eksterni hard diskovi, SD, transfleš i druge kartice iz telefona, fotoaparata…) najveći prenosnik zaraze u računarskom svetu. Zbog toga je najvažnije da je korisnik oprezan, da ne dopušta priključivanje tuđih eksternih memorija na svoj računar, isto tako da svoj USB fleš ili eksterni hard disk ne priključuje na tuđe računare, bez obzira koliko se vlasnici „kunu“ da je njihov računar bezbedan. Ja lično imam USB fleš memoriju od 8GB koju koristim u te svrhe, tj za razmenu podataka sa prijateljima, rođacima… Nakon svakog priključivanja memorije na tuđ računar izvršim detaljan pregled iste, i to ne pod Windowsom već pod Linux-om, u mnogim slučajevima taj isti fleš i formatiram. Kada je u pitanju prebacivanje veće količine podataka, gde moram da priključim eksterni hard disk sa nešto manje od 1TB podataka, obavezno prvo podignem Puppy linux koji je instaliran na USB memoriju i preko njega (bez dodira sa Windowsom instaliranim na tuđem računaru) izvršim kopiranje podataka.

The following two tabs change content below.
Serviser računara, laptopova, pametnih telefona. | Detektovanje i otklanjanje kvara, nadogradnja, čišćenje, softverski problemi, računarske mreže... | Aktivno se bavim grafičkim i WEB dizajnom od 2006. godine | Specijalnost: WordPress - dizajn i izrada tema, instalacija i nadogradnja sajta, održavanje, zaštita, SEO. | Edukacija korisnika