Kalandok a cybervilágban III

Sleepy Yoda
Originally uploaded by ribizlifozelek

Hijackthis – harc a logfile-okkal

Tovább olvastam. Megismerkedtem egy zseniális eszközzel, a Hijackthis-szel. Ez megmutatta, hogy mi fut valójában a gépen. Rengeteg olyan program, ami nem kell és ami foglalja a memóriát. Programok, amik havonta egyszre letöltenek valami frissítést, ami nem is kell. A Hijackthis az információkat egyes sorközzel írt 4-5 oldalas logfile-ok képében jeleníti meg. Ez így néz ki:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

Ültem a heverőn egy bögre kávéval és a kutyával és ellenőriztem a logfiléket. Minden egyes filenevet leellenőriztem, két adatbázisban, az-e és ott van-e, ahol kell legyen. (A Micosoft támogatta adatbázisok szinte mindenre azt mondták, létfontosságú, még a Real Playerre is.
Mire végére értem a papírhalomnak, három bögre tejeskávénak és az újabb napnak, megvolt a három kakukktojás. Kiírtásukhoz Safe Mode-ba kell kapcsolni a Windowst. Ezt a gép bekapcsolása után az F8-as gomb nyomogatásával lehet elérni. A gond az, ha gyorsan nyomom le, nem történik semmi, ha lassan, akkor se történik semmi. Ha meg túl sokat nyomogatom a gombot, leáll a gép. Ha leáll a gép, utána első alkalommal a rendszer nem hajlandó felállni. Csak fekszik, mint Yoda egész nap.
Idővel sikerült Safe Mode-ban elindítani a gépet és lelőni a vírusokat. Eltüntek a kártevők, minden működött, egészen a következő bekapcsolásig. Akkor ismét előjöttek a hibák.
- Installáld le baltával, verd szét kalapáccsal! – szólt Anikó és a józan ész hangja.
Újabb hosszadalmas olvasás következett. Egy sárga jegyzettömbe írtam ötleteket, de a vírus (trójai? rootkit?) maradt.
- Installáld le baltával, verd szét kalapáccsal! És vegyél egy Mac-t!
Csak azért nem adtam fel és nem installáltam le baltával, vertem szét kalapáccsal, mert takarítani kellett volna utána. És azért nem telepítettem újra, mert nem tudtam, hol az install CD.
Lefuttattam több online vírusirtót – azt legalább sikerült elérni, hogy működjenek: eddig mind lefagyott egy adott ponton. Az adott pont a Microsoft MSN által kreált valami volt: egy nagy halom file, ismeretlen emberek címével, tapétáival, képeivel, amik egymásba fonódtak. Ha Windowsból néztem rá a (rejtett) filékre, jobb esetben összeomlott minden. Rosszabban a kék halál jött. A legrosszabban az összeomlás után a gép kék halállal indult.
- Installáld le baltával, verd szét kalapáccsal!
DOS-ból sikerült a halmot kitörölni. Azonban az egész könyvtárakat alkönyvtáraikkal együtt törlő parancsok nem működtek, egyenként lehetett kitörölni mindent a végétől – illetve fiktív file-okkal felülírni. Ezzel eltelt egy újabb nap. Hajnali kettőkor viszont már futottak az online vírusirtók.
Találtak is mindenfélét – kivéve azokat a dolgokat, amiket a Hijackthis megmutatott. Olvastam tovább: a legjobb program rootkit-ek azonosítására a gmer, mondták egyesek. Nosza, telepítettem egy gmer-t. Rootkitet nem talált, de újabb logfilékkel lettem gazdagabb.
A gmer kinyírta a Hijackthis által megtalált elemeket.
Találtam egy újabb gyanús filét, aminek semmi keresnivalója nem volt a gépen. Ki se lehetett törölni, de a Windows, se a DOS nem látta. Viszont felülírni se lehetett, még Safe Mode-ban sem.
- Installáld le baltával, verd szét kalapáccsal! – javasolta Anikó.
Aztán valahogy sikerült felülírni és utána bevetettem a nagyágyut. A guruk azt tanácsolták, mielőtt a user baltával intallálja le a Windowst a gépről és szétveri baltával, próbálja ki az egyetlen normális vírusirtót, a NOD32-t.
Szkeptikus voltam, gondoltam, ha nem működik, felteszek a gépre egy Linuxot és a Windows dokumentációt elégetem az Oquirrh-hegység csúcsán, porait pedig beleszórom a Nagy Sóstóba.
De a NOD32 működött: eltüntek a gyanús file-ok és nem jelentek meg cicis nénik a vírusírtók honlapjai helyén.
Persze, a vírusirtók minőségét tekintve, lehet, hogy ez komoly veszteség.

Kalandok a cybervilágban II

Yoda, Mac and the PC
Originally uploaded by ribizlifozelek

Harc a vírussal

Az első héten a küzdelem váltakózó szerencsével folyt. Lassan kezdett megvilágosodni, mi történt a géppel – csak a megoldás nem körvonalazódott.
Anikó szkeptikusan szemlélte harcomat. Szerinte a Windows szar (igaza van), Mac-et kell venni.
Kiderült, valahogy elvérzett a Windows beépített tűzval és up-date centere (vagy mi). Ezért újra kellett telepíteni. Sikerült – viszont ez annyit ért, mint halottnak a csók. Siker-kudarc arány 1:1.
- Installált le baltával, verd szét kalapáccsal! – tanácsolta Anikó.
McAfee teljesen meghülyült: nem működött a frissítéseket letöltő központja, a háttérben állandóan futó vírusellenőrzés bekapcsolhatatlanul kikapcsolt, a tűzfal egyszerűen eltünt, mintha egy buzgó magyar politikus vitte volna haza.
Ültem és olvastam, téptem a hajam.
- Installált le baltával, verd szét kalapáccsal! – nézett fel Anikó gyönyörű fehér és működő Macintoshából.
Elkezdtem szakirodalmat, fórumokat olvasni, jegyzeteket csinálni. Programokat töltöttem le a laptopokra, felírtam őket CD-re és feltelepítettem a Dell-re. Megtudtam, hogy vannak csak a Dell-ekben tenyésző vírusok, hogy nemcsak trójaiak léteznek, hanem rootkitek is. Annyi fenyegetésről olvastam, hogy már a bekapcsológombhoz is félve nyúltam. A tünetek alapján vírus családokat találtam, melyek megfertőzhették a gépet. Egy halom olyan programot letöltöttem, amik egyes vírusokat írtottak tökéletesen – csak ezek a nyavaják nem voltak megtalálhatók a gépen. Így ki se lehetett írtani őket.
Kiderült viszont, hogy a Service Pack 2 valamennyire döglött a gépen: újra kell telepíteni. Leszedtem tehát a SP2-t, aztán úrjatelepítettem. Hírtelen megjavult a Windows tűzfala, lehetett filéket küldeni. Győzelem! Az ellencsapás nem váratott magára sokáig: a google továbbra is csini néniket reklámozó oldalakra vitt.
- Installált le baltával, verd szét kalapáccsal! – zúgott a görög sorstragédiák kórusa.

Kalandok a cybervilágban I.

Drámát Shakespeare, vírust senki se írt rendesen

Elnézést a hülye szóviccért. Nekem tetszik.

A nagy gép, a Dell egyszercsak elkezdett rendellenesen viselkedni november közepe fele.

Az Explorer a rendszer felálltával párhuzamosan magától összeomlott. A Skype már holtan állt fel, ha felállt.

Az első tünetek jelentkezésekor lefutattam a McAfee-val egy teljes vírusellenőrzést. Semmit se talált.(Utóbb megtudtam, McAfee addig volt igazán jó, amíg egy McAfee nevű fószer írta a programot és írtotta a vírust. Ő eladta a céget, ami a marketingesek hatalmába került: óriási pénzeket, gyönyörű felületeket és szar programokat csinálnak. Ennek ellenére a McAfee piacvezető. Persze a Microsoft is az.)

Mivel a gép továbbra is furán viselkedett, lefuttattam on-line vírusellenőrzést a Symantectől (vulgo Norton). Semmi. Gondoltam, bízzunk az oroszokban, vírust is ők írnak a legjobban, talán vírusírtójuk is hasonlóan jó: Kaspersky. Kasper nem indult el a gépen. Aztán semmilyen vírusírtó letöltés nem működött, se update, se új program letöltés.

Már egyértelmű volt, valami nem stimmel, főleg, amikor a google egyes oldalak helyett hírdetési oldalakra vitt. A gépből meg ömlött kifele a spam a hálózatra. Sajnos nem a sonka, hanem a kéretlen levél. Méghozzá úgy, hogy nem is ment (nincs is) semmilyen levelezőprogram a gépen.

Ekkor lépett az internetszolgáltató: mivel a gép önnállósította magát, korlátozta a hozzáférésünket a hálózathoz: csak vírusiró cégek honlapjára lehetett menni. Feleslegesen, mert a gép semmit sem tudott letölteni. Ekkor drasztikus megoldáshoz folyamodtunk: kihúztuk a Dell-t az internetből, majd a laptopról jeleztük a szolgáltatónak, kiírtottuk a vírust. Tíz percen belül helyreállt a kapcsolat. Csak a drót fityegett bánatosan a Dellből kifele.