Uwaga! Programy powinno się pobierać ze strony producenta.
Niektóre wirusy (na przykład wirus Kido znany jako Conficker, Downadup) blokują dostęp do stron producentów oprogramowania antywirusowego
i wtedy należy pobierać programy z innych zaufanych stron.
Jeżeli zainfekowany system blokuje dostęp do ważnej strony, Kaspersky Lab podaje, iż pomocne będzie pewne proste polecenie:
otwórz wiersz poleceń MS-DOS (Start -> Uruchom...) i wpisz następujące polecenie: NET STOP DNSCACHE.
Dostęp do zablokowanych stron internetowych zostanie przywrócony i będzie można pobrać narzędzia potrzebne do elektronicznego „odrobaczania”.
http://www.fixitpc.pl/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/
Wyłączenie Autoodtwarzania z poziomu Windows, prowadzone przez gpedit.msc (lub dla edycji Home via rejestr) będzie skuteczne tylko wtedy,
gdy system zostanie zaktualizowany o stosowne poprawki bezpieczeństwa. Domyślnie funkcja Autoodtwarzania cierpi na defekt polegający
na ignorowaniu ustawienia, plik autorun.inf jest nadal parsowany i może się wykonać. Jest to błąd rozwiązania Microsoftu.
Zostały opublikowane artykuły i łatki adresujące tę przypadłość:
KB953252 (Windows 2000, Windows XP i Windows Server 2003) /
KB967715.
Windows 7: Microsoft przeprowadził radykalny zabezpieczający krok wycięcia funkcjonalności autorun dla USB
Engineering Windows 7.
W Windows 7 zadania w autorun.inf są zarezerwowane tylko dla dysków wymiennych typu CD/DVD.
Uwaga !!!
Windows XP/2003/Vista/2008 mogą zostać spatchowane przez aktualizację, otrzymując funkcję imitującą tę z Windows 7:
KB971029.
Całkowite wyłaczenie parsowania pliku AUTORUN.INF http://www.fixitpc.pl/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/
Jest to najskuteczniejsza ze znanych metod. Polega na kompletnym wyłączeniu odczytu plików autorun.inf przez system.
Plik tego rodzaju jest całkowicie ignorowany i nie ma żadnej możliwości jego wykonania.
Skutki uboczne tego ustawienia: nie uruchomią się żadne pliki autorun.inf,
a więc i te na płytkach gier czy określonego pożytecznego oprogramowania.
Sticki typu U3 przestaną działać (ich LaunchPad wymaga używania autorun.inf).
któraś z tych okoliczności występuje, kompromisem jest wykorzystanie alternatywnych metod.
Otwórz Notatnik i wklej do niego:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG
Dwuklik na plik, zatwierdz import do rejestru, dla zatwierdzenia zmian zresetuj komputer.
NoAutorun.zip Pobierz z naszej strony
It tries to attack network computers via 445 or 139 TCP port, using MS Windows vulnerability MS08-067WWDC-Windows Worms Doors Cleaner Symptoms of a network infection:
Anti-Virus product with enabled Intrusion Detection System informs of the attack Intrusion.Win.NETAPI.buffer-overflow.exploit
Multiple repeating attack alerts proof that the remote computer (its address is reported in the alert) is infected. It is necessary to disnifect it, if possible.
Robak blokuje dostęp do witryn programów antywirusowych, więc brak możliwości ich otwarcia może świadczyć o infekcji.
Należy zastosować aktualizację MS08-067
oraz przeglądać biuletyny bezpieczeństwa pod kątem dodatkowych informacji na temat luk, atakowanego oprogramowania,
narzędzi i poradników wykrywania oraz informacji na temat aktualizacji zabezpieczeń.
Należy upewnić się, że używane jest aktualne oprogramowanie antywirusowe pochodzące od zaufanego dostawcy,
takie jak Forefront Client Security lub Windows Live OneCare firmy Microsoft.
Programy antywirusowe można również uzyskać od zaufanych producentów niezależnych,
takich jak członkowie stowarzyszenia Virus Information Alliance .
Należy sprawdzić aktualizację zabezpieczeń oprogramowania lub urządzeń ochrony, takich jak program antywirusowy,
sieciowe systemy wykrywania intruzów lub systemy ochrony przed intruzami bazujące na hoście.
Program MAPP (Microsoft Active Protection Program) szybko udostępnia partnerom informacje o lukach w oprogramowaniu firmy Microsoft.
Lista partnerów i łączy do ich aktywnych zabezpieczeń dostępna jest na stronie MAPP Partners.
Należy izolować „niezaktualizowane” lub starsze systemy przy użyciu metod opisanych
w poradniku Microsoft Windows NT 4.0 and Windows 98 Threat Mitigation Guide.
Należy zaimplementować stosowanie silnych haseł zgodnie z opisem w artykule Creating a Strong Password Policy.
Należy wyłączyć funkcję AutoPlay poprzez rejestr lub przy użyciu zasad grupy zgodnie z opisem w artykule Microsoft Knowledge Base 953252.
Uwaga: Klienci systemów Windows 2000, Windows XP i Windows Server 2003 muszą zainstalować aktualizację skojarzoną
z artykułem Microsoft Knowledge Base 953252, aby prawidłowo wyłączyć funkcję AutoRun.
Klienci systemów Windows Vista i Windows Server 2008 muszą zainstalować aktualizację skojarzoną
z biuletynem Microsoft Security
MS08-038 Vulnerability in Windows Explorer Could Allow Remote Code Execution 950582, aby prawidłowo wyłączyć funkcję AutoRun.
Jeżeli zainfekowany system blokuje dostęp do ważnej strony, Kaspersky Lab podaje, iż pomocne będzie pewne proste polecenie: otwórz wiersz poleceń MS-DOS (Start -> Uruchom...) i wpisz następujące polecenie: NET STOP DNSCACHE. Dostęp do zablokowanych stron internetowych zostanie przywrócony i będzie można pobrać narzędzia potrzebne do elektronicznego „odrobaczania”.
Conficker ma słaby punkt, który ujawnia zainfekowane komputery
Conficker ma słaby punkt, który ujawnia zainfekowane komputery (Opis)
Kiedy już robak Conficker zainfekuje komputer, zamyka dziurę przez którą dostał się do systemu Windows,
tak by żadne inne szkodliwe oprogramowanie nie mogło już się dostać na zainfekowaną maszynę.
Co więcej to działanie utrudnia wykrycie, które komputery posiadają prawdziwą łatkę Microsoftu,
a które zawierają fałszywego patcha Confickera.
- Conficker zmienia sposób, w jaki Windows jest widoczny w sieci i to właśnie tą zmianę można zdalnie i szybko wykryć.
Jak skutecznie usunąć Win32/Conficker z zainfekowanego komputera:
Odłącz zainfekowany komputer od sieci. Wykorzystaj inny, bezpieczny komputer w celu pobrania odpowiednich poprawek systemu Windows: MS08-067, MS08-068 oraz MS09-001.
Ponownie wykorzystując bezpieczny komputer i pobierz ze strony ESET program, który usunie robaka z zainfekowanego komputera. Zmień hasło do konta z uprawnieniami administratora w swoim komputerze.
Zainstaluj na komputerze wszystkie pobrane poprawki dla systemu Windows oraz skorzystaj z narzędzia firmy ESET do usuwania Confickera. Zaktualizuj swoje rozwiązanie antywirusowe. Ponownie podłącz do sieci swój komputer.
McAfee ShareScan
ShareScan is a free utility that enables IT security personnel to identify open Windows file shares available on the internal network.
ArcaVir ArcaNix to system pozwalający na uruchomienie komputera z nośnika, na którym się znajduje, przeskanowanie wszystkich jego zasobów
i usunięcie szczególnie trudnych infekcji.
Dostępne tutaj archiwum zawiera obraz ISO systemu ArcaNix wraz z bazami.
ArcaNix pozwala również na pobranie aktualnych baz z serwera firmy ArcaBit.
Aby uruchomić system ArcaNix wymagane jest co najmniej 512MB pamięci RAM zainstalowanej w komputerze.
G Data CloudSecurity: Bezpłatna ochrona w czasie rzeczywistym przed złośliwym oprogramowaniem i phishingiem.
G Data CloudSecurity, jest nową, bezpłatną wtyczką do przeglądarek Internet Explorer i Firefox.
Będzie chronić Twój komputer przed złośliwym oprogramowaniem i wyłudzaniem danych.
Microsoft Security Essentials (FREE Antivirus)
Program Microsoft Security Essentials jest dostępny dla wszystkich użytkowników korzystających z oryginalnego systemu operacyjnego Windows
i oferuje najnowsze funkcje zabezpieczeń przed złośliwymi zagrożeniami, takimi jak wirusy, konie trojański, oprogramowanie szpiegowskie i inne.
Microsoft Safety Scanner
Bezpłatne narzędzie,
które służy do skanowania dysków w celu wykrycia i usunięcia ewentualnych wirusów, programów szpiegujących i innego złośliwego oprogramowania.
Można korzystać przez 10 dni od daty jego pobrania. Aby skanowanie uwzględniało najnowsze definicje złośliwego oprogramowania, należy ponownie pobrać i uruchomić program Microsoft Safety Scanner
Microsoft Windows Defender PL jest bezpłatnym programem, który umożliwia utrzymanie dotychczasowej wydajności pracy dzięki ochronie przed okienkami podręcznymi,
długim czasem reakcji oraz programami szpiegującymi i innymi potencjalnie niepożądanymi programami.
Many antivirus vendors create and freely distribute Rescue CDs,
which allow users to run their computer with an alternative operating system.
After such an operation, we can scan our system for any malware that is present in the antivirus database.
On these CDs we can also find other useful tools, e.g. registry editor.
If we do not have the CD/DVD writer, we can download a version crafted specifically for the USB drive.
Couple of the most popular such solutions are: