Ce este un spyware? - Prevenirea infectarii

Ce este un spyware?

Un Spyware este un program care logheaza activitatea online a unui utilizator pentru a alcatui un profil de marketing. Acest profil, vandut de compania care a produs spyware-ul, poate fi utilizat de companii de publicitate in studii de piata si afisarea de publicitate preferentiala in timpul navigarii pe internet.

Metodele de strangere a informatiilor sunt diversificate: prin browser cookies, plugin-uri pentru browser (bare de unelte), programe specializate. La fel, modul de manifestare este diferit, unele programe stand ascunse, fara nici o manifestare, altele parand ca ajuta (de exemplu instaland o bara de cautare, dar care da rezultate preferentiale), altele afiseaza mesaje publicitare, ajungand pana la modificari ale paginii de start, blocari ale browser-ului sau chiar ale Windows Explorer-ului. Cateva impiedica utilizarea uneltelor de sistem cu care ar putea fi detectate (regedit, de exemplu).

Spyware-urile se instaleaza impreuna cu anumite programe "gratuite" (multe download managere sau plugin-uri de winamp avand astfel de programe-companion) sau vizitand unele pagini de internet cu un browser care nu este bine setat si imunizat, permitand rularea oricarui fel de script sau chiar rularea de programe pe calculatorul local fara acceptul utilizatorului.

Programele spyware sunt mult mai agresive decat virusii. Virusii sunt scrisi de tineri care vor sa arate cat de grozavi sunt; nu castiga mai nimic din asta - doar aprecierea celor din 'bransa' sau mandria ca virusul lor a ajuns in top 10; pana la urma se maturizeaza si se lasa de astfel de lucruri. Programele spyware sunt intretinute de firme de publicitate care castiga bani din astfel de activitati. Astfel de firme nu renunta la activitatea lor, fiind intr-o competitie reala cu celelalte firme, cautand intotdeauna extinderea pe piata, care le poate fi data de utilizarea unui nou bug in Internet Explorer. O astfel de competitie, alimentata de banii obtinuti, poate duce la dezvoltarea mult mai rapida de spyware. Graba de a utiliza o gaura de securitate duce la scrierea unui soft spyware cu buguri, care poate bloca sistemul sau ajuta instalarea de virusi. Insectele mici au insecte si mai mici.

Unele programe spyware pot fi folosite de catre hackeri pentru a capata acces asupra calculatorului pe care sunt instalate, fara stirea utilizatorului; astfel, 'spargatorul' poate sa desfasoare activitati ilegale pe acel calculator (atacuri asupra unor site-uri, trimiterea de spam, trimiterea de virusi, accesarea de site-uri ilegale - de exemplu site-uri pentru pedofili, warez), toate aceste activitati parand a veni de la utilizatorul normal al calculatorului, acesta putand fi acuzat de comiterea infractiunilor.

Pentru mai multe detalii despre acest tip de programe vizitati si site-urile specializate SpywareInfo.com si SpywareGuide.com. Un alt articol care merita citit este reactia Google.com la spyware.

Prevenirea infectarii

Se spune ca e mai usor sa previi decat sa tratezi. Dar e si mai usor sa nu faci nimic si sa speri ca [inserati numele fiintei supreme preferate] te va feri de probleme.

In primul rand trebuie sa atrag atentia ca un singur program nu este suficient. Datorita multitudinii de programe si rapiditatii dezvoltarii lor, precum si faptului ca unele din programele anti-spyware sunt intretinute de persoane care fac acest lucru in timpul liber (spre deosebire de programele comerciale) update-ul programelor este diferit. De aceea este util sa aveti mai multe programe anti-spyware instalate.

Atentie! Pe internet se gasesc o multime de programe false anti-spyware, care nu fac ceea ce ar trebui sa faca. Pentru o lista cu programe care nu sunt sigure vizitati acest site.

Windows Updates

Majoritatea spyware-urilor se instaleaza folosind gauri de securitate ale sistemului de operare si mai ales ale browser-ului. Windows, fiind cel mai folosit sistem de operare desktop, si Internet Explorer, browserul standard al Windows si, la fel, cel mai utilizat, sunt in atentia "raufacatorilor". Problemele de securitate ale acestor programe, descoperite de anumite firme specializate, sunt reparate de Microsoft prin pachete de update. Acestea se pot instala accesand site-ul oficial https://windowsupdate.microsoft.com/, procesul constand in 3 pasi: scanarea calculatorului pentru a gasi pachetele deja instalate si generarea listei de update-uri care pot fi downloadate, download-ul pachetelor si instalarea lor. Instalarea este automata, la sfarsitul ei putand fi nevoie de restart pentru inlocuirea fisierelor in uz la momentul instalarii.

Daca din diverse motive nu doriti sa utilizati serviciul de update al Microsoft, puteti folosi Daisy pentru a fi la zi cu update-urile Windows-ului.

Service Pack 2 (SP2) al Windows XP va aduce imbunatatiri in protectia impotriva spyware. Nu ezitati sa il instalati atunci cand apare versiunea finala.

Spybot Search&Destroy

Spybot - Search&Destroy este un program anti-spyware gratuit dezvoltat de Patrick Kolla. Permite scanarea sistemului dupa spyware, imunizarea browser-ului impotriva unor programe care instaleaza spyware (scannerul rezident sdhelper), scanarea cookies, protectia impotriva modificarilor unor setari de sistem (scanner rezident TeaTimer), scheduler pentru scanari, informatii detaliate despre anumite programe spyware si programe care pornesc la startup.

Va recomand sa parcurgeti acesti pasi pentru a instala Spybot.

Pentru a impiedica instalarea spyware-urilor, sistemul trebuie imunizat, instaland sdelper, asa cum se arata aici.

Rularea modulului TeaTimer se poate face din meniul de instalare a Spybot sau, dupa instalare, prin bifarea Resident "TeaTimer" (protection of over-all system settings) din meniul Tools/Resident in modul de lucru advanced.

Ad-aware

Ad-aware este un alt program anti-spyware, scris de Nicolas Stark. Este gratuit pentru uz privat, scanand fisierele de sistem, registry si cookies.

Versiunea platita a lui Ad-aware include si programul ad-watch, un modul rezident care impiedica instalarea de spyware.

Aici aveti un ghid de instalare si de utilizare pentru AD-Aware.

IE-Spyad

IE-Spyad adauga in lista 'restricted sites' a Internet Explorer o lista de site-uri cunoscute pentru publicitate si spyware. Odata trecute in restricted sites, acestea nu mai au dreptul sa foloseasca cookies si sa ruleze scripturi pe sistemul vostru. Chiar daca interfata este simpla, programul isi face treaba foarte bine.

Javacool Spywareblaster

SpywareBlaster impiedica instalarea de controale ActiveX cunoscute ca fiind spyware. Poate impiedica si setarea de cookies de supraveghere (tracking) sau spyware, restrictioneaza accesul browser-ului (Internet Explorer) la pagini cunoscute pentru spyware. Suporta si Mozilla/Firefox (doar blocarea de cookies). Poate crea o 'imagine' a setarilor pentru browser si sistem, pentru a reveni la setarile normale dupa o infectare cu spyware. Se recomanda ca inaintea crearii unei imagini sa scanati sistemul cu Spybot si Ad-aware.

Dintre 'unelte' as mai aminti setarea paginilor default din browser, backup-ul fisierului hosts, blocarea ad-urilor scrise in Flash, adaugarea de catre utilizator de noi programe care sa fie blocate (date prin class id).

Antivirus

Chiar daca in general un antivirus nu detecteaza si programe spyware, un calculator care are instalate programe spyware are sanse mari sa fie si virusat, deoarece se folosesc aproape aceleasi metode de transmitere, iar utilizatorul nu a fost prea atent la rularea programelor.

Exista o mare varietate de programe antivirus. Exemple de programe gratuite: AVG, avast!, kaspersky av chip edition (care se gaseste pe cd-urile revistei CHIP Romania).

Firewall

Firewall-ul nu este conceput sa opreasca instalarea de spyware, dar in anumite cazuri poate ajuta. De exemplu el poate semnala modificarea bibliotecilor dinamice (fisiere .dll) folosite de un anumit program care doreste acces la internet. In acest mod se pot detecta unele BHO nou instalate sau programe spyware care incearca sa se conecteze la internet.

Detalii despre firewall gasiti in acest articol.

Comportament

Comportamentul utilizatorului si setarile sistemului de operare si ale browser-ului sunt foarte importante pentru instalarea de spyware.

Majoritatea utilizatorilor folosesc in mod curent contul de administrator pentru lucrul pe computer. Aceasta deoarece lucrul e mai simplu, nu este nevoie de logare pe alt cont (de admin) la fiecare instalare/dezinstalare de aplicatii sau rularea unor programe sub alte conturi. Insa atunci cand lucrati pe contul de administrator, toate programele pe care le rulati au drepturi (aproape) nelimitate. Pot rula alte programe, instala programe sau module, modifica setari in registry , modifica fisiere ale sistemului de operare. Apoi, prin acest cont au dreptul sa citeasca orice fisiere din calculator, pe care le pot trimite oriunde fara stirea voastra.

Renuntarea la Internet Explorer este un lucru foarte util din perspectiva infectarii cu programe spyware si a securitatii sistemului in general; nici celelalte browsere nu sunt scutite de buguri si gauri de securitate, insa nu li se da multa atentie, iar problemele sunt rezolvate mai rapid. In plus, nefiind incluse in sistemul de operare nici gaurile de securitate nu sunt asa de importante.

Microsoft nu face fata avalansei de gauri de securitate descoperite in ultimul timp. Sfaturile pe care acestia le dau utilizatorilor sunt navigarea pe modul de securitate High, adaugarea site-urilor 'sigure', care nu functioneaza in modul High, in lista speciala a IE, citirea mesajelor de e-mail in mod 'plain text' (dupa ce Microsoft a fost un sustinator al e-mail-urilor formatate) si adaugarea unui pop-up blocker (MSN toolbar). Aceste setari scad mult placerea si flexibilitatea navigarii si limiteaza functionalitatea browserului; nu este garantata functionarea corecta a site-urilor in modul de securitate High, fiecare site care nu functioneaza trebuie adaugate manual in zona sigura pentru a functiona. .

In plus, timpul de la descoperirea unui bug in IE pana la rezolvarea lui de catre Microsoft este in unele cazuri de ordinul lunilor. Un exemplu curent a aratat ca repararea unei vulnerabilitati de securitate in Mozilla a durat o zi si jumatate, toate programele afectate fiind reparate, toate versiunile downloadabile din acel moment continand acel patch, iar pentru programele deja instalate au fost create pachete de update.

Odata cu introducerea SP2 pentru Windows XP multe din problemele ActiveX si BHO sunt inlaturate. Pe site-ul Microsoft sunt listate imbunatatirile aduse browser-ului cu ajutorul acestui update major. Dintre ele, as aminti Add-on Management and Crash Detection pentru alegerea controalelor ActiveX, toolbars si BHO care sa ruleze si oprirea automata a celor care blocheaza browser-ul; mai multe setari de securitate pentru rularea ActiveX; IE Information Bar pentru afisarea de informatii detaliate asupra activitatii browser-ului; setari noi pentru zonele de securitate; securizarea cache-ului local; pop-up blocker; IE Window Restrictions pentru a limita afisarea pop-up-urilor. Insa aceasta numai pentru Windows XP SP2! Celelalte sisteme de operare nu beneficiaza de aceste update-uri de securitate!

Bineinteles, migrarea catre alt browser nu inseamna ca totul s-a terminat, nu mai puteti avea programe spyware. Majoritatea programelor spyware se instaleaza prin IE, dar pe restul (Gator, WildTangent) le instalati de bunavoie impreuna cu programe 'gratuite'.

Multe programe spyware se instaleaza folosind controale ActiveX. Cu setarile normale, IE va intreaba daca doriti sa instalati astfel de programe, insa intrebarile pot fi confuze sau pot fi ocolite. Pentru a inlatura aceasta problema puteti seta browserul sa nu downloadeze astfel de programe: din Internet Explorer alegeti Tools, Internet Options, Security. Apasati Custom Level si setati pe Disable optiunile Download unsigned ActiveX controls si Initialize and script ActiveX controls not marked as safe. Pentru securitate maxima, celelalte setari de ActiveX ar trebui puse pe Prompt, insa in acest mod vizitarea anumitor site-uri poate deveni enervanta atunci cand la fiecare rulare de ActiveX (legitime, gen Macromedia Flash) va va intreba daca acceptati.

Alt mod de instalare a programelor nedorite este initierea de download-uri de programe in modul obisnuit, in speranta ca utilizatorul va deschide din curiozitate acel program.

Rezumat:

nu rulati programe care nu stiti ce fac, mai ales pe contul de administrator;

nu apasati butoane 'OK' in timpul navigarii fara sa vedeti despre ce e vorba, chiar daca sunteti amenintati ca trebuie sa o faceti (de fapt, mai ales daca sunteti amenintati);

nu navigati pe internet folosind contul de administrator;

nu 'raspundeti' la mesaje publicitare gen 'your computer is unprotected, click here to'

renuntati la Internet Explorer

Tratament

Daca aveti impresia ca sunteti infectat de spyware, sau daca vreti sa fiti siguri ca nu aveti astfel de programe, incercati metodele de mai jos.

Atentie!

Dezinstalarea unui spyware instalat ca un companion al unui program duce in majoritatea cazurilor la nefunctionarea acelui program. Este recomandat sa dezinstalati mai intai programul folosind aplicatia specializata (Add/remove programs din Control Panel) si apoi sa rescanati sistemul.

Se recomanda ca dezinstalarea unui spyware sa se faca in Safe Mode, pentru ca fisierele sa nu fie in uz.

Unele programe spyware (mai "civilizate" sau nu) au chiar intrare separata pentru dezinstalare in lista add/remove programs, folositi acea functie in loc de indepartarea lor chiar si cu un program specializat. Nefolosirea acestui mod de dezinstalare poate duce la coruperea sistemului de operare; de exemplu, curatarea New.NET fara utilizarea add/remove programs duce la pierderea conexiunii de retea.

Inainte de curatarea unui spyware este de preferat sa creati un system restore point, pentru a reveni la setarile initiale daca modalitatea de dezinstalare incercata sau o greseala in dezinstalare duce la coruperea sistemului.

Nu uitati sa faceti update la semnaturile Spybot si Ad-aware inainte de a scana sistemul!

Spybot

Spybot poate detecta in momentul de fata aproape 15000 de semnaturile ale programelor spyware, oferind si posibilitatea unei dezinstalari "curate" a lor. Pot fi planificate usor si scanari automate.

Spybot scaneaza sistemul pornind de la semnaturi, pentru fiecare spyware cunoscut de el verifica in registry sau pe hard disk daca exista inregistrari referitoare la el. Aceasta scanare este mai rapida decat parcurgerea tuturor fisierelor sau intrarilor din registry, asa cum fac de obicei programele antivirus. Modul de scanare il vedeti aici.

Daca unele fisiere nu pot fi sterse (fiind folosite in momentul scanarii) se ofera posibilitatea repornirii calculatorului si scanarii sistemului inainte ca alte programe sa porneasca. Pentru a preintampina aceasta problema se recomanda scanarea in Safe Mode sau inchiderea tuturor programelor neutilizate.

Pentru update este recomandat sa folositi site-ul din Australia (EON), fiind cel mai rapid.

Ad-aware

Ad-aware se lauda cu 27000 de semnaturi de programe spyware. Ofera posibilitatea alegerii partitiilor sau directoarelor care sa fie scanate, scanare in arhive, scanarea zonelor sensibile din registry, optiuni pe care le puteti seta in acest mod.

Atentie! Daca aveti instalat Spybot, cu care ati curatat anumite programe, si selectati scanarea in arhive pentru Ad-aware s-ar putea sa aveti alarme false, datorate fisierelor de backup ale Spybot.

HijackThis

Atentie! HijackThis este o unealta foarte puternica si nu are limitari; nu incercati sa descoperiti cum se lucreaza cu el dand click-uri aiurea prin meniuri.

HijackThis este un program dedicat luptei impotriva browser hijacks, oferind posibilitatea listarii tuturor setarilor cunoscute care pot fi folosite de un hijacker.

Interfata nu este prea atragatoare, avand 6 butoane, o lista si cam atat. Insa posibilitatile de scanare sunt destul de impresionante.

Aria de scanare este impartita in 4: registry (R) pentru inregistrari din registry modificate, fisiere (F) pentru intrari modificate in fisiere de initializare (.ini), netscape/mozilla (N) pentru setari in fisierul prefs.js si other (O) pentru multiple posibilitati de hijacking ale internet explorer. Fiecare grup are mai multe subgrupuri, notate cu cifre, a caror descriere poate fi gasita la sfarsitul listei afisata la apasarea butonului Info.

Scanarea se face apasand butonul Scan. Salvarea unui log se face apasand acelasi buton, care are acum numele Save log.

Aveti aici un ghid de curatare folosind HijackThis. Atentie! Necesita cunostinte de administrare Windows. Nu este pentru incepatori.

Puteti folosi HijackThis pentru a salva log-ul, pe care il postati in thread-ul special pe forum, unde vi se va spune cum sa actionati.

Forumul price.ro

Daca nu va descurcati singuri cu programele avansate anti-spyware si programele automate de curatare (Spybot, Ad-aware) nu reusesc sa va rezolve problemele puteti apela la cunostintele celor de pe forum, postand log-ul HijackThis ca atasament in acest thread. Inainte sa postati scanati sistemul cu un antivirus, Spybot si Ad-aware, pentru a reduce lista de probleme.

Dictionar

Spyware

Familie de programe care logheaza activitatea unui user si transmit informatii personale prin internet fara stirea utilizatorului. Un fel de virusi cu scop comercial.

Adware

Tip de spyware. Programe care observa surfing-ul si raporteaza un profil de utilizator, care este folosit apoi pentru afisarea catre acel utilizator de reclame la care sunt sanse mai mari sa raspunda. Se instaleaza impreuna cu programe comerciale distribuite in versiune gratuita. Exemple: Gator, Doubleclick. Atentie, dezinstalarea unui companion adware poate sa incalce termenii licentei programelor cu care au venit.

Ad-powered

Versiuni ale unor programe comerciale sunt oferite gratuit, folosind ca modalitate de plata afisarea de bannere publicitare. Afisarea ad-urilor se face in general direct in programul ad-powered iar prezenta reclamelor si scopul sunt specificate la instalarea programului respectiv. Nu sunt considerate spyware.

Hijacker

Sau Browser Hijacker: Program care modifica setarile browser-ului, in special homepage-ul si paginile de cautare; folosesc de obicei BHO. Majoritatea nu fac altceva decat sa modifice aceste setari, deci nu se incadreaza in definitia spyware-ului, insa au fost tratate impreuna cu programele spyware.

ActiveX

Controalele ActiveX sunt programe special concepute pentru a rula pe o retea cu latenta mare (Internet) si integrate in browsere. Prin rularea in browser, pe calculatorul clientului, aceste programe pot avea acces la sistem datorita gaurilor de securitate ale IE la rularea acestor programe.

BHO

Sau Browser Helper Object este un modul care extinde functiile Internet Explorer, cum ar fi de exemplu Google toolbar. Programele spyware instaleaza module BHO pentru ca acestea au acces la toate link-urile si paginile vizitate, putand loga activitatea sau redirecta browser-ul catre anumite pagini.

Cookies

Mici fisiere, stocate local, in care un site poate pastra anumite date de la o vizita la alta. De obicei se pastreaza date despre login si setari facute pe site-uri, insa se poate supraveghea prin cookies modul de navigare al fiecarui user.

Firewall

Un program sau hardware care controleaza transferurile de date din retea. Mai multe informatii in articolul dedicat

Hosts

Fisier local in care se pastreaza unele asocieri nume-adresa IP gen DNS. In mod normal nu contine decat o legatura catre localhost, dar prin adaugarea de inregistrari poate sa redirecteze browserul catre alte adrese decat cele dorite.

Registry

Baza de date a Windows oferita ca metoda de pastrare centralizata a setarilor pentru aplicatiile instalate. Majoritatea setarilor Windows sunt pastrate in registry.

Semnaturi

Semnatura unui spyware (sau virus) este modul de identificare a lui in sistem (nume de fisier, dimensiune, continutul fisierului, setari in registry). La scanare se cauta fiecare obiect (fisier, intrare in registry, adresa de site) in lista de semnaturi.

Instalare si setari Spybot Search&Destroy

Instalarea Spybot

Descarcati ultima versiune a Spybot de aici, apoi rulati programul de instalare. Pasii de instalare sunt urmatorii:

Introducerea. Doar apasati next.

Licenta. Trebuie sa fiti de acord cu aceasta licenta pentru a continua instalarea. Nimic periculos

Alegeti calea in care doriti sa fie instalat Spybot. La instalare ocupa 12 MB, insa are nevoie de alti cativa MB pentru backup-uri.

Instalarea modulelor. Nu uitati sa instalati Additional languages pentru a profita de traducerea in limba romana.

Alegeti folder-ul din meniul Start in care sa isi creeze scurtaturi.

Neactivata in mod normal, optiunea Use system settings protection (TeaTimer) ofera protectie impotriva instalarii de spyware.

Daca ati ales utilizarea TeaTimer este o buna ocazie sa il si porniti.

Instalarea propriu-zisa s-a terminat. Ceea ce urmeaza sunt meniurile de la prima rulare a Spybot.   

Aveti optiunea (recomandata) de a face un backup la registry inainte de a incepe lucrul cu Spybot.

Update-ul este necesar chiar daca tocmai ati downloadat ultima versiune a programului de pe site-ul oficial. Pachetul de instalare nu este updatat de fiecare data cand s-au adaugat semnaturi noi.

Trebuie sa fiti conectati la internet inainte de a apasa butonul Search for updates

Aceasta este fereastra de update. Primul update este automat, celelalte update-uri vor trebui facute manual; cautati update-uri cel putin o data pe saptamana.

Dupa update va recomand sa faceti si o imunizare a sistemului. Aceasta blocheaza in Internet Explorer vizitarea anumitor site-uri si download-ul de controale ActiveX cunoscute ca fiind spyware. Atentie, datorita unor modificari in registry, unele programe antivirus raporteaza Spybot ca fiind un virus. Setati antivirusul sa accepte ca Spybot sa faca modificari in registry.

Daca imunizarea s-a incheiat cu succes mesajul va fi urmatorul.

Instalarea s-a incheiat cu succes. Aveti posibilitatea sa cititi ghidul (Read tutorial) sa cititi help-ul sau sa incepeti sa lucrati cu Spybot. Ghidul poate fi citit si mai tarziu din meniul Help/Tutorial, iar help-ul apasand tasta F1 oriunde in program.

Setari Spybot

Setarea limbii

In meniul Language (sau traducerea in limba curenta) exista o lista de aproape 40 de limbi in care pot fi afisate textele din Spybot. Actualizarea este imediata. In caz ca alegeti o limba mai ciudata si nu stiti sa reveniti, meniul de alegere este intotdeauna al treilea, denumirea limbii este locala si aveti si drapelul.

Scanarea anti-spyware

Din meniul Spybot S&D de pe coloana din stanga alegeti Cauta & Distruge si apoi apasati Verifica. Va incepe cautarea, in partea de jos a ferestrei fiind afisata starea. In tabelul Problem vor fi afisate toate programele spyware gasite. Un click pe Rezolva probleme dupa terminarea scanarii sterge acele programe.

Recuperarea setarilor

Daca dupa o curatare cu Spybot descoperiti ca unele programe nu mai merg (si care probabil sunt bazate pe spyware-ul pe care tocmai l-ati curatat) puteti rezolva problema folosind meniul de recuperare al Spybot.

Din meniul din stanga alegeti Restaurare; in dreapta apare un tabel cu toate problemele rezolvate de Spybot pana acum, cu detalii despre data la care au fost sterse si toate setarile implicate. Selectati linia care va intereseaza si apasati Recuperarea celor selectate.

Atentie, la urmatoarea scanare va fi redetectat acel spyware - aveti grija sa nu il stergeti iarasi.

Actualizarea

Este bine ca o data pe saptamana sa faceti un update (actualizare) a semnaturilor. Din meniul din stanga alegeti Actualizare si apoi apasati Cauta actualizare. Daca gaseste semnaturi actualizate se va activa butonul Descarca Actualizare cu care le puteti downloada.

Dupa descarcare este bine sa faceti o scanare si o imunizare.

Daca apar probleme la download-ul de actualizari alegeti din lista de servere (de langa butonul Cauta actualizare) EON (Australia).

Imunizarea

Dupa fiecare update al Spybot este recomandata o imunizare. Din meniul din stanga alegeti Imunizare. Va porni automat o scanare pentru detectia de posibile noi imunizari. Daca apare un mesaj cu textul 'Toate produsele periculoase sunt deja blocate' e Ok; altfel apasati butonul Imunizare pentru a adauga inregistrarile noi.

.In acelasi meniu puteti alege si modul de blocare: Blocarea tuturor paginilor, afisarea unui mesaj la fiecare blocare de spyware, confirmarea instalarii fiecarui program.

Planificarea scanarii

Daca doriti ca scanarea sa se faca automat, la o anumita data/ora, puteti folosi unealta speciala Planificator. Aceasta se afla in meniul Settings, care apare numai daca selectati Avansat din meniul Mod.

Apasati Adauga tema de lucru de rezolvat.

Atentie, aceasta unealta foloseste Task Scheduler-ul din Windows; numai administratorii au dreptul sa adauge o astfel de planificare.

Apare urmatorul meniu. Selectati cat de des sa se faca scanarea, in ce zile si la ce ora, apoi apasati Ok.

Va trebui sa alegeti si pentru ce user se va face scanarea, deoarece la ora specificata s-ar putea sa nu fie nici un user logat pe calculator, sau cel logat sa nu aiba dreptul sa scaneze. Trebuie sa fie un user cu drepturi suficiente pentru a avea acces la registry.

Dupa completarea datelor fereastra Planificator afiseaza informatiile despre noul task. Daca doriti ca dupa scanare sa se faca si curatarea sistemului alegeti Fix problems after scheduled scan, iar daca doriti ca programul sa se inchida automat dupa scanare bifati Close program after finishing schedule

Instalarea Ad-Aware

Descarcati ultima versiune a Ad-Aware de aici, apoi rulati programul de instalare. Pasii de instalare sunt urmatorii:

Introducerea. Next.

Licenta. Gratuit pentru uz necomercial.

Alegeti directorul in care vreti sa instalati. Next.

Optiuni de instalare. Printre pachetele de traduceri nu se afla (inca) romana.

Gata de instalare.

Instalarea a reusit.

Dupa instalare rulati Ad-Aware folosind scurtatura creata pe desktop sau in meniul Start.

Setari Ad-Aware

Scanarea

Apasand butonul Scan now din meniul din stanga sau butonul Start in ecranul principal apare fereastra de alegere a tipului de scanare.

Exista 3 moduri de scanare:

smart system-scan scaneaza cu setarile recomandate

custom, in care alegeti modul de scanare

select drives/folders to scan pentru scanarea altui calculator sau sistem de operare

Setarile de scanare pentru modul Custom sunt urmatoarele:

Scan within archives - scaneaza si in interiorul arhivelor. Atentie, daca aveti si Spybot instalat, scanarea in arhive poate sa raporteze false infectari in arhivele in care Spybot pastreaza informatiile de backup. Nu stergeti aceste informatii.

Scan active processes - scaneaza programele care ruleaza in acel moment

Scan registry - scaneaza informatiile din registry. Majoritatea programelor spyware au inregistrari in registry, asa ca nu deselectati aceasta optiune.

Deep scan registry - scaneaza toate zonele unde s-ar putea instala un spyware

Scan my IE Favorites for banned URLs - scaneaza directorul Favorites dupa link-uri catre site-uri cunoscute ca spyware. Atentie, unele domenii care ofera gazduire gratuita pot fi incluse pe 'lista neagra' din cauza unor clienti, chiar daca altii sunt ok.

Scan my hosts file - scaneaza fisierul Hosts dupa inregistrari adaugate de spyware.

Problemele detectate in timpul scanarii sunt afisate in lista alaturata. Se afiseaza numele, modul de 'infectare' (fisier/registry), categoria infectarii si obiectul infectat. Problemele selectate vor fi rezolvate la apasatea butonului Next.

Recuperarea setarilor

Daca dupa o curatare descoperiti ca unele programe nu mai functioneaza (care probabil sunt bazate pe spyware-ul pe care tocmai l-ati curatat) puteti rezolva problema folosind optiunea Open Quarantine list din meniul principal sau Objects in Quarantine (al treilea buton din meniul de sus). Sunt listate pachetele cu modificari facute la curatare. Un click pe butonul Contains listeaza toate problemele rezolvate in acea sesiune, iar cu un click pe Restore se poate reveni la setarile dinaintea acelei curatari. Nu se pot restaura decat in bloc, toate setarile modificate in urma unei scanari.

Actualizarea

In ecranul principal apasati butonul Check for updates now.

Apasati Connect pentru ca programul sa caute noi update-uri pe internet.

Daca exista noi semnaturi care pot fi downloadate sunteti anuntati printr-o astfel de casuta de dialog.

Verificati cel putin o data pe saptamana existenta de noi semnaturi.

Curatarea cu HijackThis

Atentie!

Nerecomandata incepatorilor! O greseala in lucrul cu aceasta unealta poate duce la coruperea sistemului de operare, necesitand reinstalarea acestuia. Daca nu stiti sau nu intelegeti ce face un program sau setare, intrebati pe forum, nu incercati sa-l stergeti.

Pentru un timp mai scurt de analiza a acestui log curatati mai intai sistemul cu cele doua programe prezentate mai sus. Astfel rezolvati multe probleme, ramanand in log doar programele pe care acestea inca nu le recunosc.

Dupa cum am spus mai sus, logul HijackThis are 4 sectiuni:

Sectiunea R - sectiunea Registry, cu setari gen pagina de start sau pagina de search modificata.

In aceasta sectiune puteti verifica daca setarile pe care le-ati facut in Internet Explorer au ramas neschimbate. Daca atunci cand porniti browserul va apare o alta pagina decat cea setata, noua pagina ar trebui sa apara in sectiunea R. HijackThis poate repara pagina de start, setand pagina default, daca aceasta este setata (setarile default facandu-se apasand butonul 'Config' si introducand in cele 4 casute text paginile pe care le doriti). Insa resetarea acestor pagini nu este in general suficienta, trebuie sa descoperiti programul care a modificat acea setare de registry, altfel pagina va fi modificata iarasi, la urmatoarea rulare a acelui program.

Intrarile de tip R3 pot sa apara si de la programe de cautare legitime, cum ar fi Copernic, insa in majoritatea cazurilor sunt programe spyware.

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = https://www.couldnotfind.com/search_count_id=145499 Problema, pagina de search a fost modificata

Sectiunea F - modificari in fisiere .ini

Fisierele .ini sunt o metoda veche de pastrare a informatiilor, inlocuita de registry, insa se pastreaza compatibilitatea cu acestea. In astfel de fisiere exista doua metode de autorun al unor programe: prin intrarea Shell din system.ini (F0) si run din win.ini (F1). Modificarile de tip F1 sunt sigur incorecte, deci trebuie sterse. In F1 pot sa apara legitim programe foarte vechi; daca nu recunoasteti programul il puteti sterge.

Sectiunea N - setari pagina de start sau search in Netscape/Mozilla

Netscape si Mozilla isi pastreaza setarile paginii de start si search in fisierul prefs.js; modificarile aduse acestui fisier sunt trecute in aceasta sectiune. Daca nu recunoasteti pagina setata o puteti repara. Pentru repararea automata corecta trebuie sa aveti setate paginile default in HijackThis, asa cum este explicat la sectiunea R.

Sectiunea O - Sectiunea 'other' - de fapt cea mai stufoasa

In aceasta sectiune se listeaza barele de unelte (O3), BHO-urile (O2), programele setate pentru incarcare la startup (O4), optiunile din meniuri context (O8), butoane in plus in barele de unelte (O9), modificarile accesului la internet cu anumite programe (O10), modificari in plugin-uri pentru anumite fisiere (O12), programe downloadate de pe internet (O16)

O metoda destul de buna de verificare a acestor inregistrari/fisiere este un search Google dupa numele fisierului (chiar cu tot cu cale) sau clsid (codul dintre acolade). Daca in rezultatele cautarii se specifica acel fisier ca fiind spyware, cautati dupa 'numefisier removal' pentru un ghid de dezinstalare al acelui program. NU stergeti manual sau cu ajutorul HijackThis un program la care ati gasit ghid de dezinstalare.

Daca nu ati gasit referinte la unele programe, NU le stergeti! Intrebati pe forum!

O1 contine modificari aduse fisierului hosts. Daca nu stiti ce este fisierul hosts cel mai sigur este sa stergeti aceste inregistrari.

BHO-urile si barele de unelte (O2, O3) sunt in general biblioteci dinamice (fisiere .dll). Pentru verificarea acestora puteti vedea calea in care sunt instalate (multe programe 'legitime' isi instaleaza astfel de biblioteci, gen Adobe Acrobat, Google Toolbar, Yahoo Companion, dar pot fi recunoscute usor). Daca nu recunoasteti calea sau scopul acelui fisier verificati proprietatile acestuia; in general programele spyware nu au inregistrate datele de 'version' din proprietati, sau, daca le au, nu au setate campurile copyright si company. Atentie in special la fisiere .dll aflate in directorul windowssystem32 sau windows. Daca numele fisierului pare sa fie un sir random de caractere este aproape sigur un spyware.

O2 - BHO: (no name) - - C:Program FilesAdobeAcrobat 6.0 ReaderActiveXAcroIEHelper.dll     OK, apartine Adobe Reader

O2 - BHO: (no name) - - c:program filesgooglegoogletoolbar 1.dll OK, Google toolbar

O2 - BHO: (no name) - - c:winnttwaintec.dll Problema, un search dupa twaintec.dll ne arata ca este spyware.

O3 - Toolbar: (no name) - - (no file) Pentru astfel de inregistrari cautarea se face dupa acel ID. Se pare ca este flashget.

La fel se procedeaza si cu programele din O4 (cele care pornesc la startup), daca nu recunoasteti calea sau numele programului verificati ca acestea sa nu fie spyware.

O4 - HKLM..Run: [IntelliPoint] 'C:Program FilesMicrosoft IntelliPoint point32.exe'     OK, softul de la mouse

O4 - HKCU..Run: [Yahoo! Pager] C:Program FilesYahoo!Messenger ypager.exe -quiet OK, yahoo messenger

O4 - HKLM..Run: [WhenUSave] C:PROGRA~1SAVESave.exe Google ne spune ca este un spyware

Daca in meniurile IE va apar intrari in plus puteti verifica in lista O8 sau O9 ce programe au instalat aceste meniuri. Acestea nu sunt periculoase cat timp nu le utilizati.

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:program filesgoogleGoogleToolbar1.dll/cmcache.html OK, Google toolbar

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) OK, Java Runtime

Inregistrari care pot fi intotdeauna curatate: O5 daca nu ati setat cu buna stiinta sa nu apara setarile IE in Control Panel; O6 daca nu ati bifat in Spybot 'lock IE start page setting against user changes'; O7, O13, O15 intotdeauna; O17 daca domeniul de dupa 'Domain=' nu este domeniul ISP-ului sau al companiei.

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present OK pentru ca am bifat optiunea in Spybot, altfel nu

Atentie cu lista O10; nu le stergeti de mana deoarece veti pierde accesul la internet; rulati Spybot pentru curatare sau cautati in add/remove programs uninstaller-ul (la New.NET). Daca nu merge, incercati LSPfix.

O10 - Unknown file in Winsock LSP: c:windowssystem32idmmbc.dll OK, Internet Download Manager

Lista O16 cuprinde programe downloadate de pe anumite site-uri si care ruleaza direct in browser. Pe hard disk, fisierele se gasesc in c:windowsdownloaded program files. Programele din aceasta lista pot fi sterse daca nu sunt instalate de pe hard disk (daca locatia incepe cu https:// inseamna ca sunt luate de pe internet si daca este nevoie de ele se pot downloada iarasi).

O16 - DPF: (YInstStarter Class) - https://download.yahoo.com/dl/installs/yinst0401.cab Ok, este de la instalarea yahoo messenger, dar poate fi stearsa.

O16 - DPF: (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab    Ok, plugin-ul Flash de la Macromedia

Daca salvati log-ul HijackThis, in fisierul .txt rezultat mai este o lista de programe care ruleaza in acel moment; verificati-le si pe ele. S-ar putea sa mai apara printre ele virusi sau alte tipuri de spyware (HijackThis fiind axat doar pe programele care se 'agata' de browser).

Daca sunteti sigur ca o inregistrare raportata de HijackThis este spyware bootati windows-ul in Safe Mode, stergeti fisierul la care se refera (mutat in recycle bin) si apoi bifati linia respectiva si apasati butonul Fix Checked.

Dupa ce ati curatat verificati ca ati sters tot ce trebuie rebootand si ruland iarasi HijackThis. Daca inregistrarile pe care tocmai le-ati sters nu mai apar in lista inseamna ati reusit.

Daca ati scos o inregistrare si ceva nu e bine, nu mai merge browser-ul cum trebuie, nu aveti acces la internet sau alte asemenea probleme, trebuie sa aflati ca HijackThis are si backup. Rulati HijackThis si apasati Config si apoi Backup. Va apare o lista cu setarile modificate de el, de unde puteti reface inregistrari. Am pus aceasta nota la sfarsit pentru ca nu este nici productiv sa ganditi 'nu stiu ce face asta, hai s-o sterg si daca nu mai merge ii dau backup' :).

Semtex va doreste dezinfectare usoara