Monstruletii care se ascund in Windows Categorie: Windows Din pacate, putini dintre noi au mai mult decat o simpla familiaritate cu ce se intampla prin vecinatatea lui Windows: programele care ruleaza in el si "pe langa" el. In acest articol va voi arata cum sa recunoasteti majoritatea fisierelor de sistem Windows (si cum sa identificati un fisier necunoscut) pentru a le deosebi pe cele bune de cele "ticaloase". Va voi arata si cum sa monitorizati fiecare aplicatie de pe PC, inclusiv ultima nascocire in materie de amenintare - fisierele rootkit ascunse. Ca si in cazul cutremurelor de pamant, nu putem sti aproape niciodata unde sau cand se va mai deschide o bresa in securitate si datele tale vor fi inghitite. Chiar daca ai un firewall, folosesti antivirus actualizat la zi si scannere anti-spyware si mentii o disciplina de download stricta, te poti alege oricand cu cei mai noi si mai rai "agenti infectiosi" pe PC. Antivirusul si alte unelte de securitate au nevoie de update-uri frecvente si detaliate pentru a functiona eficient; ele nu pot bloca un malware despre care nu au "auzit" niciodata. In consecinta, aceste programe sufera adesea de o perioada de vulnerabilitate intre momentul cand codul sursa al unui nou vierme ajunge pe Internet, de exemplu, si momentul in care sunt lansate definitiile antivirus pentru blocarea si curatarea infectiei. Fie ca este vorba de cateva minute sau de multe zile, acea "fereastra" este mereu deschisa in momentul aparitiei de noi amenintari. 22166dbp69hjx8c Din fericire, o data identificat, malware-ul este, de obicei, destul de usor - mai bine zis tracasant - de curatat. Asa ca urmati procedurile mele de detectare si PC-ul dv. va fi intr-o forma de zile mari. 1. Securitatea este prima In primul rand, cel mai important, gandeste-te ca ai de-a face cu sistemul de operare, asa ca nu plonja in fisierele de sistem, stergand in stanga si in dreapta orice lucru ti se pare suspect. Daca dai gres, Windows-ul tau nu va mai boota. In al doilea rand, asigura-ti in permanenta "spatele". System Restore (in Windows XP si Me) te poate ajuta sa te intorci oricand la punctul in care erai inainte ca sistemul sa-ti "crape". Clic pe Start, Programs, Accessories, System Tools, System Restore, selecteaza Create a restore point si urmareste wizard-ul. Seteaza un nou punct de intoarcere dupa fiecare schimbare. bj166d2269hjjx Ar trebui, de asemenea, sa faci fisierele de sistem vizibile. Deschide Explorer sau orice alta fereastra de folder si apasa pe Tools, Folder Options, View. Da clic pe Show hidden files and folders si asigura-te ca "Hide extensions for known file types" si "Hide protected operating system files (Recommended)" nu sunt bifate. Apasa pe Yes daca primesti avertizari Windows. Executa aplicatiile tale de antivirus si anti-spyware. In fine, sterge un fisier doar daca esti absolut sigur ca are legatura cu vreo infestare malware. De exemplu, nu folosi tehnicile de indepartartare a DLL-urilor vechi din folderele de system. 2. Afla ce si cum merge Acum esti pregatit sa determini ce programe si servicii ruleaza in prezent pe PC-ul tau. Windows Task Manager nu poate autentifica toate aplicatiile, asa ca descarca de pe Net programul gratuit Process Explorer al Sysinternals. Dezarhiveaza fisierul procexpnt.zip si da dublu-clic pe procexp.exe. Process Explorer este "luptatorul de sumo" al inlocuitorilor de Task Manager: S-ar putea sa nu arate prea dragut, dar este cu sigurnata foarte eficient. Si, spre deosebire de profesionistii sumo, isi face treaba pe gratis. Unele dintre cele mai folositoare informatii ale Process Explorer sunt ascunse din oficiu. Pentru a le vedea, da clic-dreapta pe un titlu de coloana si alege Select Columns. Atat "Process Name", cat si "Description" ar trebui sa fie deja bifate, dar bifeaza si Company Name si Command Line. Clic pe tab-ul DLL, bifeaza Path, apoi clic pe OK. Dupa aceea, da clic pe View si asigura-te ca "Show Lower Pane" este bifat. In fine, clic pe View, Lower Pane View, DLLs. Cu aceste optiuni din Process Explorer poti selecta orice proces si poti vedea listate in panel-ul de dedesubt DLL-urile utilizate de program. Coloana Command Line arata locatia pe hard a fiecarui program sau - in cazul serviciilor (care uneori ruleaza sub svchost.exe) - identifica fisierul svchost.exe invocat de acel serviciu. Orice proces din folderul Temp ar trebui sa ridice un stegulet rosu. Spyware-ul tinde sa se autoinstaleze si sa ruleze din acest fisier. Asadar, daca un anumit proces indica un DLL din fisierul Temp, fii cu mare bagare de seama. Singurul caz in care ceva ar trebui sa ruleze din folderul Temp este atunci cand instalezi o aplicatie care foloseste un installer ca InstallShield. Pe langa Explorer.exe, utilizatorii de Windows XP vor gasi ruland si alte procese, printre care smss.exe, winlogon.exe, services.exe, alg.exe si lsass.exe. Toate acestea sunt fisiere Windows critice. Lasati-le in pace. Un fisier Windows "legitim" care necesita acordarea unei mai mari atentii atunci cand este gasit in procesele listate este rundll32.exe. Anumite forme de malware, distribuite ca fisiere DLL, se ascund folosind acest program ca rampa de lansare. Task Manager arata doar ca programul rundll32 merge, dar campul Command Line din Process Explorer iti arata exact care DLL rundll32 ii este asociat. Totusi, tine minte ca anumite drivere de dispozitiv folosesc rundll32, asa ca inainte de a sista procesul, asigura-te ca este intr-adevar periculos. Numele folderului de la sfarsitul caii ar trebui sa-ti sugereze cat de "legitim" este acest proces. 3. Identifica procesele misterioase Mai mult ca sigur ai si alte cateva programe Windows care ruleaza pe langa aceste fisiere de sistem, inclusiv unele pentru aplicatii si servicii care ruleaza in background si pentru driverele de hardware. Aceste fisiere sunt pornite, in mod normal, odata cu Windows. Examineaza informatiile din Description, Company Name si Command Line pentru fiecare proces. Ar trebui sa poti identifica majoritatea programelor asociate cu procesele ca software-ul pe care l-ai instalat sau care era preinstalat pe PC. Daca un producator de software a "uitat" sa includa o descriere si/sau un nume al companiei pentru propriul program, va trebui sa sapi mai adanc. Da clic-dreapta pe locul unde este afisat in lista din Process Explorer si alege Properties. Daca informatia de sub tab-ul Image nu te lamureste suficient, da clic pe tab-ul Services. Unele servicii legitime care sunt listate in coloana de sub denumirea Ôservices.exeÕ in fereastra principala a Process Explorer (fara text in campul Description) vor aparea in acest tab. De exemplu, Process Explorer imi arata la un moment dat un proces fara Description si Company Name. Se numea Ôslee81.exeÕ; cand am cautat procesul sub tab-ul Services, a identificat fisierul ca fiind Steganos Live Encryption Engine. Eu instalasem softul Steganos, asa ca nu m-am mirat sa-i gasesc componentele ruland in background. Urmeaza acesti pasi pentru a identifica toate serviciile si aplicatiile care ruleaza in background. Partea mai dificila apare cand dai peste ceva care nu se identifica singur sau nu pare a servi vreunui scop. Atunci ar trebui sa cauti pe Internet ca sa gasesti raspunsul. 4. Vanatorii de viermisori Daca suspectez vreun DLL ca ar fi dubios, primul loc in care verific este DLL Help Database a Microsoft, care imi permite sa caut informatii despre un DLL, dupa nume. Daca suspectez ca un fisier ar avea legatura cu spyware-ul, caut in Spyware Information Center al Computer Associates. O alta resursa minunata este Pest Encyclopedia de la PestPatrol Center pentru Pest Research, care ofera informatii in legatura cu peste 27.000 de forme de malware. Daca tot nu-mi dau seama de legitimitatea unui fisier, verific paginile Task List Programs de pe AnswersThatWork.com pentru informatii despre software legitim, spyware si virusi. ¯i unelte ca WinPatrol sau WinTasks 5 Professional de la Uniblue te-ar putea lamuri daca un program sau DLL este malware. Ambele ofera cate o baza de date online ce contine informatii despre mii de DLL-uri si aplicatii pe care le-ai putea intalni, desi si WinTasks poate pune pe "lista neagra" anumite procese pe care le blocheaza. Pentru "vanarea" malware-ului, poti folosi si Security Task Manager de la Neuber Software care iti permite sa evaluezi orice executabil, driver sau DLL, fie ca ruleaza sau nu. Data: 2005-09-05 Autor: Oana Burghelea Identificarea Programelor Nedorite In Windows Categorie: Windows Este de-a dreptul enervant sa deschizi Task Manager-ul din Windows si sa descoperi o gramada de procese necunoscute care ruleaza fara nici o problema ingreunand de cele mai multe ori buna functionare a computerului. In acest caz, te intrebi cate dintre toate programele existente in lista le doresti de fapt sau, mai mult decat atat, cate dintre ele duc la crearea de probleme. Din pacate, putini sunt aceia care stiu ce este sub capota lui Windows, care sunt programele care sunt vitale sistemului de operare si care sunt acelea pornite aditional sa sustina procesele anterior mentionate. Mai jos veti gasi un ghid de identificare al proceselor proprii sistemului pentru a le putea diferentia pe cele bune de cele complet inutile. Antivirusii si alte programe de securitate necesita update-uri periodice detaliate despre ultimele semnaturi de virusi si viermi, intre timp ele putand bloca procese care nu le-au mai intalnit pana la momentul aparitiei acestora. In consecinta, de la momentul aparitiei virusului pana la updatarea bazei de date proprii exista o perioada de vulnerabilitate. De exemplu, din momentul aparitiei unui vierme pe internet si pana la downloadarea definitiilor necesare identificarii acestuia. Siguranta pe primul loc Primul lucru, si cel mai important, tineti minte ca acesta este sistemul de operare, asa ca nu va grabiti sa stergeti sau sa modificati orice fisier vi se pare suspect. Daca ati stricat ceva, este posibil ca Windows-ul sa nu mai booteze sub nici o forma. In al doilea rand, asigurati-va ca orice greseala ati putea face e xista un back-up al setarilor facute. System Restore (in Windows XP si ME) poate face ca sistemul sa revina la setarile avute, inainte sa apara vreo defectiune. Pentru a va asigura ca aceasta facilitate este pornita sau daca doriti sa-i modificati starea, navigati la calea Start, Programs (All Programs in Windows XP), Accessories, System Tools, System Restore, selectati Create a Restore Point, dupa care urmati pasii pe care ii ofera wizzard-ul utilitarului. In plus este posibil sa aveti nevoie sa faceti unele fisiere vizibile. Deschideti Windows Explorer sau orice alt folder, navigati la calea Tools, Folder Options, View. Faceti clic pe Show hidden files and folders si modificati optiunile "Hide extensions for known file types" si "Hide protected operating system files (Recommended)" in asa fel incat casutele corespunzatoare sa nu fie bifate. Alegeti "yes" in cazul in care apare vreun mesaj de avertizare. Rulati utilitarele de updatare a antivirusilor si programelor anti-spyware. In final, stergeti un fisier doar daca sunteti siguri ca este infectat sau este un posibil pericol. Descoperiti ce programe ruleaza Acum sunteti pregatiti sa descoperiti ce programe ruleaza pe sistemul de operare. Task Manager nu poate identifica absolut toate programele care sunt pornite, asa ca downloadati urmatorul utillitar (Free!) de pe link-ul https://www.pcworld.com/downloads/file_description/0,fid,23780,00.asp. Dezarhivati fisierul procexpnt.zip si apoi faceti dublu-clic pe fisierul procexp.exe. Este foarte posibil sa nu va placa interfata utilitarului, insa functionalitatile pe care le prezinta sunt cu adevarat de ajutor (si mai mult decat atat, este si free). Cateva dintre cele mai pretioase informatii referitoare la procesele Windows-ului sunt ascunse implicit. Pentru a le putea vizualiza, faceti clic-dreapta pe o coloana si apoi alegeti Select Columns. Optiunile "Process Name" si "Description" ar trebui sa fie bifate deja, insa asigurati-va ca si campurile Company Name si Command Line sunt bifate. Daca nu sunt, clic pe casuta corespunzatoare acestora. Faceti clic pe tab-ul DLL, bifati Path si dati OK. Apoi clic pe butonul View si asigurati-va ca optiunea "Show Lower Pane" este activata. Ultimul lucru de facut, navigati la calea View, Lower Pane View, DLLs pentru a vizualiza lista de procese. Cu aceste optiuni activate, puteti selecta si manipula orice activitate pornita de sistemul de operare. Linia de comanda prompteaza in orice moment locatia pe hard disc a fisierului care a lansat aplicatia sau, in cazul serviciilor, sunt identificate instantele svchost.exe care au invocat serviciul.