Co zrobić, gdy komputer został zainfekowany wirusem

Jak rozpoznać infekcję

Na infekcję komputera może wskazywać wiele oznak. Jeśli z komputerem dzieją się „dziwne rzeczy” takie jak opisane poniżej, istnieje duże prawdopodobieństwo, że nastąpiła infekcja:

- nagłe wyświetlenie wiadomości lub obrazów,

- pojawianie się losowo wybranych dźwięków lub muzyki,

- tajemnicze otwieranie lub zamykanie napędów CD-ROM,

- nagłe uruchamianie programów na komputerze,

- powiadomienie zapory ogniowej o podjęciu przez niektóre aplikacje prób połączenia się z Internetem bez inicjowania tej czynności przez użytkownika.

Następujące zdarzenia należą do typowych oznak wskazujących na infekcję komputera poprzez wiadomość e-mail:

- przyjaciele lub współpracownicy twierdzą, że otrzymali od użytkownika wiadomości, których na pewno nie wysłał,

- skrzynka zawiera wiele wiadomości nie posiadających adresu e-mail nadawcy czy nagłówka.

Jednak, problemy te nie zawsze spowodowane są obecnością wirusa. Na przykład, zainfekowane wiadomości przychodzące rzekomo z adresu użytkownika mogą być w rzeczywistości przesyłane z innego komputera.

Na infekcję komputera może również wskazywać szereg innych, drugorzędnych oznak:

- częste blokowanie się komputera lub występowanie błędów,

- spowolnienie komputera przy uruchamianiu programów,

- brak możliwości załadowania systemu operacyjnego,

- znikanie plików i folderów lub zmiana ich zawartości,

- zbyt częsty dostęp do dysku twardego,

- blokowanie lub nieprzewidziane zachowanie przeglądarki Microsoft Internet Explorer, np. nie można zamknąć okna aplikacji.

W 90% przypadków wyszczególnione oznaki wskazują na problemy sprzętowe lub programowe. Chociaż istnieje niewielkie prawdopodobieństwo, że spowodowane są one infekcją wirusa, zalecane jest przeprowadzenie pełnego skanowania komputera.

Co należy zrobić w przypadku wystąpienia oznak infekcji?

Jeżeli komputer zachowuje się w nieprzewidywalny sposób:

1. Nie należy wpadać w panikę! W ten sposób można uniknąć utraty ważnych informacji przechowywanych w komputerze oraz niepotrzebnego stresu.
2. Należy odłączyć komputer od Internetu.
3. Jeśli komputer podłączony jest do sieci lokalnej, należy ją odłączyć.
4. Jeśli nie można uruchomić komputera z dysku twardego (błąd przy starcie), należy spróbować uruchomić system w trybie awaryjnym lub przy użyciu dysku startowego systemu Windows.
5. Przed podjęciem jakiejkolwiek czynności należy skopiować wszystkie ważne dane na dysk zewnętrzny (płytę CD/DVD, pendrive itp.).
6. Należy zainstalować program antywirusowy, jeśli nie jest on jeszcze obecny w systemie.
7. Należy pobrać najnowsze uaktualnienia antywirusowych baz danych. W miarę możliwości nie należy pobierać baz przy użyciu zainfekowanego komputera, lecz skorzystać z komputera znajomego lub znajdującego się w biurze, kawiarence internetowej itp. Jest to istotne, ponieważ jeżeli zainfekowany komputer jest podłączony do Internetu, wirus może wysłać ważne dane osobom trzecim lub próbować wysłać się pod wszystkie adresy zawarte w książce adresowej. Uaktualnienia programu antywirusowego można otrzymać na płycie CD-ROM od producenta oprogramowania antywirusowego lub autoryzowanego dystrybutora.
8. Należy wykonać pełne skanowanie systemu.

Jeżeli podczas skanowania nie znaleziono żadnego wirusa

Jeśli podczas skanowania nie znaleziono żadnego wirusa a niepokojące oznaki zostały sklasyfikowane, nie ma powodów do strachu. Należy sprawdzić sprzęt i oprogramowanie zainstalowane na komputerze, pobrać łaty dla systemu Windows przy pomocy Windows Update, a także usunąć z komputera wszelkie nielegalne programy i niepotrzebne dane.

Jeśli podczas skanowania wykryto wirusy

Dobre rozwiązanie antywirusowe powiadomi użytkownika o wykryciu wirusów podczas skanowania i zaproponuje sposoby postępowania z zainfekowanymi obiektami.

W ogromnej większości przypadków, komputery osobiste infekowane są robakami, końmi trojanskimi lub wirusami. Jednak, najczęściej możliwe jest odzyskanie większości danych.

Rady:

1. Dobre rozwiązanie antywirusowe zawiera opcję leczenia zainfekowanych obiektów, poddania potencjalnie zainfekowanych obiektów kwarantannie oraz usunięcia robaków i trojanów. Raport będzie zawierał nazwy złośliwych programów wykrytych na komputerze.
2. W niektórych przypadkach do odzyskania uszkodzonych danych niezbędne jest dodatkowe narzędzie. Należy odwiedzić stronę WWW producenta posiadanego programu antywirusowego i wyszukać informacje na temat wirusów, trojanów czy robaków, które zaatakowały komputer, a następnie pobrać dostępne narzędzia.
3. Jeśli komputer został zainfekowany wirusami wykorzystującymi luki w Microsoft Outlook Explorer, można go całkowicie wyczyścić poprzez leczenie wszystkich zainfekowanych obiektów, a następnie dokonać skanowania i leczenia bazy danych klienta pocztowego. Dzięki temu złośliwe programy nie uruchomią się ponownie, jeśli wiadomości zostały zainfekowane przed rozpoczęciem skanowania. Należy również pobrać i zainstalować łaty dla Microsoft Outlook Express.
4. Niestety, niektóre wirusy nie mogą zostać usunięte z zainfekowanych obiektów. Niektóre z nich mogą podczas infekcji uszkodzić informacje znajdujące się w komputerze w taki sposób, że nie można będzie już ich odzyskać. Jeśli nie można usunąć wirusa z pliku, należy bezwzględnie skasować ten plik.

Jeżeli komputer został poważnie zaatakowany

Niektóre wirusy i trojany mogą poważnie uszkodzić komputer.

Jeśli nie można uruchomić komputera z dysku twardego (błąd przy starcie), należy spróbować uruchomić system z dysku awaryjnego systemu Windows. Jeśli system nie może rozpoznać dysku twardego, oznacza to, że wirus uszkodził tablicę partycji dysku.

W tym przypadku należy spróbować odzyskać tablicę partycji przy użyciu standardowego programu wchodzącego w skład systemu Windows - ScanDisk. Jeśli to nie pomoże, należy skontaktować się z serwisem świadczącym usługi przywracania danych komputerowych. Producent posiadanego programu antywirusowego powinien dostarczyć adresy lub numery kontaktowe takich serwisów.

Jeśli zainstalowano narzędzie zarządzające dyskiem, podczas uruchamiania systemu z dyskietki ratunkowej niektóre z logicznych dysków mogą być niedostępne. W tym przypadku należy wyleczyć wszystkie dostępne dyski, ponownie uruchomić system z dysku twardego, a następnie wyleczyć pozostałe dyski logiczne.

Po przeprowadzeniu skanowania dysków zawierających dane, należy odzyskać uszkodzone pliki i aplikacje przy użyciu kopii zapasowych.

Diagnozowanie problemu przy użyciu standardowych narzędzi systemu Windows

Zaawansowani użytkownicy mogą wykonać następujące czynności:

1. Sprawdzić integralność systemu plików na dysku twardym (przy użyciu programu CHKDSK) i naprawić błędy systemu plików,
2. Jeśli wystąpiła duża ilość błędów, przed ich usunięciem należy skopiować najważniejsze pliki na wymienne nośniki danych,
3. Przeprowadzić skanowanie komputera po uruchomieniu systemu z dyskietki ratunkowej systemu Windows,
4. Użyć innych standardowych narzędzi Windows, np. narzędzia ScanDisk.

Szczegółowe informacje na temat tych narzędzi można znaleźć w pomocy dla systemu Windows

Gdy nic nie pomaga

Jeśli opisane powyżej oznaki występują nawet po wykonaniu skanowania komputera i sprawdzeniu zainstalowanego sprzętu, oprogramowania i dysku twardego przy użyciu narzędzi systemu Windows, należy przesłać szczegółowy opis problemu do działu pomocy technicznej producenta posiadanego programu antywirusowego.

Niektórzy producenci oprogramowania antywirusowego analizują dostarczane przez użytkowników zainfekowane obiekty.

Po usunięciu infekcji

Po usunięciu infekcji należy przeprowadzić skanowanie wszystkich dysków i nośników wymiennych, które mogły zostać zainfekowane wirusem.

Należy upewnić się, że program antywirusowy zainstalowany na komputerze posiada właściwą konfigurację. Zastosowanie tych środków pozwoli w przyszłości uchronić komputer przed infekcją.

Kaspersky Lab Polska