P°edpoklßdejme, ₧e se nachßzφme v operaΦnφm systΘmu Windows 9x/ME. JeÜt∞ jeden poznatek na zaΦßtek: je nutnΘ rozliÜovat mezi spustiteln²mi soubory pro operaΦnφ systΘm DOS a Windows. Pokud tedy pod DOSem spustφme infikovan² PE EXE soubor (kter² je urΦen pro Windows), NEdojde k aktivaci viru. Dostaneme pouze chybovΘ hlßÜenφ typu "This program cannot be run in DOS mode" ("Tento program nelze spustit v DOS re₧imu"). Z toho plyne, ₧e pokud je poΦφtaΦ infikovßn virem pro Windows (napadß pouze PE EXE), nemusφme se ho pod DOSem v∙bec bßt - z DOSu ho nelze nijak aktivovat.
Nejprve, jak v∙bec zjistit, ₧e jde o virus Φi jinou hav∞¥ pro operaΦnφ systΘm MS-DOS (nebo *-DOS obecn∞). Antivirus v∞tÜinou v takovΘm p°φpad∞ vypφÜe n∞co ve stylu {nßzev_viru}.{dΘlka_viru_v_bajtech}.{varianta_viru}. V praxi to m∙₧e vypadat nap°. nßsledovn∞: Helloween.1376.A. Pokud jde o ruzumn² antivirus a p°ed nßzvem se NEnachßzφ nic jako Win32, Win95, VBS, W97M atd. jde skoro najistotu o souborov² virus pro DOS. V tomto p°φpad∞ doporuΦuji odstranit DOS viry pomocφ systΘmovΘ diskety. Nem∞l by b²t problΘm odstranit virus pro DOS i p°φmo z operaΦnφho systΘmu Windows 9x/ME, ale jistota je jistota...
Op∞t napφÜu n∞co o tom, jak zjistit, ₧e jde o hav∞¥ pro Windows. Antivirus "za°ve" v tomto p°φpad∞ n∞jak takto (nepoΦφtßm-li zprßvu "Na vaÜem poΦφtaΦi byl nalezen..."): {n∞co}/.{nßzev_viru}+dalÜφ nßle₧itosti. V praxi to m∙₧e vypadat nßsledovn∞: Win95/CIH, I-Worm/Navidad, VBS/LoveLetter, W97M/Class.Q (mφsto "/" se obΦas vyskytuje i ".") apod. Pokud v oblasti {n∞co} figuruje Φφslice 97 a pφsmeno "M", jde z nejv∞tÜφ pravd∞podobnostφ o makrovirus (p°φklady: W97M, WM, X97M, O97M...). V tomto p°φpad∞ m∙₧ete infikovanΘ soubory vylΘΦit p°φmo v prost°edφ Windows (obvykle majφ p°φponu DOC, XLS atd.). DoporuΦuji jen vypnout vÜechny souΦßsti kancelß°skΘho balφku Microsoft Office (tj. zav°φt programy Word, Excel...). Pokud figurujφ v oblasti {n∞co} nßsledujφcφ zkratky: W95, Win95, Win2k, Win32, W32 atd. jde nejΦast∞ji o souborov² virus pro Windows (n∞kdy kombinovßn s Φervem). V tomto p°φpad∞ NEDOPORU╚UJI lΘΦit soubory p°φmo z prost°edφ Windows (virus by mohl proces lΘΦenφ ovlivnit). LΘΦenφ lze provßd∞t v re₧imu MS-DOS (nabφdka Start/Vypnout/Restartovat v re₧imu MS-DOS), nebo p°φmo ze systΘmovΘ diskety. Pokud figurujφ v {n∞co} v∞ci, podobnΘ tΘto: VBS, I-Worm, Trojan, Backdoor... v∞tÜinou pom∙₧e pouze odstran∞nφ infikovan²ch soubor∙ (nelze je lΘΦit - typickß vlastnost Φerv∙ (worms) a trojan∙, viz. kapitola infiltrace). I kdy₧ to vypadß jednoduÜe, ve skuteΦnosti tomu tak nenφ. Zde se ke slovu dostßvß Internet a virovΘ encyklopedie, kterΘ se na n∞m vyskytujφ (www.asw.cz, www.eset.sk, www.sarc.com, www.viruslist.com, www.sophos.com). Na ΦistΘm/neinfikovanΘm poΦφtaΦi si doporuΦuji najφt informace o viru/Φervu/backdooru, kter² se na poΦφtaΦi vyskytl. T°eba prßv∞ na www.sarc.com je hodn∞ nßvod∙, jak se jednotlivΘ hav∞ti zbavit. V n∞kter²ch p°φpadech platφ heslo: Nema₧te infikovanΘ soubory d°φve, ne₧ opravφte registry !!!. N∞kterΘ Φervi (nap°. Navidad, PrettyPark) na to velice nehezky reagujφ tak, ₧e ji₧ nelze spustit z Windows ₧ßdn² EXE soubor (na sv∞domφ to majφ prßv∞ odmazanΘ soubory a klφΦ v registrech: HKEY_CLASSES_ROOT\exefile\shell\open\command). Nelze tak spustit ani EXE soubor REGEDIT.EXE, kter²m lze registry upravit do p∙vodnφ podoby. Neexistuje vÜak nic jednoduÜÜφho, ne₧ REGEDIT.EXE p°ekopφrovat do souboru REGEDIT.COM :-) Proto i antiviry na Φerva PrettyPark Φi Navidad mφvajφ Φasto p°φponu COM. DalÜφ informace o registrech lze najφt nap°φklad zde. ╚ervi Φasto vyu₧φvajφ pro svou replikaci soubor WINDOWS\SYSTEM\WSOCK32.DLL. Pokud je infikovßn, nejlΘpe kdy₧ ho sma₧ete a obnovφte z instalaΦnφho CD s OS Windows (poslou₧φ p°φkaz SFC /SCANNOW).
Na zßv∞r snad jeÜt∞ informace o tom, jak takovou systΘmovou disketu vytvo°it (nejednoduÜÜφ zp∙sob): zvolte v nabφdce START: Nastavenφ/Ovlßdacφ panely/P°idat nebo odebrat programy. Jedna zßlo₧ka je v∞novßna prßv∞ systΘmovΘ disket∞. Pokud je poΦφtaΦ infikovßn, staΦφ systΘmovou disketu zasunout, restartovat poΦφtaΦ a nastartovat z nφ systΘm. V BIOS setupu je nutnΘ nastavit toto po°adφ bootovßnφ: 1. A:, 2. C:, pop°. 1. floppy, 2. hdd-0.
A jeÜt∞ jeden tip: doporuΦuji nastavit antivirus tak, aby prohlφ₧el VèECHNY soubory bez ohledu na jejich p°φponu (tj. *.*). Jistota je jistota... :-)