Sprawdź czy twój pecet jest w rękach hakerów

Strona głównaSprawdź czy twój pecet jest w rękach hakerów
26.06.2009 15:00
Sprawdź czy twój pecet jest w rękach hakerów
Źródło zdjęć: © Jupiterimages

Gdy twardy dysk pracuje, a diody rutera migoczą, choć wcale nie siedzisz przy komputerze, być może twój pecet padł ofiarą wirusa lub stał się celem cyberprzestępców. Sprawdź, zanim będzie za późno! Poniższe rady pomogą ustalić, co się dzieje, gdy komputer zachowuje się dziwacznie i nietypowo.

Gdy twardy dysk pracuje, a diody routera migoczą, choć wcale nie siedzisz przy komputerze, być może twój pecet padł ofiarą wirusa lub stał się celem cyberprzestępców. Sprawdź, zanim będzie za późno! Poniższe rady pomogą ustalić, co się dzieje, gdy komputer zachowuje się dziwacznie i nietypowo.

Komputer oszalał. Twardy dysk pracuje bez przyczyny, pecet samoczynnie nawiązuje połączenia internetowe, a procesor haruje, choć nie obarczyłeś go żadnymi zadaniami. Przyczyną tych i podobnych innych, zgoła niewytłumaczalnych fenomenów mogą być wirusy, robaki lub trojany. Nawet w systemie z nieustannie działającym oprogramowaniem antywirusowym wyposażonym w najnowsze szczepionki może się zdarzyć, że wedrze się do niego szkodnik. Stanie się tak, gdy intruz jest na tyle nowy, że działający w tle strażnik nie potrafi go wykryć.

288769481453615251
Źródło zdjęć: © (fot. PC World Komputer)

Jednak w wielu przypadkach zwodzi nas poczucie strachu. Za zagadkowym zachowaniem kryje się bardzo często zwyczajna usługa systemu Windows lub pożądane aplikacje, które czynią tylko swoją powinność. Kolejne akapity zawierają opis osobliwych zachowań, którymi komputer może zaskoczyć nawet najbardziej doświadczonych użytkowników. Podpowiadamy też jak ustalić przyczyny i zadbać o to, aby komputer był bezpieczny i działał bez zarzutu.

System reaguje powolnie - co pochłania tak dużo zasobów?

Co budzi wątpliwości? Mimo iż na pulpicie jest otwarte tylko jedno okno (np. przeglądarki internetowej)
, pecet przestał reagować na polecenia lub reaguje ślamazarnie.

Przypuszczenie - animacje Flash lub błędy w oprogramowaniu. Dzisiejsze witryny internetowe są przepełnione filmami reklamowymi na bazie technologii Flash, więc ich wyświetlanie pochłania sporo mocy obliczeniowej. Jednak duże obciążenie procesora może być spowodowane zawieszoną aplikacją.

Jak ustalić przyczynę? Przyczynę obciążenia procesora ustalisz za pomocą menedżera zadań. Do wewnętrznego menedżera Windows dostaniesz się, naciskając klawisze [Ctrl Alt Del]. Przeskocz na kartę _ Procesy _, a następnie kliknij dwukrotnie kolumnę _ CPU _. W ten sposób uporządkujesz malejąco listę względem obciążenia procesora. Na samej górze pojawi się proces, który zużywa najwięcej zasobów procesora. Jeśli jego nazwa nic ci nie mówi, znajdź informacje na jego temat za pomocą wyszukiwarki internetowej.

Większą funkcjonalność od wewnętrznego narzędzia Windows zapewnia Process Explorer

Użytkownicy Visty mogą pobrać i zainstalować na pasku bocznym gadżet TopProcess - z tej strony W ten sposób będą mogli nieustannie kontrolować, która aplikacja najbardziej obciąża procesor.

Środki zaradcze. Gdy uda się zidentyfikować proces nadmiernie obciążający procesor, można go zamknąć, klikając prawym przyciskiem myszy i wskazując polecenie _ Zakończ proces _.

Wirusy bywają bardzo rzadko przyczyną dużego obciążenia procesora. A jeśli tak, są źle zaprogramowane lub w danej chwili bardzo aktywne. Przeanalizuj system w poszukiwaniu szkodnika za pomocą oprogramowania antywirusowego.

Pecet zdaje się rozsyłać spam - co oznaczają dziwne maile?

Co budzi wątpliwości? Otrzymujesz odpowiedzi na wiadomości pocztowe wysłane rzekomo z własnej skrzynki pocztowej. W większości są to odpowiedzi z typową informacją, że adresat jest obecnie na urlopie, niekiedy powiadomienie od dostawcy Internetu, że adresat jest nieznany, więc nie można dostarczyć wiadomości.

Przypuszczenie - rozsyłanie niechcianej poczty. Domniemamy, że dystrybutor spamu wykorzystuje twój adres mailowy, aby jego przesyłki reklamowe były bardziej wiarygodne. Oprócz tego powinny łatwiej przedostawać się przez filtry antyspamowe.

Jak ustalić przyczynę? Adres nadawcy można sfałszować w mailu równie łatwo jak w zwyczajnym liście pocztowym. W wypadku poczty elektronicznej zmieniane są wpisy w nagłówku wiadomości. Aby go wyświetlić w Outlooku, wystarczy wskazać menu _ Widok | Opcje . W Outlooku Expressie należy otworzyć menu _ Plik | Właściwości _ i przeskoczyć na kartę _ Szczegóły _, zaś w Thunderbirdzie kliknąć ikonę plusa przed napisem _ Temat _. Zgodnie z oczekiwaniami adres mailowy jest podany w wierszu _ From _. Za falsyfikatem przemawia, gdy w nagłówku znajduje się wiersz _ Reply To: adres@twój_operator.pl> _. Prawdziwy nadawca jest podany z wyszczególnieniem jego adresu IP tylko w ostatnim wierszu _ Received: From _. Jednak adres IP nie zdradza zbyt wiele.

Ponieważ przeważnie nie masz do czynienia z wiadomością, która została wysłana rzekomo z twojego konta, lecz tylko odpowiedź na nią, uda ci się ją sprawdzić tylko wtedy, jeśli ta odpowiedź zawiera oryginalny nagłówek.

W opisanej sytuacji grozi ci jedynie utrata dobrego imienia, ale twój komputer pozostał nietknięty. Spam jest wysyłany z zupełnie innego miejsca. Nawet nie jest w to włączony twój dostawca Internetu.

Środki zaradcze. Nie uda się ukrócić procederu wysyłania spamu i podawania w nim twoich danych jako nadawcy. W najgorszym wypadku pozostaje tylko założyć nową skrzynkę pocztową i korzystać tylko z nowego adresu mailowego.

Mniej prawdopodobne jest przypuszczenie, że twój komputer został wciągnięty przez hakerów do botnetu i być może rzeczywiście ktoś nadużywa twojej skrzynki pocztowej do dystrybucji niechcianej poczty. Jednak nie zauważyłbyś tego po podejrzanych odpowiedziach.

Aby ustalić, czy komputer stał się komputerem zombie, a więc należy do botnetu, trzeba użyć oprogramowania antywirusowego. Przeskanuj w tym celu system swoim programem antywirusowym. Z bezpłatnych rozwiązań godne polecenia są m.in. Avast, Avira AntiVir i AVG. Następnie skorzystajmy z pomocy skanera online'owego, np. MKS - http://www.mks.com.pl/skaner/ lub Infected Or Not? - http://www.infectedornot.com, a także za pomocą programu do wykrywania rootkitów, np. Avira Anti Rootkit Tool - http://www.free-av.com/en/products/4/avira_antirootkit_tool.html.

Specjalny program RUBotted - http://www.trendsecure.com/portal/en-us/tools/security_tools/rubotted sygnalizuje swoją aktywność ikoną w obszarze powiadomień obok zegara na pasku zadań. Kontroluje ruch sieciowy wychodzący z komputera i alarmuje, gdy zauważy w systemie wzorce zachowań typowe dla komputerów zombie.

Diody rutera migają - który program wysyła tyle danych?

Co budzi wątpliwości? Modem lub ruter DSL sygnalizuje mruganiem diody, że komputer wysyła dane i odbiera je z Internetu. Tymczasem wcale nie przeglądasz Internetu.

Przypuszczenie - aktualizacje i udostępnienia. System Windows, program antywirusowy i liczne aplikacje wyposażone w funkcję automatycznego aktualizowania regularnie pobierają łaty z Internetu. Przyczyną ożywionego ruchu sieciowego może być także oprogramowanie do wymiany plików takie jak eMule czy Azureus. Jeśli jest zainstalowane w komputerze, prawdopodobnie został udostępniony jakiś folder. Ruch sieciowy powstaje przez użytkowników serwisu P2P, którzy pobierają właśnie treści z udostępnionego folderu.

Niektórzy sąsiedzi pasożytują. Jeśli korzystasz z sieci bezprzewodowej, powinieneś zabezpieczyć się przed osobami, które chcą korzystać z Internetu twoim kosztem. Zaszyfruj połączenie sieciowe i zdefiniujmy hasło broniące dostępu do konfiguracji rutera (sposób powinien być opisany w instrukcji obsługi). W przeciwnym razie migająca dioda rutera może sygnalizować, że ktoś dostał się do twojej sieci lokalnej i łączy się z Internetem.

Jak ustalić przyczynę? Dobrym narzędziem do kontrolowania ruchu sieciowego jest protokół programowego firewalla np. Zone Alarm Free.

Jeśli protokół firewalla nie pomoże nam ustalić przyczyny, zajrzyj do protokołu routera DSL. Z niego dowiesz się, kiedy router nawiązywał połączenia z Internetem i jaki pecet logował się do routera w sieci WLAN. Większość ruterów podaje także ilość przesłanych danych.

Środki zaradcze. Gdy ustalisz niepożądaną aplikację, która łączy się z Internetem, zadbaj o to, aby nie uruchamiała się automatycznie wraz z systemem Windows. Naciśnij w tym celu klawisze [Windows R], po czym wpisz polecenie msconfig.exe. Następnie przeskocz na kartę _ Uruchamianie _, usuń pole wyboru przed niechcianą aplikacją i potwierdź przyciskiem _ OK _.

Sporadycznie przyczyną bywa wirus. W najgorszym wypadku komputer padł ofiarą szkodnika, który inicjuje tak duży ruch sieciowy.

Jak ustalić przyczynę? Po zbadaniu protokołu firewalla warto sprawdzić, które porty są otwarte w pececie. W ten sposób ustalisz, czy wirus, trojan lub bot, który być może dostał się do systemu, otworzył jeden z portów dla swojego autora. Godny polecenia jest m.in. angielskojęzyczny serwis Shields Up - http://www.grc.com/x/ne.dll?bh0bkyd2. Zamknięte porty określa mianem _ Closed _, otwarte mianem _ Open _, zaś ukryte mianem _ Stealth _.

Notoryczne wyskakujące okna - skąd bierze się reklama?

Co budzi wątpliwości? Tuż po nawiązaniu połączenia internetowego pojawia się na ekranie okno z reklamą. Niekiedy ma to miejsce dopiero po uruchomieniu przeglądarki internetowej, jednak czasami przeglądarka wcale nie musi być włączona.

Przypuszczenie - adware i oprogramowanie utrzymujące się z reklamy. Jeśli reklama jest wyświetlana po otworzeniu przeglądarki internetowej, wkradł się do niej program finansowany z wpływów reklamowych. Może to być na przykład pasek narzędziowy. A jeżeli reklama pojawia się bez udziału przeglądarki, zazwyczaj pochodzi od oprogramowania, które zainstalowaliśmy świadomie lub nieświadomie, i zagnieździło się w obszarze powiadomień. W grę wchodzą ponadto moduły adware i spyware.

Zagrożenie. Oprogramowanie finansujące się z reklamy pochłania zasoby systemu i część pasma internetowego. Na domiar złego może być niechlujnie zaprogramowane, a wówczas obniży stabilność działania systemu. Złośliwy kod, wyświetlający reklamę, może również zawierać funkcje szpiegujące.

Środki zaradcze. Większość aplikacji utrzymujących się z reklamy ma dobre, bezpłatne odpowiedniki, które nie zawierają modułów reklamowych. Sprawdź więc listę zainstalowanych programów. Paski narzędziowe Internet Explorera, których nie znajdziesz w tym spisie, zostały zainstalowane jako dodatki. Pozbądź się ich za pomocą menu _ Narzędzia | Zarządzaj dodatkami _.

Szkodliwy kod, który ukrył się w Internet Explorerze, np. jako tzw. Browser Helper Object (BHO), wykryjesz za pomocą programu HijackThis. Po przywołaniu go kliknij _ Do a system scan and save a logfile _. Na ekranie pojawi się okno edytora tekstowego z protokołem. Jego treść potrafią rozszyfrować tylko fachowcy, więc najlepiej skopiować go do schowka i wkleić w odpowiednim polu witryny www.hijackthis.de/en - http://www.hijackthis.de/en, która dokona za nas analizy danych.

Twardy dysk pracuje zbyt intensywnie

Co budzi wątpliwości? Dioda sygnalizująca aktywność twardego dysku mruga jak szalona, informując, że ktoś lub coś nieustannie odwołuje się do zasobów na dysku. Tymczasem nikogo nie ma przy komputerze.

Przypuszczenie - narzędzia skanujące i indeksujące. Programy tego rodzaju przeczesują wszystkie pliki zgromadzone na twardym dysku, i robią to raz po raz. Narzędzia indeksujące wchodzą do akcji przeważnie po upływie określonego czasu bezczynności, natomiast narzędzia skanujące rozpoczynają działanie zazwyczaj według ściśle określonego harmonogramu czasowego, np. codziennie o 12.00.

Narzędzia skanujące, które uruchamiają się w regularnych odstępach czasu, to na przykład programy antywirusowe, antyspyware'owe, Windows Defender, a także większość pozostałych aplikacji do wykrywania i usuwania szkodników.

Narzędzia indeksujące, które przeszukują twardy dysk, to np. usługa indeksowania w Viście, programowe wyszukiwarki takie jak Google Desktop, aplikacje do zarządzania kolekcją muzyki takie jak iTunes i przeglądarki obrazków takie jak Picasa

Jak ustalić przyczynę? Wszystkie wymienione narzędzia wcale się nie ukrywają, lecz są dostępne poprzez ikonę w obszarze powiadomień (obok zegara na pasku zadań w prawym dolnym narożniku). Sprawdź, jakie narzędzia się tu zagnieździły. Następnie przywołaj je kolejno i ustal, czy jest uaktywnione regularne skanowanie zasobów dyskowych.

Oprócz tego skontroluj w Windows XP harmonogram zadań, który figuruje jako aplet _ Zaplanowane zadania _ w Panelu sterowania. W Viście zrobisz to samo, klikając menu _ Akcesoria | Narzędzia systemowe | Harmonogram zadań _. Jednak zawiera on także wiele zadań istotnych do prawidłowego funkcjonowania systemu, których lepiej nie wyłączać. Aby uzyskać lepszą orientację, rozwiń gałąź _ Biblioteka Harmonogramu zadań _ w lewej części okna. Przede wszystkim nie wyłączaj operacji skanowania zaplanowanych przez narzędzia zabezpieczające system.

Zagrożenie. Narzędzia skanujące i indeksujące są nieszkodliwe. Niemniej jednak przy tak ogromnej liczbie operacji zapisu i odczytu istnieje ryzyko przegrzania twardego dysku, jeśli nie zadbasz o wystarczające chłodzenie wewnątrz obudowy komputera. Temperaturę w komputerze możemy nadzorować np. za pomocą bezpłatnego programu HWMonitor. Zależnie od modelu dysku nie powinna przekraczać 5. lub 60 stopni Celsjusza.

Środki zaradcze - blokada uruchamiania narzędzi indeksujących wraz z systemem. Niemalże wszystkie aplikacje indeksujące oferują przydatne funkcje - np. automatyczne dodawanie nowych utworów do biblioteki multimediów. Jeśli jednak nie są potrzebne, zrezygnuj z nich, uniemożliwiając ich uruchamianie. Kliknij w tym celu menu _ Start | Uruchom _ i wpiszmy polecenie msconfig.exe. Następnie usuń zaznaczenie pól wyboru na kartach _ Uruchamianie _ i _ Usługi _ przy wszystkich narzędziach, które uznasz za zbyteczne. Uprzednio musisz jednak zaznaczyć pole wyboru _ Ukryj wszystkie usługi firmy Microsoft _ na karcie _ Usługi _, aby nie wyłączyć czegoś, co jest wymagane do poprawnego działania systemu.

Sporadycznie przyczyną bywa szkodnik w systemie. Niektóre wirusy również przeczesują zasoby zgromadzone na twardym dysku. Poszukują adresów mailowych i informacji wymaganych do zalogowania się. Są nawet intruzy, które szyfrują wszystkie dane zapisane na dysku i umieszczają w każdym katalogu plik tekstowy z żądaniem okupu. Na szczęście, szkodniki tego typu zdarzają się nadzwyczaj rzadko.

Jak ustalić przyczynę? Szkodniki wszelkiego typu wykryjemy i usuniemy za pomocą oprogramowania antywirusowego (patrz wyżej).

Fala reklamy w trakcie przeglądania Internetu

Co budzi wątpliwości? W trakcie surfowania w Internecie nagle pojawia się okno z reklamą. Zamykasz je, jak zazwyczaj. Wprawdzie okno znika, lecz na jego miejsce pojawiają się kolejne z niepożądaną reklamą. Po kilku chwilach ekran monitora jest zasypany dziesięcioma lub nawet dwudziestoma niepożądanymi oknami.

Przypuszczenie - podejrzane witryny internetowe. Opisane objawy nakazują domniemać, że podczas internetowych wędrówek trafiliśmy w niepewny zakątek Sieci. Jedna z witryn otwiera za pomocą kodu JavaScript lub ActiveX nowe okna, gdy zamykasz poprzednie. Należy przypuszczać, że korzystasz ze starszej wersji przeglądarki bez blokady wyskakujących okien lub wyłączyliśmy tę blokadę.

Zagrożenie. Komputer prawdopodobnie nie jest w niebezpieczeństwie. Przynajmniej nie do momentu, gdy klikniesz jedno z wyskakujących okien, w wyniku czego znajdziesz się na jeszcze bardziej niebezpiecznej stronie internetowej.

Środki zaradcze. Windows (wszystkie edycje począwszy od XP) ustawia egzemplarze danego programu na pasku zadań nie obok siebie, lecz grupuje je jeden nad drugim. Aby zamknąć za jednym zamachem wszystkie okna przeglądarki, kliknij prawym przyciskiem myszy ich przycisk na pasku zadań, po czym _ Zamknij grupę _. Jeśli w systemie grupowanie zostało wyłączone, kliknij prawym przyciskiem myszy wolny skrawek paska zadań, wybierz polecenie _ Właściwości _, a następnie zaznacz pole wyboru _ Grupuj podobne przyciski paska zadań _ i potwierdź przyciskiem _ OK _.

Aby zapobiec na przyszłość występowania podobnej sytuacji, należy zainstalować najnowszą wersję przeglądarki internetowej wyposażonej w blokadę wyskakujących okien, np. Firefox 3.0.11. Internet Explorer 8, Google Chrome 2.0 lub Operę 9.64

Udostępnij:
Wybrane dla Ciebie
Komentarze (193)