Uspješno ste uklonili virus sa svog Windows računala? Ovdje nije sve gotovo i morate napraviti sljedeće dodatne provjere.

Nedavno se vaše Windows računalo zarazilo s virusom ili drugim oblikom malwarea koji ste uspješno uklonili? Iako ste napravili vrlo važan korak i reagirali na vrijeme, sve još uvijek nije gotovo.

Nažalost, prilikom zaraze dogode se i neke druge promjene na računalu koje nisu toliko vidljive. One su rezultat aktivnosti virusa koji mijenja opće postavke vašeg sustava kako bi ga otvorio za nove zaraze i olakšao buduće ulaske malwarea. U ovom tekstu pokazat ćemo vam o kojim se točno promjenama ovdje radi te kako postavke računala vratiti na prijašnje stanje.

Prvi korak – provjerite da je virus zaista uklonjen s računala

S korištenjem antivirusnih programa provest će se uklanjanje virusa i ostalih oblika malwarea na računalu, no uvijek treba napraviti dodatnu provjeru.

Zbog toga preporučujemo da napravite sljedeće:

• Otvorite „Task Manager“. Provjerite ako postoje neki sumnjivi procesi koji su aktivni i koje dosad niste vidjeli. Ovo se pogotovo odnosi na nepoznate procese koji koriste previše resursa, a za dobivanje više informacija o njima pretražite internet. Ako nakon provjere utvrdite da se povezuju s malwareom, vaš uređaj je i dalje zaražen.
• Otvorite „Windows Security“ aplikaciju. Pod izbornikom „Protection security“ provjerite ako postoje još neke aktivne prijetnje te ih uklonite.
• Provjerite ako je vaš uređaj još zaražen putem offline skeniranja u Windows Defenderu. Ako se nakon provjere utvrdi da je vaše računalo sigurno od malwarea, više niste zaraženi. Dodatni vid provjere napravite i putem nekog drugog antivirusnog programa. U slučaju da ni ovdje nije detektiran virus, vaše je računalo sigurno.

Kao što smo već spomenuli, ključno je da se virus ukloni s računala, no on je za sobom ostavio promjene unutar sustava koje bi mogle olakšati buduću zarazu malwareom. Zbog toga je potrebno reagirati i napraviti još neke aktivnosti koje se mogu svesti na dva izbora: samostalna promjena postavki ili opcija vraćanja sustava (System restore).

Odlučite li se na opciju vraćanja sustava, vratit ćete se na stanje koje je zadnje napravljeno kao backup. Sve promjene koje su vremenski napravljene nakon toga bit će trajno uklonjene.

Preporučuje se da nakon brisanja virusa iskoristite opciju vraćanja sustava ako imate napravljen backup.

Situacija u kojoj niste radili backup sustava vjerojatno će vas natjerati na ručnu izmjenu postavki koje je virus promijenio. U nastavku donosimo kako to učiniti.

1. Provjerite ako su rađene izmjene na „Hosts“ datoteci

Virusi su programirani da u većini slučajeva kompromitiraju „Hosts“ datoteku koja mapira nazive domene i IP adrese. Obično se ovo radi kako bi se spriječilo korisnike da se spoje na Microsoftove servere ili da se blokira povezivanje s web sajtovima proizvođača antivirusnih programa koji se koriste.

„Hosts“ datoteku provjerite na sljedeći način:

• U File Exploreru napravite sljedeći unos: C:\Windows\System32\drivers\etc
• Desnom tipkom miša kliknite na „Hosts“ datoteku i kliknite na „Open with“
• Odaberite „Notepad“ i kliknite na „Ok“
• Unutar Notepada provjerite ako su među zadnjim redovima dodane nove domene kao što su com ili google.com
• Izbrišite ih ako utvrdite da su dodane
• Spremite promjene na način da kliknete na „File“ izbornik te odaberete „Save“ (morate biti prijavljeni kao administrator da bi se promjene spremile).

2. Resetirajte svoju mrežu

Cyber kriminalci također mogu kompromitirati vašu sigurnost putem manipulacija s DNS-om kako bi omogućili pristup malicioznim IP adresama.

Ovo drugim riječima znači da će vas web preglednik preusmjeravati na iste maliciozne adrese dok tražite neku od legitimnih domena. U nekim slučajevima razliku između prave i lažne web stranice nećete primijetiti.

Kako bi ste otklonili ovaj problem, napravite sljedeće korake:

• Otvorite Control Panel
• Otvorite „Network and Sharing Center“
• S lijeve strane kliknite na „Change adapter settings“
• Desnom tipkom miša kliknite na mrežu koju koristite te odaberite „Properties“
• Dva puta kliknite na „Internet Protocol Version 4 (TCP/IPv4)“ ili „Internet Protocol Version 6 (TCP/IPv6)“, ovisno o vašim postavkama
• Provjerite da su odabrane opcije „Obtain an IP address automatically“ i „Obtain DNS server address automatically“. U slučaju da ste ručno dodali IP adresu ili adresu DNS servera, provjerite da nisu provedene promjene.
• U donjem desnom kutu kliknite na „Advanced“ gumb
• Uklonite sve sumnjive adrese koje se pojavljuju pod „DNS“ ili „IP Settings“ tabom.

3. Izbrišite „registry“ ključeve koje je malware dodao

Malware također može modificirati „registry“ ključeve (ključevi registra) u Windowsima. To se radi unutar „Registry Editora“ kako bi virus imao dozvolu da ponovno zarazi vaše računalo.

Kod ove provjere zaista morate biti jako oprezni jer svako nasumično i pogrešno brisanje ključeva iz „Registry Editora“ može uzrokovati velike poteškoće za operativni sustav. Možemo preporučiti da se kod ovog koraka konzultirate s osobom koja je upućena u ovu problematiku jer se prilikom postupka brišu samo oni ključevi koji su vezani uz virus.

Također prije svega napravite backup registra kako bi mogli računalo vratiti u prijašnje stanje ako dođe do problema u njegovom radu.

Postupak je sljedeći:

1. Otvorite „Registry Editor“ kao administrator
2. Unutar „Registry Editora“ otvorite traku za pretraživanje (tipkovni prečac CTRL+F)
3. Upišite ime virusa koji ste upravo uklonili
4. Obratite pozornost na sumnjive ključeve koji u nazivu sadrže ime virusa ili imaju neobičan naziv koji upućuje da bi se moglo raditi o sadržaju vezanom uz virus
5. Za brisanje ovakvih ključeva morate samo kliknuti desnom tipkom miša na njih te odabrati „Delete“ iz kontekstualnog izbornika.

4. Provjerite da vam web preglednik nije kompromitiran

Iako se brisanje virusa ili malwarea odvija na računalu na razini operativnog sustava, neki od njih vam pokušavaju ući unutar postavki web preglednika. Zbog toga je važno naknadno provjeriti da nisu napravljene neke izmjene unutar njega.

Svakako napravite sljedeće testove:

• Provjerite da vam u web preglednik nisu dodane neke sumnjive ekstenzije
• Resetirajte web preglednik i pažljivo promijenite one postavke za koje primijetite da su izgledale drugačije
• Pobrinite se da nije dodana neka nova web tražilica kao zadana
• Provjerite da pod „startup“ dio postavki nije dodana neka sumnjiva web stranica.

5. Onemogućite sumnjive procese i servise

Zadnji korak je provjera da virus nije slučajno dodao neke procese ili servise unutar operativnog sustava. Oko ovog koraka bi se također trebali konzultirati s osobom koja je upućena u navedenu problematiku jer uklanjanje pogrešnih stavki može napraviti veliku štetu na vašem računalu.

Postupak za onemogućavanje sumnjivih procesa ili servisa je sljedeći:

1. Otvorite Task Manager
2. Smjestite se pod „Startup“ tab
3. Uočite sumnjive procese, kliknite na njih desnom tipkom miša i odaberite „Disable“
4. Sada otvorite „System Configuration“ aplikaciju (možete je pronaći putem trake za pretraživanje u Windowsima)
5. Označite opciju „Hide all Microsoft services“
6. Nakon toga onemogućite sve sumnjive servise s popisa.

Ako vam nakon uklanjanja virusa ili malwarea backup sustava nije moguća opcija, provedite navedene postupke kako bi bili sigurni da na vašem računalu nisu prisutni ostaci kompromitirajućeg djelovanja te da ono nije i dalje ugroženo od novih napada. Jednom kad napravite preporučene provjere, bit ćete sigurni da u sustavu ne postoje ostaci virusa ili malwarea koji i dalje mogu imati negativni učinak te možete slobodno nastaviti koristiti računalo kao i prije.

Piše: Ervin Mičetić