FAQ

Dovolujeme si Vás upozornit, že sebelepší bezpečnostní software neochrání Váš počítač před průnikem viru, pokud takový škodlivý kód využívá mezeru v operačním systému.

Aktualizace operačního systému bývají ve výchozím nastavení zapnuté a nastavené jako automatické. To znamená, že operační systém periodicky kontroluje výskyt nových aktualizací a v případě, že jsou nějaké k dispozici, je okamžitě stáhne a nainstaluje. Toto řešení nemusí být vhodné pro každého – je tedy možné změnit nastavení tak, aby vyhovovalo Vašim požadavkům.

Windows XP SP2:

Klikněte pravým tlačítkem myši na ikonu "Tento Počítač" na ploše (nebo z nabídky "Start" -> "Tento Počítač") -> vyberte možnost "Vlastnosti" -> přepněte se na záložku "Automatické aktualizace"

Windows Vista:

Klikněte pravým tlačítkem myši na ikonu "Počítač" na ploše (nebo z nabídky "Start" -> "Počítač") -> vyberte možnost "Vlastnosti" -> vyberte odkaz "Windows Update" -> vyberte odkaz "Změnit nastavení"

Zde jsou k dispozici možnosti, aby aktualizace byly poptány, ale jejich stažení a instalace byla ponechána na uvážení uživatele. Hledání nových aktualizací je samozřejmě možné zcela deaktivovat, není to však z pochopitelných důvodů doporučováno.

Ručně je možné zkontrolovat výskyt nových aktualizací v operačních systémech MS Windows následovně:

• nabídka Start -> Windows Update
  (Případně můžete přímo otevřít stránku firmy Microsoft www.windowsupdate.com pro spuštění aktualizace systému.)

V posledních letech se světem ve vlnách šíří řada počítačových virů, zejména tzv. červů (worms), využívajících ke svému šíření zejména elektronickou poštu. Na vzniklé panice nebo alespoň obavách uživatelů o bezpečnost svých dat parazituje jiný druh "obtížného hmyzu" a to jsou poplašné zprávy nezakládající se na reálných podkladech, takzvané HOAXy.

 

Tyto poplašné zprávy jsou většinou stavěny na základě stejného schématu:

 

Varování před nějakým extrémně nebezpečným, dramaticky rychle se šířícím virem a následujícím požadavkem na nějakou uživatelskou akci. V lepším případě vyzývají adresáta zprávy k jejímu přeposlání na všechny známé a partnery (efekt známý ze hry nebo psaníček typu "letadlo"), což vede k zahlcování pošty nesmyslnými emaily. V horším případě vyzývají uživatele ke smazání údajného viru, přičemž údajným virovým souborem bývá někdy naprosto regulérní systémový soubor, jehož smazání může vést i k vážným problémům (nefunkčnost některých aplikací, celého systému, atp.). Mezi poslední horké novinky patří i následující HOAX:

 

Vazene damy, vazeni panove,
nektery z mych korespondentu infikoval muj pocitac virem, ktery cirkuluje
na MSN Messenger.
Jmeno viru je jdbgmgr.exe a ikona medvidek.
Je automaticky preposlan Messengerem a Vasim adresarem.
Virus neni objeven antivirem McAFEE ani NORTONEM a spi 14 dni, nez zautoci
na Vas pevny disk.
Muze znicit cely system. Prave jsem ho nasla na svem pevnem disku.
Zde je navod, jak ho znicit:
volte Start
Vyhledavat, do okenka "soubory-slozky" napiste jmeno viru : "jdbgmgr.exe"
Ujistete se, ze hledate na pevnem disku "C"
Stisknete "Vyhledavat nyni"
Najdete-li virus, ikona je medvidek, jmeno "jdbgmgr.exe, NEOTVIREJTE JEJ!!!!
Stisknete prave tlacitko mysi a poslete ho do kose nebo ho znicte stiskutim SHIFT DELETE.
Vyprazdnete kos
Najdete-li virus na svem pevnem disku, poslete tuto zpravu hned vsem svym korespondentum ze sveho adresare, protoze nikdo nevi, kdy virus prisel. Velice litujeme, ze jsme prostrednikem takovych obtizi a dekujeme Vam predem za rychlou reakci.

 

Nejlepší obranou uživatele elektronické pošty je vlastní rozum. Pokud má zpráva stejné a nebo podobné vyznění, nechť se uživatel na Internetu podívá na stránky antivirových firem, případně ještě lépe na specializované stránky (např. http://www.hoax.cz nebo http://www.viry.cz popř. http://cs.wikipedia.org/wiki/Hoax), zda tam takováto poplašná zpráva již není popsána. Nebo se může telefonicky či emailem obrátit na technickou podporu antivirových společností a zkonzultovat své obavy.

 

Bezhlavým šířením takovýchto zpráv přispívají lidé k efektu, který tvůrce HOAXu zamýšlel, uvědomte si, že virové alerty antivirových společností bývají sestavovány podstatně profesionálnějším způsobem, a že obvykle nechodí z neznámých adres a nevyžádaně!

Některé soubory nemohou být zkontrolovány, protože jsou právě používány Vaším operačním systémem, nebo jinou běžící aplikací (jsou to např. soubory Vašeho uživatelského profilu ntuser.dat, ntuser.man atd.). Tyto soubory však ze stejného důvodu nemohou být ani infikovány virem.

Tracking cookies soubory nejsou viry a ani neobsahují škodlivý kód. Jedná se pouze o textové soubory, nemohou tedy přímo ohrozit váš počítač.

Hlavní účel tracking cookies souborů je identifikovat uživatele a připravit pro něj upravenou webovou stránku. Pokud vstoupíte na stránku, využívající tracking cookies, můžete být požádáni o zadání informací jako je vaše jméno nebo oblast vašich zájmů. Tato informace je předána webovému prohlížeči jako cookie soubor. Při příští návštěvě této stránky zašle prohlížeč tento cookie soubor webovému serveru. Server může využít tento soubor pro zobrazení webové stránky právě podle vašeho nastavení.

Pokud si nepřejete používat soubory tracking cookies, upravte nastavení Internet exploreru. Více informací můžete najít zde (popis je v anglickém jazyce, otázka: "If You Want to Control Which Cookies You Accept"):
http://www.microsoft.com/info/cookies.mspx

Pokud jako prohlížeč používáte Mozilla Firefox, můžete najít více informací zde (popis je v anglickém jazyce):
http://mozilla.gunnars.net/firefox_help_firefox_cookie_tutorial.html

Více informací o souborech tracking cookies můžete nalézt také zde:
http://cs.wikipedia.org/wiki/HTTP_cookie

Dále je možné nastavit AVG tak, aby na vašem počítači soubory cookies vůbec nedetekovalo:

1. nastavení rezidentního štítu:
- spusťte AVG Uživatelské Rozhraní
- dvojitým kliknutím otevřete vlastnosti komponenty Rezidentní štít
- odznačte možnost "Kontrolovat tracking cookies"
- uložte změny stisknutím tlačítka "Uložit změny"

2. nastavení testu AVG:
- spusťte AVG Uživatelské Rozhraní
- otevřete položku "Otestovat počítač"
- klikněte na odkaz "Změnit nastavení testu" pod volbou "Test celého počítače"
- detekci cookies můžete zakázat odznačením volby "Kontrolovat tracking cookies"

3. nastavení plánovaného testu
- spusťte AVG Uživatelské Rozhraní
- z horního menu "Nástroje" vyberte "Pokročilé nastavení"
- rozbalte možnost "Naplánované úlohy" a vyberte položku "Naplánovaný test"
- přepněte se na záložku "Jak testovat"
- odznačte volbu "Kontrolovat tracking cookies"

Jedná se o soubory (např. dokumenty nebo archivy), které jsou chráněny heslem, tudíž nebylo možné jejich obsah zkontrolovat testem. V případě, že znáte heslo a soubor otevřete, je jeho obsah zkontrolován Rezidentním štítem AVG, ten v případě infikovaného souboru nedovolí jeho otevření/spuštění.

Tohle hlášení znamená, že dokument obsahuje makro, což je soubor instrukcí, které slouží k zautomatizování, nebo zjednodušení některých operací v dokumentu. Makro je součást dokumentového souboru, která dokáže například provádět kalkulace na základě daných hodnot atd. Neznamená to však, že dokument obsahuje virus. Pokud by však v souboru byl virus, hlásilo by AVG přítomnost konkrétního viru.

V případě změny v souboru není třeba se ničeho obávat. Ke změně v systémových oblastech dochází v průběhu běžné práce na PC (instalace/odinstalace softwaru, aktualizace operačního systému, úpravy nastavení, instalace Service Packu atd.). AVG Vás pouze upozorňuje, že v souboru ke změně došlo. V případě, že by byla zaznamenána činnost viru, ve výsledku testu by bylo zmíněno přímo jméno viru.

AVG při testování oznámí: Varování: Skrytá přípona .exe

 

Některé viry používají pro zakrytí skutečného obsahu souboru "zdvojené" přípony. Například VBS/Iloveyou k e-mailům připojuje soubor ILOVEYOU.TXT.VBS. Ve výchozí instalaci Windows je zobrazování "známých přípon" vypnuto a tak spousta uživatelů uvidí pouze ILOVEYOU.TXT. a nebezpečný soubor otevřou.

 

Na rozšíření této techniky jsme reagovali doplněním detekce potenciálně nebezpečných zdvojených přípon do AVG. Někdy se ovšem může stát, že jde pouze o planý poplach, například soubor uninstall.rar.bat, který je v instalačním adresáři některé verze RARu, ale zdvojená přípona typu "archív.spustitelný kód" je obecně nebezpečná a její detekci z AVG vyřadit nemůžeme.

Nouzový režim operačního systému Windows slouží k řešení problémů a ke spouštění administrativních a diagnostických nástrojů. Po nastartování do Nouzového režimu je nahráno jen minimum programů, které jsou zapotřebí pro chod operačního systému. Nahrány jsou také pouze základní ovladače grafické karty, proto mohou některé programy vypadat jinak než obvykle.

 

Postup:

 

• Restartujte počítač.
• Okamžitě po zobrazení informace „Spouštění systému Windows...“ stiskněte na Vaší klávesnici klávesu F8.
• Zvolte z menu za pomoci šipek na Vaší klávesnici možnost Nouzový režim.
• K nastartování systému do Nouzového režimu stiskněte na Vaší klávesnici klávesu Enter.
  

Většina dnešních virů (I-Worm, Worm, Trojský kůň) vytváří soubory, které obsahují pouze samotné tělo viru. Tyto soubory nikdy neexistovaly na Vašem systému před infekcí. Je tedy možné je smazat, nebo pro jistotu přesunout do Virového trezoru. Pokud po přesunutí do Virového trezoru Váš systém pracuje správně, a nechybí Vám žádné datové soubory, je možné takto přesunuté soubory z AVG Virového trezoru smazat. Můžete tak učinit selektivně přímo z programu AVG Virový trezor. Nebo můžete otevřít AVG poklikáním na jeho ikonu na ploše počítače -> vyberte nabídku "Historie" -> zvolte "Odstranit vše". Tím smažete všechny soubory z Virového trezoru.

Trojský kůň je škodlivý program, který není schopen vlastního samostatného šíření. Původní trojské koně byly nejčastěji programem, který předstíral, že se jedná o nějakou užitečnou aplikaci (třeba o novou verzi populární utility) - a ve skutečnosti jeho spuštění vedlo ke smazání obsahu disku nebo jeho části.

 

Dnes jsou nejčastější trojské koně typu BackDoor, které zprostředkovávají vzdálený přístup k zasaženému počítači a PSW (Password Stealer), které se snaží sesbírat nejrůznější privátní údaje uživatele a odeslat je na internet.

 

Pro odstranění obvykle stačí smazat detekovaný soubor.

Pokud potřebujete vyjmout určitý "Potenciálně nežádoucí program" z detekce programem AVG (používáte adware sponzorovaný program, či aplikaci, která může být potenciálně nebezpečná, ale je na Vašem počítači nainstalována vědomě), postupujte prosím takto:

• Otevřete program AVG -> menu "Nástroje" -> "Pokročilé nastavení" -> "PUP výjimky".
• Stiskněte tlačítko "Přidat výjimku" pro přidání výjimky.
  
• Najděte soubor, který chcete vyjmout a přidejte jej. Pokud je soubor přesouván z místa na místo, nebo si nejste jisti, zda je ještě v jiném umístění, zatrhněte volbu "Libovolné umístění - nepoužít plnou cestu".
• Stisknutím tlačítka "Přidat" přidáte výjimku. Od přidání výjimky nebude soubor detekován žádným AVG testem ani AVG Rezidentním štítem.

Tyto výjimky lze použít pouze pro "Potenciálně nežádoucí program". Pokud přidáte do výjimek soubor, ve kterém je detekován virus (Trojský kůň, W32..., I-Worm...), soubor bude stále detekován.

Výjimky se nevztahují na AVG Email scanner.

Poznámka: Tyto výjimky lze aplikovat pouze na soubory, nikoliv na složky.

Potenciálně škodlivé programy (anglicky Potentially Unwanted Programs, dále jen PUP) se mohou zdánlivě chovat jako adware/spyware nebo virus. Tyto soubory jsou však často instalovány s vědomím uživatele (např. samostatně jako nástroje pro vzdálenou správu, nebo jako součást jiných aplikací, sponzorovaných adwarem). Sponzorované aplikace (tedy aplikace, v nichž se například zobrazují reklamní pruhy) bývají označovány jako "AD-supported version".

Antivirový systém AVG je schopen některé PUP programy detekovat a popřípadě i odstranit. Dovolte, abychom Vás rovněž informovali, že pokud odstraníte jakýkoliv adware/spyware nebo PUP, může dojít k chybě aplikace, jejíž byl původně součástí, popřípadě kterou byl na Váš počítač nainstalován.

Můžete také vytvořit výjimku pro soubor detekovaný jako PUP. Takovýto soubor obsažený v PUP výjimkách nebude více detekován jako nebezpečný.

Postup jak přidat soubor do PUP výjimek je popsaný zde.

Pro detekci aktivních rootkitů obsahuje program AVG komponentu Anti-Rootkit. Komponenta Anti-Rootkit je schopna detekovat takovou infekci na základě definovaných pravidel. To znamená, že jsou detekovány všechny rootkity (nejenom infikované). V případě nálezu nějakého rootkitu tedy nemusí znamenat, že je počítač infikovaný. V některých případech mohou být rootkity použity jako ovladače nebo části korektních aplikací.

Zde naleznete seznam korektních aplikací používajících rootkit technologii:

Daemon Tools

• Detekovaný soubor:
  • C:\Windows\System32\drivers\al887uj6.sys
  • Jméno souboru se může lišit pokaždé, kdy je tento soubor odstraněn programem AVG.
• Po odstranění a následném restartu je tento skrytý ovladač opět detekován (obnoven aplikací).

Alcohol 120%

• Detekovaný soubor:
  • C:\Windows\System32\drivers\ajp34rie.sys
  • Jméno souboru se může lišit pokaždé, kdy je tento soubor odstraněn programem AVG.
• Po odstranění a následném restartu je tento soubor opět detekován (obnoven aplikací).

Služba User Profile Hive Cleanup

• Detekovaný soubor:
  • C:\Windows\System32\drivers\uphcleanhlp.sys
  • Soubor uphcleanhlp.sys je použiván pro kompletní ukončení uživatelské relace, po odhlášení uživatele.
• Výrobce je Microsoft Corp.

Více informací o rootkitech můžete nalézt zde:
http://cs.wikipedia.org/wiki/Rootkit

Test AVG může některé soubory detekovat jako Varování - Potenciálně nebezpečný objekt. Takto označené soubory mohou být infikovány, nebo představovat potenciální hrozbu. Typickým příkladem takové detekce jsou skryté soubory, podezřelé registrové klíče, heslem chráněné dokumenty či archivy, atd. 

Poznámka:
Pokud je některý soubor označen jako Informace, více informací o této detekci naleznete v FAQ článku 1618.

Varováním jsou označeny soubory které nemohou být otestovány (např. heslem chráněný archiv), nebo potenciálně podezřelé soubory (skryté soubory, cookies, atd.). Takovéto soubory nepředstavují přímou hrozbu pro Váš počítač nebo bezpečnost, ale informace o nich může být užitečná v případě adware nebo spyware infekce. Pokud ve výsledku zobrazuje test AVG pouze varování, není třeba provádět žádnou akci.

Toto je stručný popis nejběžnějších takto detekovaných objektů:

• Skryté soubory
  Skryté soubory nejsou ve výchozím nastavení Windows viditelné. Některé viry nebo jiné hrozby se mohou vyhýbat svému odhaleni právě použitím tohoto atributu pro své soubory. Pokud Vaše AVG reportuje skrytý soubor a vy máte podezření že je infikován, můžete jej přesunout do AVG Virového trezoru a zaslat k analýze.
• Cookies
  Cookies jsou textové soubory používané Internetovými stránkami k ukládání uživatelských informací. Ty mohou být využívány pro volbu vlastního vzhledu stránek, předvyplnění uživatelského jména, atd. Více informací je k dispozici v FAQ zaměřeném na tuto detekci.
• Podezřelé registrové klíče
  Některé škodlivé programy ukládájí své informace do registru pro zajištění jejich automatického spuštění po startu počítače, nebo pro rozšíření jejich vlivu na operační systém.
  

V případě potřeby můžete změnit nastavení testu AVG tak, aby zobrazoval pouze varovani ktera vas zajimaji:

• otevřete program AVG
• klikněte na Otestovat počítač
• zvolte "Změnit nastavení testu"
• případně můžete toto nastavení změnit v menu Nástroje - Pokročilé nastavení

Další informace o souborech detekovanch programem AVG jsou k dispozici v sekci FAQ zabývající se viry.

V některých případech může být detekce AVG, která je vytvořená pro rozpoznání souborů infikovaných některým virem, vyvolána souborem který infikován není. Taková detekce je označována jako Falešný poplach. Zasláním nesprávně detekovaných souborů nám umožníte detekci upravit a zajistit, že programem AVG budou hlášeny jen opravdu infikované soubory.

Typickými příklady falešného poplachu jsou sobory, které máte na svém počítači delší dobu (staré dokumenty, zálohy, atd.), nebo soubory které jsou používány běžnou/komerční aplikací.

Pokud máte podezření že AVG detekovalo na Vašem počítači neinfikovaný soubor, zašlete nám jej prosím přimo z Virového trezoru (klikněte na soubor ve Virovém trezoru pravým tlačítkem myši a z kontextové nabídky vyberte možnost "Odeslat k analýze"). O výsledku Vás budeme informovat, tak jak je popsáno na této stránce.

Internetový prohlížeč Mozilla Firefox používá od verze 3 nový formát pro ukládání cookies. Tyto záznamy nyní nejsou ukládány v prostém textu, ale v novém formátu SQLITE. Program AVG aktualizovaný na nejnovější programovou verzi (SP2) dokáže rozpoznat i tento nový formát cookie souboru a odstranit jeho nebezpečné části.

První verze viru rozpoznávaného programem AVG jako Downadup (případně I-Worm.Generic) byla poprvé detekována na konci listopadu / začátku prosince 2008. Aktuálně je známo více než 300 unikátních variant tohoto viru. AVG detekuje a chrání proti všem známým variantám tohoto červa.

Virus využívá pro své šíření především bezpečnostní chybu operačních systémů Windows, která je popsaná v MS Security Bulletin MS08-67 vydaném 23. října 2008 (včetně odkazů na odpovídající aktualizace Windows). Kromě využití této bezpečnostní chyby se vir šíří i v místních sítích útokem na slabá hesla ke sdíleným složkám, a pomocí Autorun funkce na výměnných zařízeních.

Pro ochranu proti tomuto viru je nutné nainstalovat zmíněnou aktualizaci Windows. Zároveň se ujistěte, že je Vaše AVG plně aktualizované. Pokud je Váš počítač tímto virem již infikován, je možné že aktualizace AVG bude selhávat. V takovém případě postupujte následovně:

• Otevřete Start -> Spustit.
• Napište 'cmd'.
• V okně příkazové řádky napište následující příkaz a stiskněte Enter:
  net stop dnscache
• Nyní bude možné AVG aktualizovat. Po provedení aktualizace spusťte test AVG pro odstranění infekce:
  AVG -> Otestovat počítač -> Test celého počítače
• Po dokončení testu restartujte prosím počítač.