Virus "policie ČR" a neprivilegovaný účet

napadnout může i neprivilegovaný účet, schovává se v profilu uživatele.

Rozdíl je v tom, že nedojde ke globální nákaze všech účtů nebo celého PC.

Napadne to účet, který používáš. Jsi-li admin, máš to pod adminem. Tenhle potrat u zákošů odstraňuju jak na běžícím pásu (deset do týdne - naposled včera).

Trochu bych to poopravil. Je-li admin, tak to má všude.

Tak.

Tak vsemu bych veril, ale tomuto ne. Dyt tady ty hlavy pomazany nebo vymazany neustale tvrdi, jak je omezeny ucet bezpecny... Tenhle dotaz by se mel prispendlit pro ostatni, aby vsichni videli kdo a co jim tady radi za nesmysly.

Takze dementici, obnova zavirovaneho PC je mnohem spolehlivejsi a mene otravna z admin uctu, nez se babrat s omezenym dementem, ktery se nakazi jedna dve.

Co to plácáš? Nikdo tu netvrdí, že je omezený účet zcela bezpečný. Je jenom bezpečnější.
Obnova zavirovaného počítače je opravdu méně otravná z admin účtu. A ten bude v případě používání omezeného účtu čistý a tak bude práce mnohem snazší.

Jediny co tu pise nezmysly si ty, by ta mali prispendlit na prvu stranu google ako odstrasujuci priklad.
V prvom rade je ochrana v tom co obsluha robi a co ne. V druhom rade je ochrana v tom ze user ucet spravidla nenakazi PC len nahra kdesi subor s pravami user, co nasledne moze odstranit aj BFU lavou zadnou za 1sekundu (ptz neni nakazeny Win ako taky). V tretom rade ked si myslis ze by ti pomohol nejaky dementny znefunkcnovaic antivirak, tak to sa musim ist von pol roka rehotat.
P.S. kvoli nejakej diere Win je (velmi zriedkavo) mozne aby skodlivy SW ziskal vyssie prava, v tom ti ale nepomoze ani antivir a nebol to tento pripad. Hlavny doraz sa pri ochrane musi klast na obsluhu, neni mozne technicky zabranit sireniu viru ak ho siri aktivne obsluha PC.

a hlavně: celá "nákaza" končí s odhlášením daného uživatele, proces nemá právo "přežít" odhlášení.

Jinak naprostý souhlas. "Vymazanec" nechápe základní principy..

Tvůj nick sedí.

Ahoj Radku

Misto psani nesmyslu by jsi mel delat neco na sve urovni, treba zametat chodniky.

Pavle, používáš nějaký antivir? A tušíš, kudy se ti to do PC dostalo?

Je tedy vůči tomuhle vůbec nějaká účinná ochrana? Firewall, antivir, aktualizovaný OS, prohlížeč, aktualizovaná Java (no, v rámci možností), Adobe produkty (Flash, případně další). Nebo je to o náhodě a když člověk narazí na závadnou stránku, je (ať admin či omezený user) ústy klasika takříkajíc v ři*i?

Našel jsem - "Je to nějaká varianta trojanu Ransome - Win32/Ransom ke svému šíření využívá jak weby s různým ilegálním obsahem, tak kompromitované legitimní weby. Nezneužívá chyb přímo v prohlížečích, ale spíše v hojně využívaných plug-inech jako je Flash Player a Java nebo plug-inu PDF prohlížeče Adobe Reader. Obranou je v první řadě jich pravidelná aktualizace."

V pondělí jsem to odstraňoval z jednoho neprivilegovaného účtu - stáhl jsem AVG Rescue CD, aktualizoval - našlo to Trojan horse Generic32.CAE, Trojan horse ScreenLocker.LA, Trojan horseSHeur4.BDBF v 5ti souborech. Po vyléčení je PC OK.

ucinna ochrana samozrejme existuje a velmi jednoducha - Linux or Mac .

takové rhetorické výkřiky si nechej na fórum živě. žádný os není všespasitelný.

1. Nikde nekricim. pytal sa na riesenie, dal som mu ho.
2. Nikde netvrdim, ze je nejaky OS vsespasitelny, ale tu som si uz velakrat vsimol, ze ludia z prispevkov dedukuju aj to co tam nie je.
3. Kde na fore o OS X ci nejakej distribucii linuxu riesia podobne problemy s bezpecnostou alebo ze niekto chytil vir?

Asi napisem clanok o tom, ako switchnut na Mac (neskor aj na linux) aj so zoznamom alternativ k jednotlivym windows software-om.

Na PC nepoužívám ani nemám instaován žádný antivir ani žádný řešení "secure". Prostě nic. Trvale jedu pod omezeným účtem, na admina se přepínám jen při instalaci novýho SW.

Poslední den, týden, měsíc jsem na PC pracoval jako vždy, nic zvláštního jsem nedělal, odkud to přišlo vážně netuším.

Pavel

Virus využívá díru v FlashPlayer, takže stačí jít na stránku, kde je daný flash
Zapíše se do profilu, nastaví pro automatické spouštění, zabraňuje spuštění správce úloh apod.
Pokud nechceš specializovaný soft, stačí ProcessExplorer, kterým odstřelíš jeho proces, odmažeš soubor a odstraníš jej ze spouštění.

Tak se mi to přihodilo znovu (ach jo), napraveno za cca 5 minut: restart, F8, nouzový režim s příkazovým řádkem, správce úloh, nová úloha a spustil jsem RogueKiller (mám verzi 8.5.2 někdy z března). Není to tragédie, protože vždy pracuju pod omezeným účtem.

Po minulé události jsem aktualizoval FlashPlayer, Operu mám 12.15 a stejně jsem se zase nákaze nevyhnul.
Jestli já něco nedělám špatně...

Pavel

zranitelné doplňky v prohlížeči: adobe flash player, adobe reader, java.

Taky jsem už dneska byl na "odpolicajtování". Já nevím jak to dělám, ale na svých počítadlech jsem to ještě neměl...

Skus pouzivat firefox ten zakazuje derave doplnky automaticky :D
Inac skus si vypnut aj doplnok adobe reader preistotu, tym sa ti nebudu automaticky otvarat pdf v prehliadaci (ano to je ZAKLAD bezpecnosti, NIC automaticky, aj ked sa to niekomu moze zdat ako nenormalne obmedzovanie svojich ludskych prav a slobod :D lol). Jak casto zobrazujes pdf? To je tak tazke kliknut vpravo hore na downloaded files a na to pdf ked sa dotaha na disk? Vyhoda - nespusti sa SAMO ziadne pdf ktore nechces.
Vo firefoxe v about:config si zapni funkciu click_to_play. Plati stejna vec jak v predch.vete.

Ja viem moze to vypadat jak masochizmus ale podla mna je to absolutne idealna vec :D Len keby nevyskakovalo to dementne okno vlavo hore obcas (ze ci povolit doplnky furt zaskrtavam NIKDY NEPOVOLIT TY POSRATY BLBY FIREFOX OTRAVNY :), snad to v dalsej verzii vyhodia. Doplnok sa spusti az po kliknuti na neho. Tym minimalizujes riziko nechceneho nakazenia cez doplnky. (a dalsia vyhoda - nebezia flash reklamy :D)

Firefoxu jsem nikdy nepřišel na chuť, jsem operista (operátor?).
No zrovna dnes jsem z webu nějaký PDFka přímo otvíral, ale virus přišel až o dost později, taže tady příčinná suvislost nebude; ale díky za radu, dám si na to pozor a budu je radši stahovat na disk.

Pavel

Tie co otviras aktivne tak tie su snad ciste tam je to jedno. Ide o to ze na nejakom "nakazenom" webe moze byt kod na automaticke otvorenie specialne upraveneho pdf ktore nakazuje. Preto pisem zakazat automaticke otvaranie. Ptz nakazene skryte pdf si nestiahnes rucne a neotvoris ho :D

Dalsia vec je java. Ak to nepouzivas (dnes sa to takmer nepouziva) a ak to mas nainstalene (viz ovl.panely-software) tak javu odinstaluj.

flashplayer sa uisti ze mas aktualnu verziu, idealne ak by opera vedela click to play, neviem nepouzivam.

Také jsem se setkal s chřipkou. Po vyléčení se mi na ploše nezobrazují ikony. Sice když dám pravý, klik Zobrazit > Zobrazit ikony na ploše (vypnu zobrazení) a pravý, klik Zobrazit > Zobrazit ikony na ploše (zapnu zobrazeni) tak je to v pořádku do doby restartu PC. Má otázka tedy zní jestli za to může nemoc a jak se zbavit nachlazení?
OS Vista, neprivilegovaný účet (PC není můj, pouze ho uzdravuji).

v normálním správci souborů bych se podíval na obsah adresáře c:\users\nakažený uživatel\desktop, včetně desktop.ini
v msconfig.exe bych prošel všechny automaticky spouštěné položky po startu a začal tam hubit.
v registrech bych zkontroloval policies:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

díky omezenému předpokládám, že jiné účty fungují korektně a policies jsou v pořádku.

C:\users\nakažený uživatel\desktop\desktop.ini vporadku
msconfig.exe davno vyhubeno
EY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
viz priloha

policies: nic zajímavého, možná jestli ještě něco není ve větvi "system".

pozn.: ten "nodrivetypeautorun" je lepší nastavit na "ff". ale raději pro všechny uživatele

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Tak já už nevím, v dané větví kromě položek výchozí nic není.