Falešné antiviry

Stejně nechápu, proč tyhle podvodníky neodstřihnou/nezavřou/nezastřelí... Vždyť o nich v zemích odkud jsou musí vědět.

Jo, taky jsem jednoho takovýho šmejda odstraňoval bráchovi z počítača. Sviňa se usídlila v Dokumentech a nevím jak, ale v registrech se to přidalo do větve po spuštění, i přes omezenej účet. Nevím, jestli je možný v userovi zapisovat do této větve. No, naštěstí to žádnou paseku neudělalo.

Když to napadne něco co běží pod systémovým účtem, tak to IMHO může cokoli...

Netuším, brácha aj jeho mladej jsou pod omezeným účtem, muselo se to tam dostat z toho účtu, protože to napadlo pouze ten jeden účet, ostatní byly nedotčeny.
Vypadalo to jako nějakej obyčejnej program, kterej se spustil hned z kraja, bylo to obyčejný .exe zašitý trochu houběji v dokumentech toho jednoho účtu. Jen otravná tabulka. Sestřelit to šlo jen vyvoláním taskmanageru, pak jsem ještě ručně spustil explorer a byl jsem v účtu.

do větve [hcu/.../run] - proč ne? málokterý vir má "neadministrátorskou" fantazii, čekal jsem že se to stane.
přihlásíš se jako jiný uživatel, čili vir nemáš spuštěný, a z disku to hravě smažeš. (kdybys měl třeba salamander, v jeho editoru registrů uvidíš i datum změny, což může být zajímavé pro odhalení původu nákazy).

pak to můžeš buď dohledat v registrech v [h_users/...], nebo se přihlásíš už bezpečně "nakaženým" účtem, a přebytečný záznam z [hcu] smažeš.

ad podvodné antiviry z toho článku - "SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure a XP AntiVirus":
všechny nabízí svou instalaci z nedůvěryhodného internetu, ze stránek které nepatří žádnému známému antiviru, instalační skript se táže v angličtině. přesto si to místní tupohlaví instalují, protože budou mít zase něco zadarmo. k tomu nezbývá než - dobře jim tak.

Tedy mi prosím ještě prozraď, jak dostanu z té větve [hcu/.../run] ten zápis pryč, aniž bych dočasně povýšil user účet na admina, bo jako user nemůžu spustit regedit. Nebo su lama, protože nevím, jestli se z jinýho (admin) účtu dostanu na tu konkrétní větev druhýho účtu. V registrech se vyznám enem povrchně, takže zatím jsem přistupoval do každé větve HCU z příslušnýho účtu. Doufám, že jsem to napsal pochopitelně.

Jo chápu jak to myslíš. Jestli ale nemůžeš pod tím userem pustit regedit, tak je to práce viru s admin právy, normálně to jde.

Pusť regedit pod adminem a jdi do HKEY_USERS, tam najdeš takové dlouhé generované ID (říká se tomu SID). Je to vlastně, jak se uživatel v systému opravdu jedinečně identifikuje.

http://www.windowsnetworking.com/kbase/WindowsTips /WindowsNT/RegistryTips/Registry/HKEY_USERS.html

Nebo pod adminem odstraň to, co vir udělal s politikami spouštění programů editujícíc registry.

Aj jaj, sypu si popel na hlavu, su opravdu lama, já žil v domění, že mě to pod userem do regeditu ani nepustí a ono to jde! Já to totiž ani nezkusil.
Asi si to pletu s msconfigem, kterej pod userem pustit nejde, to bude asi ono. Díky za osvětu.
Nemám tolik zkušeností, neb nemám tu potřebu se v registrech za každou cenu vrtat, starám se o počítač tak, že do toho nemusím furt lozit a něco opravovat, Windows mi jedou bez problémů několik let na jednu instalaci. Kdyby mi tenkrát nechcípnul disk, tak by to byly nějaký 4 roky. Takhle to jsou jen dva a něco.

Nedávno jsem userský vir chytil, a to přes nezáplatovaný firefox 3.5.5.

Jediné co to umělo bylo nakopírovat trojan do uživatelské složky "po spuštění", a ještě si to pustilo normálně viditelnou batku.

Tyhle viry se dělají kvůli UAC ve Vistě a Winows 7, už to pro tvůrce virů není tak jednoduché jako u XP.

Pokud je takhle napadnutelný proces běžící pod local system, je to větší problém. Ale kdo čeká, že mu pomůže antivir je dost naivní...

No, antivir ani neměli, bo na té staré šunce byl antivir takovou zátěží, že se s tím nedalo pracovat. Navíc je to prakticky obyčejnej program, jen s trochu nestandardní instalací, takže to antivir ani nemohl identifikovat jako vir. Zkoušel jsem Superantispyware, ten se taky nechytnul.

Já používám online antivir od esetu, když chci zkontrolovat nějaký počítač. Ale ak říkáš v tomhle případě je antivir k ničemu. Ostatně, moderní antiviry jsou takové příšery, že je často jednodušší odstranit ten falešný než ten pravý. Na pravé antiviry musí antivirové firmy dodávat zvláštní odvirovátka, pardon odinstalátory.

Já jsem antivir zavrhl asi před rokem. Od té doby jsem to před nedávnem jednou projel online scannerem a výsledek? Čisto. A když čtu, co komu dělá za paseku Norton, tak raději pryč od něj. NOD32 není free, ostatní freeAV viditelně zdržovaly systém. Ve výsledku žiju stejně bez AV, jako dřív s AV. I když jsem něco měl, stejně jsem nikdy nic nechytil. Jen podělaná Avira hlásila falešný poplachy a AVG byl šmejd, kterej prostě chytil soubor a nenechal si udělat vyjímku, když jsem věděl, že se jedná o čistej/neškodnej soubor. Fuj, než tohle, to raději nic - a taky to jde.

Já jsem bez antiviru už leta letoucí od doby, kdy jsem míval notebook P II s 128 MB RAM s pomalým diskem, který spolehlivě zastavil jakýkoliv antivir i z té doby (2003/4). Vir jsem chytil na různých počítačích dvakrát. Jednou když jsem připojil nezáplatované Win 2000 do zavirované sítě (cca 2006) a teď před týdnem s ani ne 3/4 měsíce starým Firefoxem. Myslím, že to o bezpečnosti firefoxu říká dost.

V obou případech si za to můžu sám, snadno bych tomu zabránil, kdybych aktualizoval. Tedy za předpokladu, že tu díru v FF opravili. Tady je zase vidět, jaká je "důležitá role" antiviru.

A to díky tomu, že MS si vychoval uživatele na admin účtech. Díky tomu tolik AV firem profituje.

Když už člověk vidí reklamu na Eset i v televizi, tak to dodává ten pocit, že antivir je povinností.

Vidis, ja mam omezeny ucet a avast tu a tam neco na zaplatovanem firefoxu neco odchytne... A to se nezminuji o sluzbach s pravy admina, ktere mohou byt napadeny diky neodstranenym chybam v implementaci.

Panove, silne mi pripominate pubertaky, kteri si mysli, ze kondom (omezeny ucet) jim pomuze od otcovstvi (nakazy). Proc si brat hormonalni antikoncepci (rezidentni antivir), kdyz je s ni neustala otrava a "nic se prece nemuze stat"? Ten risk a zrychleni za to urcite stoji... Jenze, co kdyz kondom rupne? Vetsinou se nic nestane pripadne vy osobne mate zkusenosti s "andelickarstvim". Normalni user vask nikoliv a odstraneni skod zabere vice casu nez zpozdeni AV (z pohledu bezneho usera)...

Co se tyka poskozovani jater z hormonalni antikoncepce (zpomaleni systemu), tak trvaly prisun alkoholu (nejaky priblbly doplnek systemu) je poskozuje mnohem vice.

AV sice trochu zpomali system (osobne rikam, ze to neni zas tak hrozne), avsak kombinaci nastroju vznika synergicky efekt (sice nikdy nemuze byt 100%, ale dost se te hranici blizi), ktereho pouze s jednim nastrojem nikdy nedosahnete.

Pokud ma byt 100% ochrana, znamena to nelezt na sit, nepripojovat externi a neproverena media. Proste zit v celibatu je jedinna ochrana.

PS: s Avastem jsem mel asi tolik problemu (falesnych poplachu) jako s NODem.

Já myslím, že ti jen těžko někdo může vyvrátit, že nejbezpečnější varianta je omezený účet + antivir.

Celibát internetu je asi jediné spolehlivé řešení.
Ono se dávno nejedná o viry, spíše o brebery.

Přirovnání kulhá. Mezi malware a legitimním softwarem je totiž šedá zóna a žádný software nedovede spolehlivě poznat, co je dobré a co je špatné. Osobně řadím rezidentní antiviry vzhledem k jejich přístupu systému když ne do černé, tak do šedé zóny určitě. Antivir je vhodný doplněk zabezpečení a já ho také nikomu nedoporučuju nepoužívat. Na druhou stranu, pokud se někdo z vlastní vůle rozhodne AV nepoužívat, tak proč nepřiznat výhody, které to přináší - výkon systému a kontrola nad ním.

PS. Opět opakuji, že s Firefoxem mě to nepřekvapuje. Bezpečnostní model Firefoxu je nedobrý.

ano user ma vlastnu vetvu "po spusteni". Vsetko co je v HKCU je userove.

Silně mám dojem, že takové "AV" osloví dost userů,
alespoň některé dotazy na to vyloženě směřují.

Celý problém je v tom,že takéto utility sú zadarmo,čo je velmi lákavé pre potencionálneho užívatela a čo je ešte horšie, robia si z nejakých prístupových práv nanajvýš tak dobrý deň,takže nejaký obmezený účet obvykle neznamená žiadny vážny problém.Ich súčasti štartujú ešte pred samotným systémom a procesy ako winlogon,lsass sú napadnurté a modifikované ako prvé,takže prístup si udelí falošný antivírus a skutočný systém na to obvykle prestane mať akýkolvek vplyv-pokial by prístupové práva fungovali za každých okolností,tak nástup winNT systémov na desktopy by v praxi znamenal koniec akýchkolvek vírusov,nemali by sa ako šíriť,skutočnosť je ovšem niekde úplne inde,malware prežil,žije a je čoraz agresívnejší a nenápadnejší a ťažšie,komplikovanejšie odstránitelný....

Souhlasim a jsem rad, ze jsem se zbytecne nikdy nenechal omezovat a otravovat user uctem, ktery je proti temto novym vecem (nejen falesne AV) v podstate k nicemu, coz se uz dyl pise na jinych webech. Nezbyva nez doufat, ze si lidi pred shanenim free AV zajdou na nejaky forum nebo se nekoho zeptaji, jinak se to bude sirit vic a vic.

Ty jsi marný případ. Prej "omezovat a otravovat."

A co ti udělaly free antiviry? Berou ti kšefty?

audax: 99% win-users ovšem má ty admošská práva, a nechápe že by to mělo být jinak.
proto nástup nt neznamenal vůbec nic, proto jsou restrikce ve vistě 15 let zpozdilé - protože dementně vychovaní jsou už dávno profesionálně se živící programátoři pod windows.

nepřekvapuje mě, že žádný soft od 1/4 miliónu nahoru není schopný běžet pod neadmošským účtem. je specializovaný, drahý, čili málo testovaný. výrobce si nedokáže představit ani jinou verzí os než anglickou, a že existují i nepriviligeované účty - za ty prachy? naprosto mimo chápání celé té firmy.

rozuměl bych tomu, kdyby se našel vir, který si pomocí nezáplatované díry v povýší svá práva na system, a pak se chová jako admin, to ocením. ale realita je taková, že 99.5% jsou lama-viry, spoléhající na práva správce. nebo spyware, proti kterému domácí samoadmin staví antivir a diví se že ničemu nezabránil.

uživatel radek: kdekdo má svaté právo být lama - já třeba nerozumím vůbec ničemu z kutilské poradny, a nechodím je tam poučovat. ale potom by neměl svůj hloupý názor vydávat za všeobecně platný - řečeno s baldrickem z černé zmije: za vychytralý.