Virus "policie ČR" a neprivilegovaný účet
Win 7, Opera, neprivilegovaný účet (ne-admin účet, omezený uživatelský účet).
Právě jsem se popral s virem "policie čr". Je ale zajímavý, že mi tento virus napadl PC, i když trvale pracuju pod omezeným účtem. Nepomohlo ani nabootování do nouzovýho režimu, hned po přihlášení uživatele se mi PC restartoval.
Dokázal by mi někdo vysvětlit, jak je to vůbec možný? Jak to virus dokázal, kde vzal práva na zápis tak, aby takovým způsobem znefunkčnil systém?
Jinak náprava byla kupodivu snadná, nouzový režim s příkazovým řádkem a program RogueKiller, viz návod http://www.viruskasino.com/2012/10/pozor-vas-pocit ac-je-zablokovany_6.html
Pavel
Tak vsemu bych veril, ale tomuto ne. Dyt tady ty hlavy pomazany nebo vymazany neustale tvrdi, jak je omezeny ucet bezpecny... Tenhle dotaz by se mel prispendlit pro ostatni, aby vsichni videli kdo a co jim tady radi za nesmysly.
Takze dementici, obnova zavirovaneho PC je mnohem spolehlivejsi a mene otravna z admin uctu, nez se babrat s omezenym dementem, ktery se nakazi jedna dve.
Jediny co tu pise nezmysly si ty, by ta mali prispendlit na prvu stranu google ako odstrasujuci priklad.
V prvom rade je ochrana v tom co obsluha robi a co ne. V druhom rade je ochrana v tom ze user ucet spravidla nenakazi PC len nahra kdesi subor s pravami user, co nasledne moze odstranit aj BFU lavou zadnou za 1sekundu (ptz neni nakazeny Win ako taky). V tretom rade ked si myslis ze by ti pomohol nejaky dementny znefunkcnovaic antivirak, tak to sa musim ist von pol roka rehotat.
P.S. kvoli nejakej diere Win je (velmi zriedkavo) mozne aby skodlivy SW ziskal vyssie prava, v tom ti ale nepomoze ani antivir a nebol to tento pripad. Hlavny doraz sa pri ochrane musi klast na obsluhu, neni mozne technicky zabranit sireniu viru ak ho siri aktivne obsluha PC.
a hlavně: celá "nákaza" končí s odhlášením daného uživatele, proces nemá právo "přežít" odhlášení.
Jinak naprostý souhlas. "Vymazanec" nechápe základní principy..
Pavle, používáš nějaký antivir? A tušíš, kudy se ti to do PC dostalo?
Je tedy vůči tomuhle vůbec nějaká účinná ochrana? Firewall, antivir, aktualizovaný OS, prohlížeč, aktualizovaná Java (no, v rámci možností), Adobe produkty (Flash, případně další). Nebo je to o náhodě a když člověk narazí na závadnou stránku, je (ať admin či omezený user) ústy klasika takříkajíc v ři*i?
ucinna ochrana samozrejme existuje a velmi jednoducha - Linux or Mac
.
takové rhetorické výkřiky si nechej na fórum živě. žádný os není všespasitelný.
1. Nikde nekricim. pytal sa na riesenie, dal som mu ho.
2. Nikde netvrdim, ze je nejaky OS vsespasitelny, ale tu som si uz velakrat vsimol, ze ludia z prispevkov dedukuju aj to co tam nie je.
3. Kde na fore o OS X ci nejakej distribucii linuxu riesia podobne problemy s bezpecnostou alebo ze niekto chytil vir?
Asi napisem clanok o tom, ako switchnut na Mac (neskor aj na linux) aj so zoznamom alternativ k jednotlivym windows software-om.
Na PC nepoužívám ani nemám instaován žádný antivir ani žádný řešení "secure". Prostě nic. Trvale jedu pod omezeným účtem, na admina se přepínám jen při instalaci novýho SW.
Poslední den, týden, měsíc jsem na PC pracoval jako vždy, nic zvláštního jsem nedělal, odkud to přišlo vážně netuším.
Pavel
Tak se mi to přihodilo znovu (ach jo), napraveno za cca 5 minut: restart, F8, nouzový režim s příkazovým řádkem, správce úloh, nová úloha a spustil jsem RogueKiller (mám verzi 8.5.2 někdy z března). Není to tragédie, protože vždy pracuju pod omezeným účtem.
Po minulé události jsem aktualizoval FlashPlayer, Operu mám 12.15 a stejně jsem se zase nákaze nevyhnul.
Jestli já něco nedělám špatně...
Pavel
zranitelné doplňky v prohlížeči: adobe flash player, adobe reader, java.
Taky jsem už dneska byl na "odpolicajtování". Já nevím jak to dělám, ale na svých počítadlech jsem to ještě neměl...
Skus pouzivat firefox ten zakazuje derave doplnky automaticky :D
Inac skus si vypnut aj doplnok adobe reader preistotu, tym sa ti nebudu automaticky otvarat pdf v prehliadaci (ano to je ZAKLAD bezpecnosti, NIC automaticky, aj ked sa to niekomu moze zdat ako nenormalne obmedzovanie svojich ludskych prav a slobod :D lol). Jak casto zobrazujes pdf? To je tak tazke kliknut vpravo hore na downloaded files a na to pdf ked sa dotaha na disk? Vyhoda - nespusti sa SAMO ziadne pdf ktore nechces.
Vo firefoxe v about:config si zapni funkciu click_to_play. Plati stejna vec jak v predch.vete.
Ja viem moze to vypadat jak masochizmus ale podla mna je to absolutne idealna vec :D Len keby nevyskakovalo to dementne okno vlavo hore obcas (ze ci povolit doplnky furt zaskrtavam NIKDY NEPOVOLIT TY POSRATY BLBY FIREFOX OTRAVNY :), snad to v dalsej verzii vyhodia. Doplnok sa spusti az po kliknuti na neho. Tym minimalizujes riziko nechceneho nakazenia cez doplnky. (a dalsia vyhoda - nebezia flash reklamy :D)
Firefoxu jsem nikdy nepřišel na chuť, jsem operista (operátor?).
No zrovna dnes jsem z webu nějaký PDFka přímo otvíral, ale virus přišel až o dost později, taže tady příčinná suvislost nebude; ale díky za radu, dám si na to pozor a budu je radši stahovat na disk.
Pavel
Tie co otviras aktivne tak tie su snad ciste tam je to jedno. Ide o to ze na nejakom "nakazenom" webe moze byt kod na automaticke otvorenie specialne upraveneho pdf ktore nakazuje. Preto pisem zakazat automaticke otvaranie. Ptz nakazene skryte pdf si nestiahnes rucne a neotvoris ho :D
Dalsia vec je java. Ak to nepouzivas (dnes sa to takmer nepouziva) a ak to mas nainstalene (viz ovl.panely-software) tak javu odinstaluj.
flashplayer sa uisti ze mas aktualnu verziu, idealne ak by opera vedela click to play, neviem nepouzivam.
Také jsem se setkal s chřipkou. Po vyléčení se mi na ploše nezobrazují ikony. Sice když dám pravý, klik Zobrazit > Zobrazit ikony na ploše (vypnu zobrazení) a pravý, klik Zobrazit > Zobrazit ikony na ploše (zapnu zobrazeni) tak je to v pořádku do doby restartu PC. Má otázka tedy zní jestli za to může nemoc a jak se zbavit nachlazení?
OS Vista, neprivilegovaný účet (PC není můj, pouze ho uzdravuji).
v normálním správci souborů bych se podíval na obsah adresáře c:\users\nakažený uživatel\desktop, včetně desktop.ini
v msconfig.exe bych prošel všechny automaticky spouštěné položky po startu a začal tam hubit.
v registrech bych zkontroloval policies:
díky omezenému předpokládám, že jiné účty fungují korektně a policies jsou v pořádku.
C:\users\nakažený uživatel\desktop\desktop.ini vporadku
msconfig.exe davno vyhubeno
EY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
viz priloha
policies: nic zajímavého, možná jestli ještě něco není ve větvi "system".
pozn.: ten "nodrivetypeautorun" je lepší nastavit na "ff". ale raději pro všechny uživatele
Tak já už nevím
, v dané větví kromě položek výchozí nic není.