Virus "policie ČR" a neprivilegovaný účet
Win 7, Opera, neprivilegovaný účet (ne-admin účet, omezený uživatelský účet).
Právě jsem se popral s virem "policie čr". Je ale zajímavý, že mi tento virus napadl PC, i když trvale pracuju pod omezeným účtem. Nepomohlo ani nabootování do nouzovýho režimu, hned po přihlášení uživatele se mi PC restartoval.
Dokázal by mi někdo vysvětlit, jak je to vůbec možný? Jak to virus dokázal, kde vzal práva na zápis tak, aby takovým způsobem znefunkčnil systém?
Jinak náprava byla kupodivu snadná, nouzový režim s příkazovým řádkem a program RogueKiller, viz návod http://www.viruskasino.com/2012/10/pozor-vas-pocit ac-je-zablokovany_6.html
Pavel
Pavle, používáš nějaký antivir? A tušíš, kudy se ti to do PC dostalo?
Je tedy vůči tomuhle vůbec nějaká účinná ochrana? Firewall, antivir, aktualizovaný OS, prohlížeč, aktualizovaná Java (no, v rámci možností), Adobe produkty (Flash, případně další). Nebo je to o náhodě a když člověk narazí na závadnou stránku, je (ať admin či omezený user) ústy klasika takříkajíc v ři*i?
ucinna ochrana samozrejme existuje a velmi jednoducha - Linux or Mac
.
takové rhetorické výkřiky si nechej na fórum živě. žádný os není všespasitelný.
1. Nikde nekricim. pytal sa na riesenie, dal som mu ho.
2. Nikde netvrdim, ze je nejaky OS vsespasitelny, ale tu som si uz velakrat vsimol, ze ludia z prispevkov dedukuju aj to co tam nie je.
3. Kde na fore o OS X ci nejakej distribucii linuxu riesia podobne problemy s bezpecnostou alebo ze niekto chytil vir?
Asi napisem clanok o tom, ako switchnut na Mac (neskor aj na linux) aj so zoznamom alternativ k jednotlivym windows software-om.
Na PC nepoužívám ani nemám instaován žádný antivir ani žádný řešení "secure". Prostě nic. Trvale jedu pod omezeným účtem, na admina se přepínám jen při instalaci novýho SW.
Poslední den, týden, měsíc jsem na PC pracoval jako vždy, nic zvláštního jsem nedělal, odkud to přišlo vážně netuším.
Pavel
Tak se mi to přihodilo znovu (ach jo), napraveno za cca 5 minut: restart, F8, nouzový režim s příkazovým řádkem, správce úloh, nová úloha a spustil jsem RogueKiller (mám verzi 8.5.2 někdy z března). Není to tragédie, protože vždy pracuju pod omezeným účtem.
Po minulé události jsem aktualizoval FlashPlayer, Operu mám 12.15 a stejně jsem se zase nákaze nevyhnul.
Jestli já něco nedělám špatně...
Pavel
zranitelné doplňky v prohlížeči: adobe flash player, adobe reader, java.
Taky jsem už dneska byl na "odpolicajtování". Já nevím jak to dělám, ale na svých počítadlech jsem to ještě neměl...
Skus pouzivat firefox ten zakazuje derave doplnky automaticky :D
Inac skus si vypnut aj doplnok adobe reader preistotu, tym sa ti nebudu automaticky otvarat pdf v prehliadaci (ano to je ZAKLAD bezpecnosti, NIC automaticky, aj ked sa to niekomu moze zdat ako nenormalne obmedzovanie svojich ludskych prav a slobod :D lol). Jak casto zobrazujes pdf? To je tak tazke kliknut vpravo hore na downloaded files a na to pdf ked sa dotaha na disk? Vyhoda - nespusti sa SAMO ziadne pdf ktore nechces.
Vo firefoxe v about:config si zapni funkciu click_to_play. Plati stejna vec jak v predch.vete.
Ja viem moze to vypadat jak masochizmus ale podla mna je to absolutne idealna vec :D Len keby nevyskakovalo to dementne okno vlavo hore obcas (ze ci povolit doplnky furt zaskrtavam NIKDY NEPOVOLIT TY POSRATY BLBY FIREFOX OTRAVNY :), snad to v dalsej verzii vyhodia. Doplnok sa spusti az po kliknuti na neho. Tym minimalizujes riziko nechceneho nakazenia cez doplnky. (a dalsia vyhoda - nebezia flash reklamy :D)
Firefoxu jsem nikdy nepřišel na chuť, jsem operista (operátor?).
No zrovna dnes jsem z webu nějaký PDFka přímo otvíral, ale virus přišel až o dost později, taže tady příčinná suvislost nebude; ale díky za radu, dám si na to pozor a budu je radši stahovat na disk.
Pavel
Tie co otviras aktivne tak tie su snad ciste tam je to jedno. Ide o to ze na nejakom "nakazenom" webe moze byt kod na automaticke otvorenie specialne upraveneho pdf ktore nakazuje. Preto pisem zakazat automaticke otvaranie. Ptz nakazene skryte pdf si nestiahnes rucne a neotvoris ho :D
Dalsia vec je java. Ak to nepouzivas (dnes sa to takmer nepouziva) a ak to mas nainstalene (viz ovl.panely-software) tak javu odinstaluj.
flashplayer sa uisti ze mas aktualnu verziu, idealne ak by opera vedela click to play, neviem nepouzivam.
Také jsem se setkal s chřipkou. Po vyléčení se mi na ploše nezobrazují ikony. Sice když dám pravý, klik Zobrazit > Zobrazit ikony na ploše (vypnu zobrazení) a pravý, klik Zobrazit > Zobrazit ikony na ploše (zapnu zobrazeni) tak je to v pořádku do doby restartu PC. Má otázka tedy zní jestli za to může nemoc a jak se zbavit nachlazení?
OS Vista, neprivilegovaný účet (PC není můj, pouze ho uzdravuji).
v normálním správci souborů bych se podíval na obsah adresáře c:\users\nakažený uživatel\desktop, včetně desktop.ini
v msconfig.exe bych prošel všechny automaticky spouštěné položky po startu a začal tam hubit.
v registrech bych zkontroloval policies:
díky omezenému předpokládám, že jiné účty fungují korektně a policies jsou v pořádku.
C:\users\nakažený uživatel\desktop\desktop.ini vporadku
msconfig.exe davno vyhubeno
EY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
viz priloha
policies: nic zajímavého, možná jestli ještě něco není ve větvi "system".
pozn.: ten "nodrivetypeautorun" je lepší nastavit na "ff". ale raději pro všechny uživatele
Tak já už nevím
, v dané větví kromě položek výchozí nic není.