Mám v počítači vir !
Přátele mám v počítači nějaký vir.
Je dost nechutný, protože NOD32 ani Ad-Aware nic nehlasí.
Nicméně vir v PC mám což jsem poznal podle příznaků:
![[http://img105.imageshack.us/img105/4097/hruzahm7.pn g]](http://img105.imageshack.us/img105/4097/hruzahm7.png)
Zjistil jsem, že spouštěcí soubor Total Commanderu je rovněž modifikován.
Co navrhujete ? Byl jsem neopatrný a vložil jsem ve škole do PC flashdisk.
V některých situacích se mi to zadrhává. Třeba když kliknu v nabídce start pravým talčítkem myši na nějakého zástupce
tak se PC asi na 20s zasekne a kurzor se zobrazuje jako presýpací hodiny a nemohu s tím pracovat jen čekat.
Zdravim vsechny,
par informaci ohledne haveti jmenem ctfmon alias.
Tahle havet sice neni extra nebezpecna, ale celkem dost otravna.
Siri se celkem zajimave:
Po spusteni je vir spusteny v pameti a "ciha" na vlozeni/namapovani noveho disku (vlozeni usb flash, namapovani sitoveho disku, vlozeni pametove karty, atd.)
Jakmile k uvedenemu dojde, vir na tomto novem disku vytvori:
- soubor "autorun.inf"
- adresar "recykled," do nehoz ulozi specifikacni soubor desktop.ini, ktery zpusobi, ze adresar vypada jako "kos" od windows, a do tohoto "kose" ulozi svoji kopii.
Po vlozeni/namapovani infikovaneho disku na jinem pocitaci windows bud automaticky spusti vir na disku, protoze najde "autorun.inf" nebo kdyz na disk kliknete v pruzkumnikovi (tento pocitac -> klik na disk), dojde taktez k jeho spusteni. Program obvykle nahlasi chybu (chyba ve viru) nebo otevre disk aby uzivatel nic nepoznal.
Mezitim se vsak zkopiruje do slozky "po spusteni," aby byl spousten pokazde, kdyz se zapne windows a mohl cihat na dalsi disk, ktery napadne.
Tahle potvurka se celkem slusne siri.
Pro odstraneni je potreba:
- ctrl-alt-delete a zabit proces ctfmon
- ve vsech korenovych adresarich smazat autorun.inf a adresar recycled (totez na vsech svych flashkach.
- smazat ctfmon v adresari "po spusteni" v nabidce start
Pro zamezeni sireni:
- Zakazte automaticke spousteni
- A hlavne: jelikoz ho vsichni znami uz na flashkach urcite maji (byli uz u vas na navsteve) -> neotevirejte flashky v pruzkumnikovi dvojklikem, ale klepnutim pravym tlacitkem a zvolenim "otevrit." Pritomnost viru na flashce poznate tucnou defaultni polozkou "Open(0)": ta je prave definovana v autorun.inf a zpusobi spusteni viru.
Nenasel jsem zadne destruktivni ucinky tohoto. Pokud jej chcete zaslat - pochopitelne ciste ke studijnim ucelum (na hrani) - napiste mi na kaliginium@centrum.cz
Pokud ho jiz mate -> at vam neutece, je to nezmar.
S pozdravem Paul Wilson
Takze to vyuziva dementnu neskutocne otravnu fcie WinXP, ktora po vlozeni disku ho prehladava a snazi sa spustat blbosti, a este aj vyhadzuje dementne okno s otazkou "co chcete s diskom robit?" aj ked uz s tym diskom davno robim
, nechapem ze to moze mat niekto povolene (zakazat sa to da v registroch, stravil som asi hodinu kym som to zakazal, debilny Bill Gates ze by ho porazilo na mieste). Ak si niekto tuto (najdementnejsiu najotravnejsiu aku som kedy na nejakom OS videl) funkciu nevypne, je si sam na vine.
autorun.inf používají třeba flešky s U3. Takže kdo používá U3, ten si asi nebude chtít autorun.inf vypínat.
Neviem co je U3 ale to ma niekto problem spustit rucne to exe, ktore je uvedene v autorun.inf? Ja to robim u CD bezne, ak chcem vidiet co robi autorun, tak si pozriem co je v nom (Totalcommander - F3) a spustim si rucne co chcem, ale autorun v 99.9999% pripadov nechcem
Fleška s U3 se při vložení chová jako CD-ROM (read only medium s jednou aplikací), která se při vložení do USB automaticky spustí, zeptá se na heslo, namountuje další (předtím neviditelné) zašifrované medium a do traye hodí menu s nainstalovanými portable aplikacemi a softwarem pro správu.
Jasně že to jde všechno spustit i ručně - ale kdo by to dělal, když je to tak pohodlné.
Ja.
... ptz. autorun ma vzdy naserie do nepricetna a neda sa to povolit len pre U3.
A to já zas ne
Teoreticky s tebou souhlasím... Ani jsem U3 flešdisk nechtěl, připadalo mi to jako blbost.. ale lenost zvítězila.
A teba nestve ze ked do PC strcis nejake CD tak sa ti zacne kde-co automaticky spustat, pripadne dokonca instalovat (
) ako to ma vo zvyku autorun k podaktory dementnym CD k casopisom apod?
MM> To mě samozřejmě dost štvalo, ale zjistil jsem, že už tak minimálně rok žádná CD ani DVD nepoužívám - dneska je nějak všechno onlajn.
Takže jediný okamžik, kdy se CD nebo DVD octne v šachtě je, když někomu něco vypalujeme.
Ja som na svojom NB s WinXP (vtedy este SP1) zistil ze ked strcim prazdne CD do mechaniky (pred vypalovanim) a mal som povoleny autorun a to dementne prehladavanie medii Windowsami, tak ostaval visiet proces explorer.exe (chudak asi prehladaval to prazdne CD donekonecna aj ked som ho uz vypalil a vytiahol z mechaniky
) - pri vypinani Win vybehlo okno ze ukoncuje sa explorer.exe a cakalo to kym ho neodstrelilo. Ked som vypol autorun (myslim ze staci vypnut v registroch alebo cez tweakui to debilne prehladavanie media) tak problem zmizol.
Teraz ma napadlo ze napr. niektore originalne AudioCD instalovali automaticky nejaky svoj dementny prehravac, prip. dokonca rootkit (sony) - to neviem ci automaticky ale asi ano, takze na zapnutie autorunu ma nikto nepresvedci
Ale ok, ako chces.
Prepacte, ze sa vam tu pletiem do konverzacie, ale minuly tyzden som si kupil novy mp3 prehravac Emgeton M6 Cult a po pripojeni k PC mi na nom NOD oznamil trojskeho kona Win32/PSW.QQRob, tiez v subore Autorun.inf. Moze sa jednat o tento pripadne podobny virus? Nechce sa mi verit, ze by tam bol uz od vyroby.
ano moze tam byt aj od "vyroby", emgeton nie je nic slavne, podobne ako sony aj s ich virusmi...