Vir v navigaci?
Ahoj,
potrebuju poradit od nekoho, kdo se vyzna ve virove problematice. Mam koupenou navigaci a nemivam zapnuty AV rezidentne. Dnes jsem nahodou mel AV zapnuty a pripojil jsem i navigaci. Okamzite to naslo 2viry. Jsou to soubory AUTORUN.INF a CTFMON.EXE. Tyto soubory jsou neviditelne v pruzkumniku, i kdyz mam zapnuto zobrazovani skrytych a systemovych souboru. Vidi je jen TC. V TC jsem jim premenil prava a otestoval jsem je na virustotalu a AUTORUN ma 16-32 pozitivnich a CTFMON 31/31 pozitivnich nalezu. Nevim ted co delat. Jsou to opravdu viry? Podle tech testu vypada ze ano. Da se nejak zjistit, jestli jsou to opravdu viry mimo to, ze se to proskenuje AV? POkud tyto soubory smazu, tak prestane neco fungovat? AUTORUN je na disku v hlavnim adresari a CTFMON je v adresari RECYCLED. Nemam mapy ukradene a vse je stazeno z oficialnich cest. Jedine co jsem stahoval je skin a to jsem doufal, ze od cloveka co spolupracuje s ruznyma forama ohledne Mio www.tomasii.cdc.cz by snad zavirovany byt nemelo. Nevim, jestli jsem to stahl se skinem a nebo to slo s mapama. Jdu jeste prozkoumat samostatny skin.
Podle mě se jedná o planý poplach....
Jakou má ten Autorun.inf velikost? Otevři jej v Poznámkovém bloku - bude tam nejspíš něco jako
JO, zkusim to. Hned to sem napisu. Jeste me napadlo, jestli jsem nemohl nakazit PC tim, ze jsem navigaci pripojil k pc?Na .exe jsem samozrejme neklikl, ale nevim, jak funguje to .INF. Jestli se to treba nespusti hned po pripojeni k PC.
Tak cicham problem. I s mymi chabymi programatorskymi znalostmi chapu, ze to ma spustit ten CTFMON.EXE. Velikost je 103bajtu a obsah:
[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(0)\command=Recycled\ctfmon.exe
shell=Op e n(0)
A sakra, tak to opravdu vypadá podezřele.
Takto se chovají někteří trojani/wormy, že se maskují jako Recycled (koš).
http://www.greatis.com/appdata/d/c/c;_recycled_ctfm on.exe.htm
Aha a co s tim? Ted jsem stahl ten skin a neni to urcite z nej. Nebo ja asi napisu na viry.cz. Nechtel jsem to tam psat, protoze jsem si nebyl jistej, jestli to vubec je vir, ale jak vidim, tak asi jo. Zkusil jsem prejmenovat ten exe na txt a jsou tam paznaky, ale i nektere citelne veci, ale pro me je to spanelska vesnice.
Sakra a ted me napadlo, jestli to nemam nahodu v PC a nenatahlo se to do navigace.
Ve Správci úloh zkontroluj, jestli je spuštěný. Pokud ano, ukonči jej a smaž. Pak zkontrolovat v registrech větev Run, asi tam bude nastaveno jeho spouštění.
Ja to nemam v PC. Je to v navigaci. Teda aspon doufam, ze to v PC neni.
V navigaci je to nahrané fyzicky, ale pokud se to spustilo, tak to běží v PC.
Sakra, ale nechapu kde to v pc je, kdyz to NOD na navigaci nasel hned a v PC nic. je to mozne?
Ve spravci uloh neni ani v jednom PC.
Tak se snad nespustil. Vymaž jej tedy podle postupu, co ti dal Karel.
Uz jsem to zkousel mazat, ale nevyznam se v tom poradne. To je problem a hlavne jak rikam, nevim, jestli je to v PC a dostalo se to z nej do navigace a nebo je to jen v navigaci.
Zatím se zdá, že se to do PC nedostalo. Otázkou zůstává, kde se to vzalo v navigaci?
No prave. Jak se to siri? Je mozne, ze se to po pripojeni samo zkopci do PC(samozrejme v pripade, ze to bylo puvodne v navigaci)? Jedna moznost me napadla. Sice jsem kupoval navigaci jako novou, ale doma pri prolizani souboru jsem nasel, ze v ni byla jedna fotka. Takze navigaci si pravdepodobne nekdo ve skladu zkousel a nebo ji treba nekdo koupil pres net, vratil a ja ji koupil jako druhy... Nevim. Jen si potrebuju byt jisty, ze v pc nic nemam. Je mne divny, ze jsem nasel na plose prave ty soubory desktop.ini a ted uz si nejsm jisty, jestli na pc a nebo na ntb.
Projet PC antivirem a ručně zkontrolovat, jestli na disku nejsou ty soubory. Pak ještě zkontrolovat registr podle Karlova odkazu.
Recycled tam nikde neni. Autorun.inf mam v pc asi 20, ale jak poznam, ze tam nepatri a ze jsou to ty nakazene? Prejmenovla jsem je ted rucne na .txt a nikde nebyl odkaz na ctfmon.exe.
Registry nevycistim. Nemuzu to podle toho udelat. nevim kde to hledat, ta cesta co tam je, je jen jako priklad a ja se v tom proste nevyznam.
Ten závadný autorun.inf by byl v kořenovém adresáři disku.
V Total Commanderu, který umí pokročilé hledání souborů jde nastavit, aby prohledal všechny soubory autorun.inf, které obsahují ctfmon.exe. Pokud by nějaký takový našel, znamená to, že tam ještě zbytky toho trojského koně jsou.
Ty ostatní soubory jsou uloženy v adresáři Recycled v kořenovém adresáři. Nikde jinde by být neměli. Pokud jsi je smazal, mělo by to být OK.
JO, z navigace jsem smazal cely adresar RECYCLED i to AUTORUN. Jen v PC to nemuzu najit. Tak snad je to dobry. Na ntb je mne to jedno, zmacknu tlacitko a mam novy system, ale na tom PC jsme jeste ani nestihl udelat ghosta a je to mozna nakazeny... Nechce se mne to preinstalovavat znovu.
Chytnuls FakeRecycled:
v_140684.htm
http://www.exterminate-it.com/malpedia/remove-faker ecycled
Ok, dik. Co s tim mam delat? Je to z pc do navigace a nebo jsem to stahl s mapama?
Klikni na ten spodní odkaz. Je tam návod.
JO, uz se na to divam. Muze byt nakazen i PC, pokud se jen pripoji navigace k PC?
Tak v RECYCLED jsou i soubory INFO2 a desktop.ini
Já se chci jen zeptat .... je ta navigace PDA s navigací ???, např. MIO P360, P560.
Nedovedu si jinak představit, jak by se v klasické jednoúčelové navigaci mohl ten trojan objevit a jak by ho tam vůbec NOD mohl najít. Pokud ano, tak jsi ho tam zřejmě dostal s některým "užitečným" programem pro PDA. Tolik jen k možnosti infekce ..... o odstranění už toho hodně napsali předemnou. MIO navigaci nemám a tudíž moc neznám a nevím jak se tam opatřují mapy, ale pokud se stahují z nějakého "levného" zdroje, tak i tam ten zdroj nákazy být může. Přesto bych ale předpokládal, že primárně bude zasaženo PC, určitě to nestahuješ přes to PDA.
Odstraneni je problem. Nejsem schopnej to podle toho navodu udelat. Je to MIO 720. Vse je stazeno primo z mia, nikde jinde bych nic nestahoval. Psal jsem jasne, ze nejsou kradene. Stahl jsem jen skin, kde je cosi pro pda, ale je to ciste. Zkoumal jsem to.
Tak kvůli tomuhle jsem se hlavně ptal:
Nebylo mi jasné, jak bez přítomnosti nějakých WIN se ten červ může v navigaci usídlit a ejhle ...... je tam OS pro PDA. K tomu druhému, rozhodně jsem tě nepodezříval, že kradeš nebo crakuješ mapy (nakonec jsi to přímo v dotazu uvedl), ale měl jsem na mysli stránky, kde se dají mapy volně stáhnout a kde je uživatelé sami vytvářejí (skenování + sw) a dávají k dispozici k volnému stažení .... (nevím, jestli to existuje i pro MIO).
Pokud si dobře pamatuji ze včerejška, tak ten návod byl sice podán dost obecně, ale postup --> smazat oba soubory a vyčistit registry od jakékoliv zmínky o nich tam byl naznačen.
Nejspolehlivější by určitě bylo něco jako format c:, tzn u značkového servisu přístroj "vyčistit" a nahrát vše znovu ..... jen jestli to budou ochotni udělat v rámci záruky.
O nic nejde, ja jsem to o tom ukradeni psal pro jistotu znovu, protoze ne kazdy cte vsechny prispevky.
K tomu odstraneni-bohuzel napriklad v registrech nemam ani paru jak to pohledat, protoze je tam napsana cesta, ktera je uvedena jako priklad a ne jako umisteni toho viru a nebo to proste nevidim, ale cetli jsme to dva. To reseni na druhem odkazu je k nicemu. Nutilo mne nainstalovat si AV MCafee a to by znamenalo odinstalovat NOD, urcite i Comodo a pak to vse znovu instalovat a to je mozna lepsi zformatovat hdd a udelat zase novou instalaci a vyjde to casove plus minus na stejno a mam jistotu. Jenze prave tomu jsem se chtel vyhnout. Potrebuju jen zjistit, jestli je mozne, ze se to siri jen tim, ze to pripojim do PC a prohlidnu si obsah disku na navigaci. Pokud jo, tak to mam 100% v PC taky. Nasel jsem to v system volume na notebooku, ale v PC AV nic nenasel a tak je snad PC costy a to bych potreboval vedet.
Neni nic jednodussiho nez udelat studeny reset a vymazat adresar My Flash Disc krome adresare MioMap. Tim se PNA uvede do "vyrobniho" stavu a podobne soubory se vymazou. Muzes je vymazat i rucne, nic se nemuze stat a i kdyby, tak opet studeny reset pomuze. Skiny na vebu Tomase jsou stoprocentne ciste, navic inkriminovane soubory neobsahuji, takze Ti tam docestovaly nejspis ze zavirovaneho PC. Ty mapy (pokud nebyly stazeny MioUpdaterem nebo z webu Entershopu Policka) rozhodne z oficialnich zdroju byt nemuzou. Ovsem ani na tech "neofocialnich" se u nich ctfmon ani autorun nevyskytuje, takze zbyva zabreberkovane PC.
Ja jsem to z navigace uz smazal, ale potrebuju vedet, jestli se to nemohlo dostat do jineho pc tim, ze jsem si prohlizel obsah souboru navigace. Na nic jsem ale neklikal a nic nespoustel.
Vim, ze je skin cisty. Uvedl jsem to pak tady jiz nekolikrat.
Pises, ze mapy nemuzou byt z oficialnich cest, muzes mne napsat, jak jsi k te dedukci prisel? Jiste vis, ze kdyz se prihlasis na Mio stranky, tak mas pristup k mapam a odtud jsem je stahoval a pokud je pro tebe Mio neoficialni zdroj, tak mne prosim te napis, co je podle tebe oficialni zdroj? At vim, kde stahovat oficialne. Tim, ze jsem je stahoval z Mio a tim myslim Mio, ne zadny fora. Nic proti a nechci se hadat, ale vim, odkud jsem mapy stahoval.
Kedze je ten virus v autorune, tak sa po pripojeni k PC moze automaticky spustit a ten PC nakazit.
Do jiného PC (pokud bylo k navigaci připojené) se to samozřejmě dostat mohlo, ten červ je zřejmě konstruován tak, že po přístupu k adresáři, kde je uložen autorun.inf tento spustí ctfmon.exe ........ a ten už jen udělá co má předprogramováno a jedna ze základních činností může být snaha nakopírovat sám sebe na všechna dostupná místa, tudíž i na momentálně připojené PC. Píšeš ale, že v navigaci jsi to odstranil, na PC ti NOD nic nenašel, takže bych to asi už neřešil. Snad jen trochu zavzpomínat, kde ta navigace mohla být ještě připojena a kde ten trojan mohl cestovat jedním nebo druhým směrem a eventuálně zkusit zůčastněná PC zkontrolovat.
Sakra, kazdy ted pisete neco jiny a cemu mam verit a nebo teda jak aspon zjistit, jestli to byl vir pro pda a nebo normalni win?
Ty soubory nejspis nebudou spustitelne na Win CE, takze se nemohou sirit. A pokud by to byl vir psany pro Win CE tak zase nepujde spustit v PC. Takze z prenosu z navigace do PC bych strach nemel. Nicmene, strach ze smazani cehokoli v navigaci obavy mit nemusis, vsechno lze obnovit at uz studenym startem (system) nebo z DVD (navigacni SW). Mapy z oficialnich webu lze uz drahnou dobu stahnout vyhradne pres MioUpdater (tak jak jsem to psal), tedy ne tak, ze si najdes stranky vyrobce a stahnes mapy (ony take jsou na uplne jinem serveru nez na belgickem). To ovsem neni podstatne, pokud nepouzivas upraveny MioMap a license.db a mapy nejsou zamcene, pak mas originalni spravne mapy. Podivej se na drobecek.net , tam Ti urcite nekdo poradi.
Dik. Na tom foru uz jsem samozrejme byl. Muzu ti odprisahnout, ze jsem mapy stahl z jednech Mio stranek, nevim akorat jestli .com .be a nebo jinych. Byl to balik cca 1gb a mozna i vic, uz si to napamatuju. Mio updater nepouzivam prave diky radam tusim Tomaseii, protoze to shodi verzi sw v Miu na starsi, uz jsem to taky zkusil.
Licence db ani nevim co je a cele mio je neupravene, jen mam skin od Tomasii.
Takze podle tebe je nesmysl, ze by to mohlo byt na pc? Tak to je dobry, jen jak mam poznat, jestli to bylo psany pro Win CE a nebo pro normalni win?
Odkud mapy jsou neni podstatne, dulezite je, ze s nimi bys to nestahl ani odjinud nez z oficialniho webu. Pro jaky OS je spustitelny soubor napsany zjistis nejlepe tak, ze ho zkusis spustit. To je ovsem u viru rada nad zlato, takze bych to nechal plavat, z navigace smazat, pripadne studeny restart resi vsechno. Pokud totozne (velikost, pripadne obsah) soubory nemas v PC tak to pust z hlavy. Otazkou zustane, kudy se do navigace dostaly. Je tu jedna spekulace - mohla by to preci jen byt soucast Win CE a antivir, ktery rozhodne neni staveny na vyhledavani viru v PDA muze tyto soubory je vyhodnotit jako vir. Ale to uz je opravdu hodne pritazene za vlasy. Otazkou tedy patrne zustane, odkud se do navgace dostaly (nezkousel jsi nahodou obnovit SW z prilozeneho DVD?). Navigace a jejich upravy C720 pouziva spousta lidi a kdyby tyto soubory byly at uz ve skinu nebo jako soucast OS, tak by se urcite uz nekdo ozval.
No, spoustet to radsi nebudu. Horsi je, ze jsem si stahl combofix, spustil ho a ted mne poradili projet pc Cureitem a on nasel viry v tom combofix a tak nevim, jestli to jsou viry a nebo ne a jestli to fakt nemam preinstalovat.
Jo, Mio jsem obnovoval uz jednou z dodanyho cd nebo dvd, protoze jsem chtel vedet, jak se to vubec dela, ale vypada to na original. Je to normalne kupovany z obchodu, ale napadlo me, ze to mohl uz nekdo jednou vratit, jak jsem tady psal a ja to koupil znovu. Vis, myslim jako ze to koupil nekdo pres net a do 14 dnu to vratil a oni to poslali ted mne, protoze jak jsem i psal, nasel jsem tam fotku, kterou jsem rozhodne nedelal ja. Ve skinu to neni, ja jsem ho vcera cely prolezl.
Ja jsem se ptal z jineho duvodu - na prilozenem DVD soubor autorun je, takze teoreticky se nejak mohl do navigace dostat z tohoto DVD, ovsem to mi stale nehraje ten ctfmon. Pokud tam byla cizi fotka (to jsem nejak prehledl), tak je skoro jasne, ze Ti prodali uz jednou prodanou navigaci. To by mozna bylo i na reklamaci. Tim by se nejspis vysvetlily ty dva soubory. Mozna by tedy stalo za uvahu venovat tomu jeste nejaky cas, smazat vsechno, udelat studeny restart a znova nainstalovat. Ale asi to bezpodminecne nutne neni.
Ok, kaslu uz na to. Jen pockam, co najde ten program a co mne jeste doporuci na virech a pak to cely asi preinstaluju(myslim ted pc), navigaci nema smysl, ty dva soubory jsou pryc. Myslim, ze na reklamaci to asi nebude, nemam jim co rict a jak to dokazat... Reknou mne, ze jsem si to zaviroval sam a fotku taky nijak neprokazu, ze jsem ji neudelal ja. Bud uz to mel nekdo koupeny a prodali to znovu a nebo si s tim na sklade nekdo hral.
Podakuj sa dementnemu microsoftu a aj ich snahe vsetko automaticky spustat z cohokolvek, a tomu cloveku u ktoreho si ten flashdisk strkal do PC povedz ze ma zavireny PC a uz u neho nic do jeho PC nestrkaj.
Ano ak mas nastavene automaticke spustanie z flashdisku (defaulte to Win ma povolene) tak sa to do PC dostane hned po strceni flashdisku, ak to antivirak nezachyti. Ak to antivirak po strceni flashdisku zachytil, tak sa do PC nic nedstalo. Konieckoncov mozes si cele PC prescanovat antivirakom.
Ja osobne automaticke spustanie Win vypinam globalne pre vsetky zariadenia v registroch hned po instalacii Win (googlom hladat: autorun registry), potom sa nic z nicoho automaticky nespusta.
priskumnik zobrazi aj tie subory ak si spravne nastavis vlastnosti zlozky a nenechas to na defaulte od dementneho Billa Gatesa (je tam zaskrtavatiek viac - jedno je tusim zobrazovat skryte subory, dalsie je ze skryvat chranene systemove subory (odskrtnut), a este si odskrtni skryvanie pripon aby si videl aj pripony suborov).
P.S. navigacii by to vadit nemalo (je to len ako uloziste?) ale v kazdom pripade by som to z tej navigacie zmazal.
Ajaj. Tak toho jsem se bal. To jsi sem nemohl pirjit hned rano?
Mohl jsem to mit uz preinstalovane. Tu navigaci jsem strkal jen k sobe do PC, takze jsem si asi zaviroval jen moje. Automaticke spousteni mam urcite zapnute. AV to sice zachytil, mel jsem ho nahodou spusteny, ale vypnul jsem ho, protoze porad rval a ja jsem si myslel, ze je to plany poplach, protoze jsem nepredpokladal, ze by v navigaci mohlo neco takove byt. No spletl jsem se.
V tom pruzkumniku to nebylo videt ani kdyz jsem mel zapnute skryte a systemove. Nevim proc, ale to je jedno, to uz neresim. Uz pouzivam jen TC.
Z navigace je to uz od vcera smazany, ale resim prave to, jestli se to dostalo do velkyho pc a nebo ne a zadny AV v nem nic nenasel, Jen ted cureit nasel nejaky trojany, ale ty byly v uplne jinych souborech a vubec nechapu, jak se tam vzaly, tady bych spis veril planymu poplachu. V podstate je to jen jako uloziste a prave nechapu, jak se to tam dostalo, kdyz ani v jednom pc nic takove nemam.
Ak antivir v PC po prescanovani nic nenasiel, tak je PC pravdepodobne cisty, antivirak to teda pri strceni flashdisku zachytil.
Ono sa to aktivuje len raz pri strceni flashdisku (je to to iste ako autorun pri strceni CD, ak CD nechas v mechanike tak sa uz nespusti, spusti sa to len raz pri strceni CD do mechaniky), takze aj ked si potom vypol antivir tak sa nic nedeje, nepanikarit, nechaj uz vsetko tak ako je
Ok, dik. Necham to tak, ale pekne to ve mne hloda. Jak pak poznam, ze to treba v pc zustalo? Jak se to projevi?