Vir v navigaci?
Ahoj,
potrebuju poradit od nekoho, kdo se vyzna ve virove problematice. Mam koupenou navigaci a nemivam zapnuty AV rezidentne. Dnes jsem nahodou mel AV zapnuty a pripojil jsem i navigaci. Okamzite to naslo 2viry. Jsou to soubory AUTORUN.INF a CTFMON.EXE. Tyto soubory jsou neviditelne v pruzkumniku, i kdyz mam zapnuto zobrazovani skrytych a systemovych souboru. Vidi je jen TC. V TC jsem jim premenil prava a otestoval jsem je na virustotalu a AUTORUN ma 16-32 pozitivnich a CTFMON 31/31 pozitivnich nalezu. Nevim ted co delat. Jsou to opravdu viry? Podle tech testu vypada ze ano. Da se nejak zjistit, jestli jsou to opravdu viry mimo to, ze se to proskenuje AV? POkud tyto soubory smazu, tak prestane neco fungovat? AUTORUN je na disku v hlavnim adresari a CTFMON je v adresari RECYCLED. Nemam mapy ukradene a vse je stazeno z oficialnich cest. Jedine co jsem stahoval je skin a to jsem doufal, ze od cloveka co spolupracuje s ruznyma forama ohledne Mio www.tomasii.cdc.cz by snad zavirovany byt nemelo. Nevim, jestli jsem to stahl se skinem a nebo to slo s mapama. Jdu jeste prozkoumat samostatny skin.
Neni nic jednodussiho nez udelat studeny reset a vymazat adresar My Flash Disc krome adresare MioMap. Tim se PNA uvede do "vyrobniho" stavu a podobne soubory se vymazou. Muzes je vymazat i rucne, nic se nemuze stat a i kdyby, tak opet studeny reset pomuze. Skiny na vebu Tomase jsou stoprocentne ciste, navic inkriminovane soubory neobsahuji, takze Ti tam docestovaly nejspis ze zavirovaneho PC. Ty mapy (pokud nebyly stazeny MioUpdaterem nebo z webu Entershopu Policka) rozhodne z oficialnich zdroju byt nemuzou. Ovsem ani na tech "neofocialnich" se u nich ctfmon ani autorun nevyskytuje, takze zbyva zabreberkovane PC.
Ja jsem to z navigace uz smazal, ale potrebuju vedet, jestli se to nemohlo dostat do jineho pc tim, ze jsem si prohlizel obsah souboru navigace. Na nic jsem ale neklikal a nic nespoustel.
Vim, ze je skin cisty. Uvedl jsem to pak tady jiz nekolikrat.
Pises, ze mapy nemuzou byt z oficialnich cest, muzes mne napsat, jak jsi k te dedukci prisel? Jiste vis, ze kdyz se prihlasis na Mio stranky, tak mas pristup k mapam a odtud jsem je stahoval a pokud je pro tebe Mio neoficialni zdroj, tak mne prosim te napis, co je podle tebe oficialni zdroj? At vim, kde stahovat oficialne. Tim, ze jsem je stahoval z Mio a tim myslim Mio, ne zadny fora. Nic proti a nechci se hadat, ale vim, odkud jsem mapy stahoval.
Do jiného PC (pokud bylo k navigaci připojené) se to samozřejmě dostat mohlo, ten červ je zřejmě konstruován tak, že po přístupu k adresáři, kde je uložen autorun.inf tento spustí ctfmon.exe ........ a ten už jen udělá co má předprogramováno a jedna ze základních činností může být snaha nakopírovat sám sebe na všechna dostupná místa, tudíž i na momentálně připojené PC. Píšeš ale, že v navigaci jsi to odstranil, na PC ti NOD nic nenašel, takže bych to asi už neřešil. Snad jen trochu zavzpomínat, kde ta navigace mohla být ještě připojena a kde ten trojan mohl cestovat jedním nebo druhým směrem a eventuálně zkusit zůčastněná PC zkontrolovat.
Sakra, kazdy ted pisete neco jiny a cemu mam verit a nebo teda jak aspon zjistit, jestli to byl vir pro pda a nebo normalni win?
Ty soubory nejspis nebudou spustitelne na Win CE, takze se nemohou sirit. A pokud by to byl vir psany pro Win CE tak zase nepujde spustit v PC. Takze z prenosu z navigace do PC bych strach nemel. Nicmene, strach ze smazani cehokoli v navigaci obavy mit nemusis, vsechno lze obnovit at uz studenym startem (system) nebo z DVD (navigacni SW). Mapy z oficialnich webu lze uz drahnou dobu stahnout vyhradne pres MioUpdater (tak jak jsem to psal), tedy ne tak, ze si najdes stranky vyrobce a stahnes mapy (ony take jsou na uplne jinem serveru nez na belgickem). To ovsem neni podstatne, pokud nepouzivas upraveny MioMap a license.db a mapy nejsou zamcene, pak mas originalni spravne mapy. Podivej se na drobecek.net , tam Ti urcite nekdo poradi.
Dik. Na tom foru uz jsem samozrejme byl. Muzu ti odprisahnout, ze jsem mapy stahl z jednech Mio stranek, nevim akorat jestli .com .be a nebo jinych. Byl to balik cca 1gb a mozna i vic, uz si to napamatuju. Mio updater nepouzivam prave diky radam tusim Tomaseii, protoze to shodi verzi sw v Miu na starsi, uz jsem to taky zkusil.
Licence db ani nevim co je a cele mio je neupravene, jen mam skin od Tomasii.
Takze podle tebe je nesmysl, ze by to mohlo byt na pc? Tak to je dobry, jen jak mam poznat, jestli to bylo psany pro Win CE a nebo pro normalni win?
Odkud mapy jsou neni podstatne, dulezite je, ze s nimi bys to nestahl ani odjinud nez z oficialniho webu. Pro jaky OS je spustitelny soubor napsany zjistis nejlepe tak, ze ho zkusis spustit. To je ovsem u viru rada nad zlato, takze bych to nechal plavat, z navigace smazat, pripadne studeny restart resi vsechno. Pokud totozne (velikost, pripadne obsah) soubory nemas v PC tak to pust z hlavy. Otazkou zustane, kudy se do navigace dostaly. Je tu jedna spekulace - mohla by to preci jen byt soucast Win CE a antivir, ktery rozhodne neni staveny na vyhledavani viru v PDA muze tyto soubory je vyhodnotit jako vir. Ale to uz je opravdu hodne pritazene za vlasy. Otazkou tedy patrne zustane, odkud se do navgace dostaly (nezkousel jsi nahodou obnovit SW z prilozeneho DVD?). Navigace a jejich upravy C720 pouziva spousta lidi a kdyby tyto soubory byly at uz ve skinu nebo jako soucast OS, tak by se urcite uz nekdo ozval.
No, spoustet to radsi nebudu. Horsi je, ze jsem si stahl combofix, spustil ho a ted mne poradili projet pc Cureitem a on nasel viry v tom combofix a tak nevim, jestli to jsou viry a nebo ne a jestli to fakt nemam preinstalovat.
Jo, Mio jsem obnovoval uz jednou z dodanyho cd nebo dvd, protoze jsem chtel vedet, jak se to vubec dela, ale vypada to na original. Je to normalne kupovany z obchodu, ale napadlo me, ze to mohl uz nekdo jednou vratit, jak jsem tady psal a ja to koupil znovu. Vis, myslim jako ze to koupil nekdo pres net a do 14 dnu to vratil a oni to poslali ted mne, protoze jak jsem i psal, nasel jsem tam fotku, kterou jsem rozhodne nedelal ja. Ve skinu to neni, ja jsem ho vcera cely prolezl.
Ja jsem se ptal z jineho duvodu - na prilozenem DVD soubor autorun je, takze teoreticky se nejak mohl do navigace dostat z tohoto DVD, ovsem to mi stale nehraje ten ctfmon. Pokud tam byla cizi fotka (to jsem nejak prehledl), tak je skoro jasne, ze Ti prodali uz jednou prodanou navigaci. To by mozna bylo i na reklamaci. Tim by se nejspis vysvetlily ty dva soubory. Mozna by tedy stalo za uvahu venovat tomu jeste nejaky cas, smazat vsechno, udelat studeny restart a znova nainstalovat. Ale asi to bezpodminecne nutne neni.
Ok, kaslu uz na to. Jen pockam, co najde ten program a co mne jeste doporuci na virech a pak to cely asi preinstaluju(myslim ted pc), navigaci nema smysl, ty dva soubory jsou pryc. Myslim, ze na reklamaci to asi nebude, nemam jim co rict a jak to dokazat... Reknou mne, ze jsem si to zaviroval sam a fotku taky nijak neprokazu, ze jsem ji neudelal ja. Bud uz to mel nekdo koupeny a prodali to znovu a nebo si s tim na sklade nekdo hral.
Podakuj sa dementnemu microsoftu a aj ich snahe vsetko automaticky spustat z cohokolvek, a tomu cloveku u ktoreho si ten flashdisk strkal do PC povedz ze ma zavireny PC a uz u neho nic do jeho PC nestrkaj.
Ano ak mas nastavene automaticke spustanie z flashdisku (defaulte to Win ma povolene) tak sa to do PC dostane hned po strceni flashdisku, ak to antivirak nezachyti. Ak to antivirak po strceni flashdisku zachytil, tak sa do PC nic nedstalo. Konieckoncov mozes si cele PC prescanovat antivirakom.
Ja osobne automaticke spustanie Win vypinam globalne pre vsetky zariadenia v registroch hned po instalacii Win (googlom hladat: autorun registry), potom sa nic z nicoho automaticky nespusta.
priskumnik zobrazi aj tie subory ak si spravne nastavis vlastnosti zlozky a nenechas to na defaulte od dementneho Billa Gatesa (je tam zaskrtavatiek viac - jedno je tusim zobrazovat skryte subory, dalsie je ze skryvat chranene systemove subory (odskrtnut), a este si odskrtni skryvanie pripon aby si videl aj pripony suborov).
P.S. navigacii by to vadit nemalo (je to len ako uloziste?) ale v kazdom pripade by som to z tej navigacie zmazal.
Ajaj. Tak toho jsem se bal. To jsi sem nemohl pirjit hned rano?
Mohl jsem to mit uz preinstalovane. Tu navigaci jsem strkal jen k sobe do PC, takze jsem si asi zaviroval jen moje. Automaticke spousteni mam urcite zapnute. AV to sice zachytil, mel jsem ho nahodou spusteny, ale vypnul jsem ho, protoze porad rval a ja jsem si myslel, ze je to plany poplach, protoze jsem nepredpokladal, ze by v navigaci mohlo neco takove byt. No spletl jsem se.
V tom pruzkumniku to nebylo videt ani kdyz jsem mel zapnute skryte a systemove. Nevim proc, ale to je jedno, to uz neresim. Uz pouzivam jen TC.
Z navigace je to uz od vcera smazany, ale resim prave to, jestli se to dostalo do velkyho pc a nebo ne a zadny AV v nem nic nenasel, Jen ted cureit nasel nejaky trojany, ale ty byly v uplne jinych souborech a vubec nechapu, jak se tam vzaly, tady bych spis veril planymu poplachu. V podstate je to jen jako uloziste a prave nechapu, jak se to tam dostalo, kdyz ani v jednom pc nic takove nemam.
Ak antivir v PC po prescanovani nic nenasiel, tak je PC pravdepodobne cisty, antivirak to teda pri strceni flashdisku zachytil.
Ono sa to aktivuje len raz pri strceni flashdisku (je to to iste ako autorun pri strceni CD, ak CD nechas v mechanike tak sa uz nespusti, spusti sa to len raz pri strceni CD do mechaniky), takze aj ked si potom vypol antivir tak sa nic nedeje, nepanikarit, nechaj uz vsetko tak ako je
Ok, dik. Necham to tak, ale pekne to ve mne hloda. Jak pak poznam, ze to treba v pc zustalo? Jak se to projevi?