Zavirovaný počítač
WInXP home, s placeným AVG. Mailem přišla příloha, ketrá skoro vypadala na fakturu, jak nám chodí z Německa. Uložil jsem ji, pro jistotu oskenoval AVG a když byla v pořádku, pokusil jsem se ji otevřít.
A pak se začaly dít věci. Nejdřív to vypnulo firewall, pak se začalo cosi instalovat. restartoval jsem to. Teď můžu jen do nouzového režimu. Vypadá to na Antivirus XP 2008 + nějaké trojany. Flasku můžu připojit, jinak se nedostanu ani do nouzového režimu s prací v síti. Superantispyware cosi vyhazel, 4 systemove soubory ve Windows\system32 byly zmeneny. AVG ani NOD teď nic nenajde.
Volal jsem na podporu grisoftu a že prý mám spustit kompletní sken, ale že na druhém PC mám taktéž stažený ten soubor s virem a jsem schopen jim ho přeposlat, to odmítli. Nezajímal je ani název virů. Slíbili poslat jakýsi soft, spustitelný v Dosu, ale nic se neděje. Kruci, tak proč jim firma platí multilicenci na 15 PC?
No já to shrnu:
PC teď lze spustit pouze do nouzového režimu, CO byly pozůstatky souborů, tak to vypadalo na Antivirus XP 2008 a když se v nouzovém režimu podívám do virového trezoru, tak tam dnes vidím ještě tyto trojské koně: Generic_C.OYJ, SHeur.BZRI, FakeAleret.BG.
Jo a ještě se musím přiznat. Jsou tu 2 identické počítače. A když nic nepomáhalo a Grisoft dělá mrtvého brouka, vzal jsem z druhého ty změněné syst. soubory a a nakopíroval do toho zavirovaného (Windows\system32\ kernel32.dll, user32.dll, shell32.dll, ntoskrnl.exe).
Tak koukám že jsem psal o 2 minuty později.
v nouzáku s aktualizacemi proskenovat programem SUPERAntiSpyware.
Uz se stalo, neco nasel, ale s timhle si neporadil.
Pokud můžeš, tak rozhodně zazálohuj vše potřebné. V nejhorším případě přeinstaluješ Windows a pro příště na práci používej uživatelský účet - viry by pak neměly možnost přepsat systémové soubory a měl bys pokoj.
nudzovy rezim v dnesnej dobe uz moc nepomoze,pretoze existuje mnoho bodov spustenia, ktore su aktivne aj v nudzovom rezime preskenuj to z druheho PC prip. z nejakeho live CD
Uz se stalo s pomocí. NOD32 nic nenašel.
Jestli mas trojany, tak kaspersky je na to lepsi nez Nod, zkus to-ale vetsinou je mnohem rychlejsi udelat obnovu z Ghostu(pokud mas)a nebo preinstalace. Mam oba a oba placeny, takze zadny sracky v PC s nima nemam, ale kaspersky po Nodu dokaze trojana najit. Kaspersky jde pustit i online z jejich webu, ale asi potrebujes do nouzaku a tak si stahni trial, nastav vse na nej a uvidis, ale je to pomerne pomaly, teda prvni sken.
Zkousel jsi Hijack This ?
zkoušel, nepomohlo. Vyházel jsem vše, co neznám.
A jak se ta "faktura" jmenuje (i s příponou/příponami)?
superfaktura.pdf.vbs?
nákaza: prošlo to, protože avg u novějších virů jen předstírá činnost, nebo protože nemuselo jít přímo o vir, ale nějaký spyware-downloader a ten se teprve postaral o zbytek.
vy jste všichni v zaměstnání na pc administrátoři? aha - 15pc, xp home - už se neptám.
a máte aspoň ve windows nastaveno skrývání známých přípon? fak? dobře vám tak.
když si s tím avg neví rady, můžeš na nějaký nezavirovaný pc nainstalovat třeba avast / trial nod / aviru, k němu pak jako druhý přes šuplík/usb/druhý ide připojit tvůj vymontovaný disk a odvirovat ho? to samé s antispywarem?
po odvirování - stále bez připojení na síť - můžeš nějakým rozumným starterem prohlédnout běžící procesy (a komu patří) a co se pouští auitomaticky po startu (a zas komu patří), a povypínat co tam nemá být? (ten obrázek je příklad)
Ja nevim presne co ma za vir, ale jednou mne taky prisla faktura z Nemecka a KAV(snad to byl on) to okamzite oznacil jako vir, ja jsem to nastesti nespustil. Hodil jsem to na druhy pc kde je Nod a ten si ani neskrtl. Dal jsem to proskenovat na virustotal a taky nic, tak jsem uvazoval o planym poplachu, pak mne ale nekdo z viry.cz poradil poslat to na to Cure it nebo Dr.Web a nebo jak se to jmenuje a za par hodin prisel email a dekovali, ze jsem jim poslal neznamy vir. Nevim uz presne jak to bylo, ale takhle nejak to bylo. Nod ho nasel po cca 3-4 dnech, takze nekolik dni jim trvalo, nez ho dali do aktualizaci.
A navíc jméno té zavirované faktury je tajemství, protože ta faktura se jmenovala nuden_Claudia_Shifeld.jpg (a mají to skrývání přípon).
Popsal jsem jednoduchou metodu, jak zachránit data ze zavirovaného počítače, viz můj blog na adrese blog.automotoforum.info
Dobrej pokus.
My ostatní prostě obnovíme systém ze zálohy a pro jistotu i MBR.
Pavel
Osvědčil se mi Combofix a opětovné projetí aktualizovaným antivirem po aplikaci Combofixu.
http://www.pcforum.sk/cistime-napadnuty-pocitac-vt2 7265.html