Vir na flashce
Prosím o pomoc. Syn donesl na flashce ze školy nějaké svinstvo, kterého se nemůžeme zbavit. Začalo to tím, že nejde spustit správce úloh. Napíše to - správce systému zakázal správce úloh. Googlili jsme je to vir. Je to komp jen na fotky a hry, není napíchlý na netu takže na něm nemáme žádný antivir ani firewal. Vir nenechá nainstalovat žádný antivirový program a nejde spustit ani nouzový režim. Vir se nakopíroval i na další flashku. Tak jsme zkusili SD kartu zamkli jsme ji a dostal se tam taky. Systém asi přeinstalujeme, ale jak tu mrchu dostat z těch flashek a té SD karty?
Vymazat autorun.inf
Do cistych Win nainstalovat napr. superantispyware, prescanovat vsetky flash disky atd. Inac nudzovy rezim musi ist spustit.
A v tych cisto nainstalenych Windows si vypni funkciu automatickeho spustania pri strceni media, napr. ak mas Xp-Pro, tak je to v start-spustit: gpedit.msc, tam v sekcii Administrativne neviemco, klik na podsekciu System, a tam mas polozku Deaktivovat automaticke prehravanie, tak to Aktivujes. Potom sa ti uz nikdy nespusti ziaden vir len preto ze si strcil do PC flash.
V čistých oknech určitě, ale teď nejde. Najede to na výběr nouzový režim, nouzák s prací na síti, poslední známa konfigurace atd. Dám vybrat nouzový režim a nic naskočí zpátky widle.
"Dám vybrat nouzový režim a nic naskočí zpátky widle." to ako nerozumiem, co naskoci? Mackas F8 pri starte?
Inac ako uz som pisal ked Win nainstalujes nanovo tak urob to co som pisal o tom autorune aby sa to hned nezasralo ked tam strcis tu flashku.
P.S: a ked stretnes Billa Gatesa tak mu jednu vraz a povedz ze to je odomna za tie jeho automaticke hovadiny :)
F8 mám pomačkané, šipkama dám na výběr nouzový řežim klepnu enter a naskočí normální widle ne ty nouzový. Ty znám mají to v rozích napsáno. Ten vir je asi taková mrcha, že ho nenechá spustit.
To maju tusim v rohoch visty, neviem ci aj XP (ja uz ani neviem, nudzak nepotrebujem takmer nikdy :). Ved tam skus po tom zvoleni nudzaku nainstalovat napr. superantispyware. Mozes ho aj skusit premenovat, ako pisu nizsie...
Vždyť povídám, že ten blbej vir nenechá ani spustit nouzový režim!
A co tak najet systém ze spouštěcího CD nebo disket s nainstalovaným antivirem nebo dát disk do jiného počítače a vyčistit nejde?
Pardon, teď mě syn upřesnil po vybrání nouzového režimu proběhne reset. Najede znovu bios a naskočí windows.
Jak se to vypíná v XP-Home? Ten gpedit.msc tu nefachá.
V home to je blbe, tusim to ide vypnut len cez registry zhlavy neviem ktore presne (kluc NoDriveTypeAutorun treba dat tusim na 0xFF aj v HKLM aj v HKCU a restart). Na CD plati tusim ze ked drzis stlaceny shift tak sa nespusti autorun mozno to funguje aj pre USB sticky. Ale aby si neriskoval lepsie bude identifikovat to svinstvo a odstranit normalne z PC aj z tych USB stickov, uz si skusil nainstalit napr. superantispyware a premenovat exe?
Teď se tam nemůžu hrabat děcka spí. Ale v paranoidní hrůze jsem nechal prohledat počítač ze kterého píšu Avastem po restartu a našlo to vir: win 32:adware-gen. Ještě jsem se nestihl podívat co je to zač.
A co ze je to za vejra? Neexistuje na nej jednorazovy zabijec?
Asi jo, ale ten zabíječ to tam nepustí. Nevím, který vir to přesně je, když tam nemůžu dostat žádný antivir,Superantispyware,Spybot u všeho to přeruší instalaci.
Zkusil bych prejmenovat exe soubor setupu, pak by to jit melo. Na jednom zabordelenem notebooku (znama...) mi to slo. Misto superantispyearesetup.exe treba brambory.exe a nainstalit to slo.
Fakt to slo; on ten vejr ma asi nekde nejakou databazi .exe souboru ktere nepovoli spustit a asi do hlavicky nekouka. Takze brambory.exe ma za (pro sebe) neskodny. Neni to asi zaruceno na vsech systemech a pocitacich, ale me to na tom notebooku (Win 2000 SP4) takhle slo... Mam pocit ze i slo prejmenovat .exe jiz nainstalovane aplikace a spustit primo ten. Ale je to uz dlouho a pamet neslouzi.
můžeš zkusit přes msconfig.exe pozabíjet svinstva co se spouští po startu.
taky můžeš ten disk vytáhnout z pc, a jako druhý připojený ho nechat odvirovat v jiném pc.
a zakaž si autorun pro všechna média.
za zbičování a ukřižování billa se přimlouvám taky.
Ten autorun jsem vypl cvičně na tomhle PC. Když připojím mp3 přehrávač, tak se ukáže i se soubory na něm, tak jako před vypnutím. Myslel jsem, že se třeba přihlásí, ale nebude zobrazovat soubory. Nebo by to jen nespustilo soubor exe, kdyby na něm byl?
řešíš podružnosti. vypnutí autorun je obrana proti zanesení viru z přenosných médií, ne smysl života.
měl jsi pozabíjet v paměti divný proces, který nepatří k windows. měl jsi vypnout spuštění takové věci po startu - obojí jde dobře provést programem starter. chtěl jsem ať zjistíš obsah souboru autorun - prozkoumej všechny svoje usb flashky.
takže tu neřeš svoji mp3, pokud se nepřipojuje jako usb disk.
Chtěl jsem smazat ty flashky na tomhle kompu a nechci do něj toho vira chytit. Je to Asus eee box a nemá optickou mechaniku, takže ani ten program starter bych nemohl vypálit třeba na cd-rw. Na přenesení potřebuju flashku, nebo kartu jenže všechny už jsou infikované.
autorun máš vypnut, tak čeho se bojíš?
máš normálního správce souborů? vlez na flashku s ním, vira smaž.
ostatně pokud se ti z flashky spouští viry samy, proč tam lezeš s administrátorským účtem?
Ked sa ti po vlozeni flash samo otvori okno so subormi, tak nemas vypnuty autorun. Restartoval si?
Ked vypnes autorun a vlozis flash, najde to automaticky nove zariadenie (ikonka bezpecne odebrat vpravo dole), ale nic sa nebude samo otvarat, ziadne okno. A napr. totalcommanderom si na nom pozries subory (v nastaveniach TC si nastavis zobrazovanie skrytych a systemovych suborov) a vymazes autorun.inf z USB sticku.
Na kompu s XP Pro vypnutí autorunu v gpedit.msc funguje = flashka/mp3 se neotevírá, pouze se zobrazí v Průzkumníku. Na kompu s XP Home se i po všech nastaveních, které jste radili, všechno otevírá automaticky. Kdybych sem tu flashku strčil, tak jsem ho koupil. Byl to tenhle žebrák > go.php.
bicovat Billa mozes kolko chces, uz davno nie je vladcom Mordoru...pardon, Microsoftu.
a co ji naformatovat? ted jsem taky mel vir na flashce na nejake dvougigovce , tak jsem to naformatoval na FAT a uz tam nic neni ... Tento pocitac/prave tlacitko na flashku/naformatovat
To je blbost. Formátovat flash v kompu, který je zavirovaný, a po formátu se vir okamžitě automaticky natáhne zpět na flashku, neřeší problém.
mne to pomohlo , nic se mi tam nenahlo .
Ty jsi tam neměl tohohle chytrolína ( go.php ). Jestli si chceš vyzkoušet, že to nejde, napiš svůj e-mail a já ti ho pošlu.
ehm, 1. nepoužíváme autorun, 2. používáme normálního správce souborů, 3. omezený účet je samozřejmostí a to nejen pro omezené uživatele, 4. umíme spustit správce úloh.
a nepotřebuješ ani antivir.
ale dík za info, počtení o způsobech napadení je pěkné :)
1. autorun na XP Pro už je vypnutý, na XP Home pořád nevyřešeno, řeší se to nahoře
2. ? (Total Commander?)
3. omezený účet používáme, nesamoadminujeme
4. správce úloh nešel spustit, viz informaci v článku o "zablokování práv adminem"
Vir z té flashky jsme chytili na druhém kompu, který nebyl připojen k internetu, takže tam nebylo prakticky žádné zabezpečení. Po přeinstalaci systému budeme moudřejší a dáme tam nějaký antivir a antispyware a občas jej napíchneme na net a necháme stáhnout nové řetězce.
ad 3) Ten vir, který jsem chytil na kompu, který je na netu, byl Win32:Adware-gen. Chytil jsem ho i přesto, že jsem surfoval pod omezeným účtem. Namontoval se do složek Avastu a do System Volume Information (body obnovy).
Na tych WinHome ked ti nefunguje NoDriveTypeAutorun tak si tam nastavil nieco zle.
Spust regedit, daj si menu Edit-vyhladat: NoDriveTypeAutorun
Kazdu jednu ktoru najde zmen na 0xFF (uisti sa ze je polozka typu DWORD a nie nejaky string apod)
Restart.
Po restarte znova regedit a skontroluj kazdu jednu ze sa to nezmenilo. Strc CD s autorun funkciu. Strc flashku. Daj vediet ci autorunuje CDROM a ci autorunuje flashku.
0xFF nejde napsat. Když napíšu nulu, xFF už nejde napsat. Samotné F napsat jde.
napis FF a potvrd, a skontroluj ze ked to potvrdis tak ten kluc bude v tom regedit okne mat hodnotu 0x000000FF. Typ REG_DWORD samozrejme.
a byl ten autorun včas vypnutý - před zavirováním?
edit: NoDriveTypeAutoRun je typu dword, zapíšeš do ní ff - ten záznam nahoře je formát pro .reg soubor
správce souborů je ten, který vidí všechny soubory a nastavení windows mu do toho nemůže kafrat (správně píšeš: tc, salamander, ...)
pokud má k mému pc přístup dítě, nemůže ani znát heslo k účtu správce, protože ho nepotřebuje.
pokud by to byl vir který chce modifikovat soubory, jako omezený uživatel nemá do system32 přístupová práva.
správce úloh není jen taskmgr.exe - pokud nejde spustit, existuje tasklist /svc, mám nakopírovaný a všude sebou nosím starter, někdo dává přednost process exploreru. většina těch nástrojů umožňuje prohlédnout/zakázat i co jsem si nainstaloval k automatickému spuštění po startu.
pro masochisty je v případě podezření log z hijackthis.
pro odblokování správce úloh jde asi něco vygooglit, zatím jsem nemusel řešit.
firewall windows je pro takové případy neúčinný; o něco lepší by mohl být až ve vistě. pokud má někdo aplikační firewal s logem z provozu, je nežádoucí komunikaci na stopě. (síťové příkazovořádkové utility nejsem zvyklý používat)
rezidentní antivir/antispyware - kvůli dětem a nesvéprávným uživatelům - u nich je nutný, někdo to řeší třeba ghostem.
na běžné hlouposti používám spíš ten starter.
to taky netvrdim . mel 60 mb , flashka nesla otevrit.
Klouzek, 17.01.2009 20:51
Ty jsi tam neměl tohohle chytrolína ( go.php ). Jestli si chceš vyzkoušet, že to nejde, napiš svůj e-mail a já ti ho pošlu.
Kurna, nechtel jsi to tak nahodou poslat uzivateli r4m0s a ne me?
No bohuzel ho mam taky, zachytil ho az NOD v pocitaci spolubydlici. Takze jdeme zrovna formatovat flashky 