Vir na flashce
Prosím o pomoc. Syn donesl na flashce ze školy nějaké svinstvo, kterého se nemůžeme zbavit. Začalo to tím, že nejde spustit správce úloh. Napíše to - správce systému zakázal správce úloh. Googlili jsme je to vir. Je to komp jen na fotky a hry, není napíchlý na netu takže na něm nemáme žádný antivir ani firewal. Vir nenechá nainstalovat žádný antivirový program a nejde spustit ani nouzový režim. Vir se nakopíroval i na další flashku. Tak jsme zkusili SD kartu zamkli jsme ji a dostal se tam taky. Systém asi přeinstalujeme, ale jak tu mrchu dostat z těch flashek a té SD karty?
můžeš zkusit přes msconfig.exe pozabíjet svinstva co se spouští po startu.
taky můžeš ten disk vytáhnout z pc, a jako druhý připojený ho nechat odvirovat v jiném pc.
a zakaž si autorun pro všechna média.
za zbičování a ukřižování billa se přimlouvám taky.
Ten autorun jsem vypl cvičně na tomhle PC. Když připojím mp3 přehrávač, tak se ukáže i se soubory na něm, tak jako před vypnutím. Myslel jsem, že se třeba přihlásí, ale nebude zobrazovat soubory. Nebo by to jen nespustilo soubor exe, kdyby na něm byl?
řešíš podružnosti. vypnutí autorun je obrana proti zanesení viru z přenosných médií, ne smysl života.
měl jsi pozabíjet v paměti divný proces, který nepatří k windows. měl jsi vypnout spuštění takové věci po startu - obojí jde dobře provést programem starter. chtěl jsem ať zjistíš obsah souboru autorun - prozkoumej všechny svoje usb flashky.
takže tu neřeš svoji mp3, pokud se nepřipojuje jako usb disk.
Chtěl jsem smazat ty flashky na tomhle kompu a nechci do něj toho vira chytit. Je to Asus eee box a nemá optickou mechaniku, takže ani ten program starter bych nemohl vypálit třeba na cd-rw. Na přenesení potřebuju flashku, nebo kartu jenže všechny už jsou infikované.
autorun máš vypnut, tak čeho se bojíš?
máš normálního správce souborů? vlez na flashku s ním, vira smaž.
ostatně pokud se ti z flashky spouští viry samy, proč tam lezeš s administrátorským účtem?
Ked sa ti po vlozeni flash samo otvori okno so subormi, tak nemas vypnuty autorun. Restartoval si?
Ked vypnes autorun a vlozis flash, najde to automaticky nove zariadenie (ikonka bezpecne odebrat vpravo dole), ale nic sa nebude samo otvarat, ziadne okno. A napr. totalcommanderom si na nom pozries subory (v nastaveniach TC si nastavis zobrazovanie skrytych a systemovych suborov) a vymazes autorun.inf z USB sticku.
Na kompu s XP Pro vypnutí autorunu v gpedit.msc funguje = flashka/mp3 se neotevírá, pouze se zobrazí v Průzkumníku. Na kompu s XP Home se i po všech nastaveních, které jste radili, všechno otevírá automaticky. Kdybych sem tu flashku strčil, tak jsem ho koupil. Byl to tenhle žebrák > go.php.
a co ji naformatovat? ted jsem taky mel vir na flashce na nejake dvougigovce , tak jsem to naformatoval na FAT a uz tam nic neni ... Tento pocitac/prave tlacitko na flashku/naformatovat
To je blbost. Formátovat flash v kompu, který je zavirovaný, a po formátu se vir okamžitě automaticky natáhne zpět na flashku, neřeší problém.
mne to pomohlo , nic se mi tam nenahlo .
Ty jsi tam neměl tohohle chytrolína ( go.php ). Jestli si chceš vyzkoušet, že to nejde, napiš svůj e-mail a já ti ho pošlu.
ehm, 1. nepoužíváme autorun, 2. používáme normálního správce souborů, 3. omezený účet je samozřejmostí a to nejen pro omezené uživatele, 4. umíme spustit správce úloh.
a nepotřebuješ ani antivir.
ale dík za info, počtení o způsobech napadení je pěkné :)
1. autorun na XP Pro už je vypnutý, na XP Home pořád nevyřešeno, řeší se to nahoře
2. ? (Total Commander?)
3. omezený účet používáme, nesamoadminujeme
4. správce úloh nešel spustit, viz informaci v článku o "zablokování práv adminem"
Vir z té flashky jsme chytili na druhém kompu, který nebyl připojen k internetu, takže tam nebylo prakticky žádné zabezpečení. Po přeinstalaci systému budeme moudřejší a dáme tam nějaký antivir a antispyware a občas jej napíchneme na net a necháme stáhnout nové řetězce.
ad 3) Ten vir, který jsem chytil na kompu, který je na netu, byl Win32:Adware-gen. Chytil jsem ho i přesto, že jsem surfoval pod omezeným účtem. Namontoval se do složek Avastu a do System Volume Information (body obnovy).
Na tych WinHome ked ti nefunguje NoDriveTypeAutorun tak si tam nastavil nieco zle.
Spust regedit, daj si menu Edit-vyhladat: NoDriveTypeAutorun
Kazdu jednu ktoru najde zmen na 0xFF (uisti sa ze je polozka typu DWORD a nie nejaky string apod)
Restart.
Po restarte znova regedit a skontroluj kazdu jednu ze sa to nezmenilo. Strc CD s autorun funkciu. Strc flashku. Daj vediet ci autorunuje CDROM a ci autorunuje flashku.
0xFF nejde napsat. Když napíšu nulu, xFF už nejde napsat. Samotné F napsat jde.
napis FF a potvrd, a skontroluj ze ked to potvrdis tak ten kluc bude v tom regedit okne mat hodnotu 0x000000FF. Typ REG_DWORD samozrejme.
a byl ten autorun včas vypnutý - před zavirováním?
edit: NoDriveTypeAutoRun je typu dword, zapíšeš do ní ff - ten záznam nahoře je formát pro .reg soubor
správce souborů je ten, který vidí všechny soubory a nastavení windows mu do toho nemůže kafrat (správně píšeš: tc, salamander, ...)
pokud má k mému pc přístup dítě, nemůže ani znát heslo k účtu správce, protože ho nepotřebuje.
pokud by to byl vir který chce modifikovat soubory, jako omezený uživatel nemá do system32 přístupová práva.
správce úloh není jen taskmgr.exe - pokud nejde spustit, existuje tasklist /svc, mám nakopírovaný a všude sebou nosím starter, někdo dává přednost process exploreru. většina těch nástrojů umožňuje prohlédnout/zakázat i co jsem si nainstaloval k automatickému spuštění po startu.
pro masochisty je v případě podezření log z hijackthis.
pro odblokování správce úloh jde asi něco vygooglit, zatím jsem nemusel řešit.
firewall windows je pro takové případy neúčinný; o něco lepší by mohl být až ve vistě. pokud má někdo aplikační firewal s logem z provozu, je nežádoucí komunikaci na stopě. (síťové příkazovořádkové utility nejsem zvyklý používat)
rezidentní antivir/antispyware - kvůli dětem a nesvéprávným uživatelům - u nich je nutný, někdo to řeší třeba ghostem.
na běžné hlouposti používám spíš ten starter.
to taky netvrdim . mel 60 mb , flashka nesla otevrit.
Klouzek, 17.01.2009 20:51
Ty jsi tam neměl tohohle chytrolína ( go.php ). Jestli si chceš vyzkoušet, že to nejde, napiš svůj e-mail a já ti ho pošlu.
Kurna, nechtel jsi to tak nahodou poslat uzivateli r4m0s a ne me? No bohuzel ho mam taky, zachytil ho az NOD v pocitaci spolubydlici. Takze jdeme zrovna formatovat flashky