Neregistrovaný Přihlásit Registrovat

Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Policejní vir a jak tu sviňu zničit....

Protože se začínají množit dotazy (nejen tu - všeobecně) a v kanclu mám denně na stole jeden až více PC s "policejním virem", chtěl bych popsat asi nejrychlejší způsob jeho likvidace.

Co jsem zjistil, vir se vyskytuje (možná jen) ve dvou mutacích a spouští se po přihlášení uživatele. Jak by řekli někteří místní rádcové - kindervirus. Je velmi snadné ho zničit, ovšem pokud se člověk nepoučí, chytí ho zpátky eins-zwei.

První mutace viru je se skrytým spuštěním, "rafinovaně" přilepením se k uživatelskému shellu (připomíná mi to některé naše hajzlíky nahoře, kteří rafinovaně přilepí zákon k jinému co s ním naprosto nesouvisí...).
Virus tvoří soubor %APPDATA%\msconfig.dat, kde %APPDATA% je cesta k uživatelské složce např. C:\Users\Uzivatel\AppData\Roaming (pro Win7, pro XP je to C:\Documents and Settings\Uzivatel\Data aplikací.)

Likvidace spočívá v startu Windows do nouzového režimu s příkazovým řádkem, přihlášení se k uživatelskému profilu a zadání příkazu REGEDIT. Tam přejdeme do větve HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon. Odtud smažeme položku Shell, která obsahuje hodnotu Explorer.exe,cesta_k_souboru\msconfig.dat. Zavřeme REGEDIT.
Dále pak zkusíme zadat do příkazového řádku příkaz CD %APPDATA%. Mělo by to skočit do složky, kde je uložený vir. Zadáme DEL msconfig.* (protože jsou tam dva, jeden s příponou dat a druhý s příponu ini).
Pokud se něco nepovede, nevadí, tyto soubory můžeme smazat ručně kdykoliv později nějakým souborovým manažerem, třeba Total nebo Free Commanderem.
Poslední příkaz, který zadáme je SHUTDOWN -r -t 00, tím provedeme restart. Mělo by být odvirováno, pro jistotu projedeme PC na další havěť, to už popisovat nebudu...

Druhá mutace si na nějaké skrývání nehraje, rovnou se zapíše do Po spuštění jako soubor CTFMON.LNK, v jeho vlastnostech je cesta k souboru lsass.exe. Ten je uložen v %ALLUSERSAPPDATA%, u Win7 je to složka C:\Program Data, u XP C:\Documents And Settings\All Users\Data aplikací.

Likvidace je opět velmi jednoduchá. Virus se aktivuje pokud je PC na síti, takže ze všeho nejdřív odpojit síťový kabel.
Jít do START->Programy->Po spuštění, pravá myš na CTFMON, se SHIFTem smazat bez náhrady a restartovat.
Po restartu smazat onen lsass.exe v %ALLUSERSAPPDATA%. Vymalováno.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Je tu třetí varianta té svině, na kterou nouzový režim nepomáhá (spouští se i tam). Naštěstí se též…
Pytlík 06.03.2013 13:31
 Pytlík
z toho soudím, že kdejaký ms autoruns / codestuff starter s tím vyfakuje i v normálním režimu - pros…
lední brtník 06.03.2013 15:57
 lední brtník
Dobré rady, když tě zákonů dbalý policista k ničemu nepustí (ani v nouzovém režimu) a účet Administr… nový
Pytlík 06.03.2013 20:17
 Pytlík
nene, ta mrcha nepustí vůbec na plochu, nespustíš ctrl-shift-esc ani ctrl-alt-del, nezabiješ, nepokr… nový
mia 06.03.2013 21:49
 mia
Vidíš, to spuštění s CMD mě nenapadlo. Asi proto, že pro mě jsou jednodušší ty live WinXP - mám to n… nový
Pytlík 06.03.2013 21:59
 Pytlík
mohl bych si vas Text okopirovat a schovat si ho?Neni to proti pravidlum vasich stranek,,????? docel…
CoCoChanel 06.03.2013 16:29
 CoCoChanel
když to nikde nebudeš publikovat, tak je to užití pro vlastní potřebu, a to je legální. :-)
touchwood 06.03.2013 16:31
 touchwood
Ne ne ne,ja takovej nejsu. Bych to chtel jenom pro sebe,kdyby sem mel nakej problem z virusem,ne jen… nový
CoCoChanel 06.03.2013 16:34
 CoCoChanel
No já se asi s kolegou setkal s tou nějakou poslední verzí. Kaspersky antivirus live cd /zaktualizov… nový
MM_tank 06.03.2013 21:56
 MM_tank
BitDefender live CD zatim zabralo na vsechny varianty, a ze jsem jich uz par mel :-) Hlavne ze na pr… nový
kubik 07.03.2013 12:42
 kubik
Vyzkoušený postup - instalační cd win - opravit - bod obnovení systému - vrátit systém do doby, kdy… nový
Nero22 07.03.2013 14:01
 Nero22
Výtečné řešení, když bod obnovení jaxi chybí... Tohle řešení je použitelné pouze při splnění určitýc… poslední
Pytlík 07.03.2013 15:01
 Pytlík

Je tu třetí varianta té svině, na kterou nouzový režim nepomáhá (spouští se i tam). Naštěstí se též spouští velmi jednoduše souborem .lnk v adresáři Startup (ve WinXP adresář Po spuštění), kterým se spouští .dll. V případě, co se mi dostal do rukou, to .dll bylo v adresáři %USERPROFILE% a jméno se skládalo se samých číslic. Nelze ale vyloučit jiné umístění a jiné jméno - proto je vhodné se poučit ve vlastnostech onoho .lnk.
Léčba spočívá ve spuštění nějakého live operačního systému (nebo disk strčit do jiného počítače) a podívat se do zmiňovaného adresáře Startup (popř. Po spuštění) a smazat jak předmětné .dll, tak i toho spouštěcího zástupce .lnk. Bude vhodné prohlédnout všechny účty na disku, protože možná budou nakaženy všechny. Nemohu to ale potvrdit, protože ten počítač, co se mi dostal do rukou, měl jenom jeden účet.

z toho soudím, že kdejaký ms autoruns / codestuff starter s tím vyfakuje i v normálním režimu - prostě nejdřív zabít cizí proces v paměti.
anebo si vyhrají čtenáři hjt / rsit / combofix logů.
klikači mohou stáhnout tradiční antivirové boot cd (live os jak píšeš). tedy pokud uživatel nebude frikulínská lama a nebude to spoutět v iso emulátoru, jako nedávno.

s omezeným účtem stačí přihlásit se jako admin a smazat to.

nene, ta mrcha nepustí vůbec na plochu, nespustíš ctrl-shift-esc ani ctrl-alt-del, nezabiješ, nepokradeš... V nouzáku s CMD se nespouští, tam se dá najít a zahubit. Nebo Hirensovo či jiné live-CD.

Variace na dané téma: včera jsem ničil (mně) dosud neznámou variantu. V profilu uživatele byl ve startupu soubor runctf.lnk, který spouštěl "%windir%\system32\rundll32.exe %userprofile%\dsgsdfgsfsddfgsd.dat,H1N1".
Stejnej link měl i administrátor ve startup složce. V %APPDATA% se schovával asi 70MB soubor se stejným nesmyslným jménem a příponou *.pad. V cache Javy mi posléze antivir nalezl zřejmě dropper onoho šmejda.

Ještě jsem likvidoval zřejmě novější variantu, která požadovala místo dvou litrů tři. Už si nepamatuju přesně jména, ale je to furt to samý, nouzák s CMD, prohledat startup, prohledat registr (všude kde se něco startuje po spuštění)... zničit krtka, spustit, proskenovat na zbytky...

No já se asi s kolegou setkal s tou nějakou poslední verzí. Kaspersky antivirus live cd /zaktualizované/ co předtím fungovalo nepomohlo, avg rescure live cd /zaktualizované/ nepomohlo tak sme vyměkli a přeinstalovali to. Po odvirování to prostě zamrzlo na příhlášení k účtu/do windows. Děkuji za tohle info a možná to příště zkusím zas pro změnu ručně.

Vyzkoušený postup - instalační cd win - opravit - bod obnovení systému - vrátit systém do doby, kdy byl funkční - restart - připojit flash disk s programem RogueKiller - provést kontrolu a smazat nalezené soubory. Předtím jsem zkoušel nabootovat avg rescue disk, který sice našel a odstranil soubory, ale po restartu se vir znovu obnovil.

Výtečné řešení, když bod obnovení jaxi chybí...
Tohle řešení je použitelné pouze při splnění určitých předpokladů (přítomnost bodu obnovení) - a když ten, kdo vám ten počítač přinesl, neprosí o zachování včerejších dat, které, jak na sviňu, má kdesi na C:.
Myslím, že to řešení, kdy se k disku přistoupí z jiného operačního systému (ať již z live CD, nebo na druhém počítači) funguje vždycky - když tedy člověk přijde na to, co má vymazat. A nepotřebuje žádný bod obnovení a podobně.
Samozřejmě, na následném vyčištění pomocí různých programů se shodneme všichni.

Zpět do poradny Odpovědět na původní otázku Nahoru