Policejní vir a jak tu sviňu zničit....
Protože se začínají množit dotazy (nejen tu - všeobecně) a v kanclu mám denně na stole jeden až více PC s "policejním virem", chtěl bych popsat asi nejrychlejší způsob jeho likvidace.
Co jsem zjistil, vir se vyskytuje (možná jen) ve dvou mutacích a spouští se po přihlášení uživatele. Jak by řekli někteří místní rádcové - kindervirus. Je velmi snadné ho zničit, ovšem pokud se člověk nepoučí, chytí ho zpátky eins-zwei.
První mutace viru je se skrytým spuštěním, "rafinovaně" přilepením se k uživatelskému shellu (připomíná mi to některé naše hajzlíky nahoře, kteří rafinovaně přilepí zákon k jinému co s ním naprosto nesouvisí...).
Virus tvoří soubor %APPDATA%\msconfig.dat, kde %APPDATA% je cesta k uživatelské složce např. C:\Users\Uzivatel\AppData\Roaming (pro Win7, pro XP je to C:\Documents and Settings\Uzivatel\Data aplikací.)
Likvidace spočívá v startu Windows do nouzového režimu s příkazovým řádkem, přihlášení se k uživatelskému profilu a zadání příkazu REGEDIT. Tam přejdeme do větve HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon. Odtud smažeme položku Shell, která obsahuje hodnotu Explorer.exe,cesta_k_souboru\msconfig.dat. Zavřeme REGEDIT.
Dále pak zkusíme zadat do příkazového řádku příkaz CD %APPDATA%. Mělo by to skočit do složky, kde je uložený vir. Zadáme DEL msconfig.* (protože jsou tam dva, jeden s příponou dat a druhý s příponu ini).
Pokud se něco nepovede, nevadí, tyto soubory můžeme smazat ručně kdykoliv později nějakým souborovým manažerem, třeba Total nebo Free Commanderem.
Poslední příkaz, který zadáme je SHUTDOWN -r -t 00, tím provedeme restart. Mělo by být odvirováno, pro jistotu projedeme PC na další havěť, to už popisovat nebudu...
Druhá mutace si na nějaké skrývání nehraje, rovnou se zapíše do Po spuštění jako soubor CTFMON.LNK, v jeho vlastnostech je cesta k souboru lsass.exe. Ten je uložen v %ALLUSERSAPPDATA%, u Win7 je to složka C:\Program Data, u XP C:\Documents And Settings\All Users\Data aplikací.
Likvidace je opět velmi jednoduchá. Virus se aktivuje pokud je PC na síti, takže ze všeho nejdřív odpojit síťový kabel.
Jít do START->Programy->Po spuštění, pravá myš na CTFMON, se SHIFTem smazat bez náhrady a restartovat.
Po restartu smazat onen lsass.exe v %ALLUSERSAPPDATA%. Vymalováno.
No já se asi s kolegou setkal s tou nějakou poslední verzí. Kaspersky antivirus live cd /zaktualizované/ co předtím fungovalo nepomohlo, avg rescure live cd /zaktualizované/ nepomohlo tak sme vyměkli a přeinstalovali to. Po odvirování to prostě zamrzlo na příhlášení k účtu/do windows. Děkuji za tohle info a možná to příště zkusím zas pro změnu ručně.
BitDefender live CD zatim zabralo na vsechny varianty, a ze jsem jich uz par mel
Hlavne ze na pracovnim notebooku mame povinne Trend Micro...
Kaspersky mi nikdy nepomohl, tak ho ignoruju.
Vyzkoušený postup - instalační cd win - opravit - bod obnovení systému - vrátit systém do doby, kdy byl funkční - restart - připojit flash disk s programem RogueKiller - provést kontrolu a smazat nalezené soubory. Předtím jsem zkoušel nabootovat avg rescue disk, který sice našel a odstranil soubory, ale po restartu se vir znovu obnovil.
Výtečné řešení, když bod obnovení jaxi chybí...
Tohle řešení je použitelné pouze při splnění určitých předpokladů (přítomnost bodu obnovení) - a když ten, kdo vám ten počítač přinesl, neprosí o zachování včerejších dat, které, jak na sviňu, má kdesi na C:.
Myslím, že to řešení, kdy se k disku přistoupí z jiného operačního systému (ať již z live CD, nebo na druhém počítači) funguje vždycky - když tedy člověk přijde na to, co má vymazat. A nepotřebuje žádný bod obnovení a podobně.
Samozřejmě, na následném vyčištění pomocí různých programů se shodneme všichni.