zablokování pc policií ČR
Ahoj,ted mi poslal kamarád mms s fotkou svého notebooku.Pc je 1 měsíc starý,legální windows7,antivir avast.Je to pán již dost v letech,kouká jen na stránky o rybaření nebo na auta.Dnes se mu objevilo tohle: Nikdy jsem to neviděl,vůbec nevím co s tím.Poradíte mi prosím,budu radu tlumočit. Moc díky M.
Jasně
trosku historie o tomto viru
typicky virus z Porno stranek a ileglniho ztahovani,,,,,ale mozna neni ryba jako ryba
Zdravim ikdyz uz je toto starší zpráva rád bych se zeptal jestli by tento vir našel avast..podařilo se mi i přes tento vir naject na plochu "ihned jak se zacnu prihlasovat na ucet spustim co nejvice ikon dam ctr+alt+del odhlasim se a pri ukoncování aplikací přeruším odhlašování tím mi zmizí vir z obrazovky ale v počítači stále je.Díky za odpověd
Zkusils to bootovací CD nebo se rovnou ptáš?
Vir už mám po druhé poprvé jsem ho vyřešil bodem obnovy ale ted nemam tu stejnou moznost ;) bootovací cd už mě také napadlo ale chtěl jsem jen věděět jestli to nevyřeší avast a následné odstranění viru
Ne.
Ale jde to odstranit ručně, stačí k tomu flashka s Total commanderem a spuštění Windows ve Stavu nouze s příkazovým řádkem.
Jo už jsem našel vcelku dost řešení chtěl jsem to vědět jen pro zajímavost ;) díky
Tak hlavně, aby těch "vcelku dost řešení" vedlo k cíli.
Jo to je zase druhá věc :D ale snad se podaří a když ne je tu druhá možnost hození stroje z okna coz by mi nedalo ani mco námahy
Chtěl bych být tvým dodavatelem HW
o odstranění pomocí antivirového boot cd jsi snad výše četl, nevím co řešíš.
potřebuješ ovšem prevenci do budoucna, jak to nedostat potřetí:
- updatovat flash player
- nesurfovat jako admin
- používat blokování flashe v prohlížeči
- updatovat javu, nebo ji odinstalovat.
Vím, že už je to tady dost omleté téma, ale když už jste to oživili, tak přidám svou 3 dny starou zkušenost. Nevím, jestli to byla přesně stejná varianta, ale stačilo v nouzáku stáhnout a vyčistit RogueKillerem. Po restartu už to aktivní nebylo a ani při dočišťování AVGfree,MBAM,SAS se už vcelku nic nenašlo. Docela mě to překvapilo, poněvadž dřív to tak snadno nešlo. Taky to byly legální W7, bez antiviru.
Ozivujem toho vlakno, dnes som dostal do ruky novu mutaciu tohoto viru, nudzak nejde, nepomahaju ani linuxove unlockery, takze zatial som bezradny. Ale dnes ho dam dole urcite, takze vecer potom napisem ako som dopadol;o);
Flegu, dnes jsem řešil tu "novou" variantu - chce 3000kč a spouští se i v nouzáku. Nespouští se ale v Nouzáku s příkazovým řádkem!
Čili postup:
1. stáhnout na flashku Total Commander, MBAM a spustit Nouzák s příkazovým řádkem. Ideálně si ten T. Commander na flashku hned rozbal.
2. Po nastartování naběhne hned příkazový řádek, přesuneš se na flashku a z ní spustíš T. Commander. Potom vlezeš do uživatelského účtu, adresář Po spuštění - c:\Users\ChrobakVreco\AppData\Roaming\Microsoft\Wi ndows\Start Menu\Programs\Startup a tam smažeš, co najdeš (samozřejmě musíš mít zapnuté zobrazování skrytý souborů). Pak vyskoč o pár úrovní výše, do c:\Users\ChrobakVreco\ a tam najdi všechna DLL a změň jim příponu, třeba na TXT.
3. Restartuj do Nouzáku s prací v síti, smaž ty TXT soubory, spusť a aktualizuj MBAM a vyčisti zbytky.
edit: jen doplním, že jakmile v tom Nouzáku s příkazovým řádkem (čili v kroku 2) dostaneš ten blbej nápad jako já a napíšeš do něj explorer, máš tu mrchu přes celou plochu.
help !!! tak jsem ted toho vira nasál taky
mám NTB s Windows 7 a vir mi zablokoval administrátorský účet. Mám vytvořeny ještě jednoho standrdního uživatele, přes kterého se do ntb dostanu. je možná nějaká snadná pomoc pro úplného laika ? vůbec netuším co je to MBAM apod.... ani jak v průzkumníku zobrazím skryté soubory. když si rozkliknu ikonu po spuštění vidím tam jen program Bluetooth.... A požívám antivir ESET NOD 32 antivirus 4 - to je divné, že ten vir nezachytil a nevymazal... Díky.
ESET NOD 32 je k hovnu, tuten antivirus ti tam natahá ty viry spíše než aby tě chránil...
Ahoj. Snažím se to udělat podle tvého návodu. Už jsem zapnul nouzovy rezim s příkazovým řádkem a jsem v total commanderu. Ale nemuzu najit app data. Jak dal?
máš?
Zasekl jsem se zde "Pak vyskoč o pár úrovní výše, do c:\Users\ChrobakVreco\ a tam najdi všechna DLL a změň jim příponu, třeba na TXT" vzdyt tam jsou jen slozky.
Složky nechat - doufám, že máš zapnuto zobrazování skrytých a systémových souborů.
Spusť regedit a podívej se, co je napsáno ve větvi
u klíče "shell="
Kdyz otevru winlogon, je tam 5 čeho si, co presne chces vedet?
Píšu přece
Nic takoveho nevidim. Je tam jen 5 veci. (Výchozí); BuildNumber; ExcludeProfileDirs; FirstLogon; ParseAutoexec
Tak to bude jiná varianta, než o které píši.
V tom případě zkuste boot CD AVG - avg-rescue-cd
nastartovat z něj, aktualizovat virové definice a nálezy ostranit.
Pokud se nepletu, je to mozne udelat i pomoci usb? Jo a jeste jsem spustil v nouzovem rezimu malwarebytes. Mam to n3chat dosk3novat?
Usb flashky*
Tak to dokontrolovalo a naslo to 3 trojske kone ktere jsem smazal a restartoval pc a ted kdyz se prihlasim tak se vub3c nic n3nacte. Jen cerna obrazovka.
Nakonec pomohla obnova systému.
Zmutovany?!!
Tak to si pak prestu tu recenzi, ja osobne pri napadeni takovym smejdem preformatuju disk.
Kdyz mam vic HDD v PC infektuje ten mutant vsechny HDDecka?
Korporátní PC nemůžeš přeinstalovávat, jako svoji plečku doma. Často v té firmě nejsou k dispozici instalační média od software, který nutně potřebují, takže potřebuješ najít nějaký jiný způsob, jak se toho bordelu zbavit.
V korporaciach musi byt admin schopny obnovit stanicu za 5minut na 100% funkcny (vcetne vsetkeho SW ktory nutne potrebuji) a cisty stav z image (idealne cez LAN boot), ak nie tak je admin debil alebo korporaciu riadi debil (jedno z tych dvoch :D)
P.S. tym som chcel napisat ze spoliehat sa na to ze nieco odstranim je na hlavu. Ten vir mohol kludne aj sformatovat cely disk. A vobec otazka je co robi v korporatnej sfere na PC vir
Asi píšeme každý o jiném typu uživatelů/organizací.
Tak korporacia sa mysli skor velka firma s >1000zamestnanacami na pobocke apod. Tam sa proste neriesi nejaky tutko vsetko je bloknute a kazdy stroj ma image apod.
Firma s 10ludmi tam si moze admin hrat (je na to cas), to je fuk, ale image systemu kazdeho PC by som mal furt poruke, bez image ani na krok :D
Velmi zavazny problem je aj ten ze ak tam instalujes kdejake free cistice a odstranovace z neznamych zdrojov (bolo ich tu spomenunych vyssie viacero roznych), odkial vies ze v tom cistici neni nejaky spion apod? V korporacii ako intel apod by to bolo riziko jak svina, to by malo byt absolutne prisne obmedzene ze jake programy sa v takej korporacii vobec spustaju, a ked zdroj neni 5x overeny cez FBI tak by som to v takej korporacii nespustil ani keby co bolo
(nerobim v inteli len viem jak su paranoidni co sa tyka poskytovania informacii smerom von, tak tipujem ze su tak paranoidni aj "doma")
Tato nova verzia bola celkom sofistifikovana. Najprv som sa s nim hral v tom nudzovom (bez pouzitie TC len v cmd;oP), ale stale sa mi po chvilke vracal. Nakoniec sa ukazalo, ze mal este hooknuty jeden zaznam v registroch, takze nakoniec som pouzil linucha a vymazal ho rucne tam.
Btw virus presiel cez instalovaneho Awasta, co je po pol roku, co tu uz oxiduje celkom hanba. Vyzera to, ze sa tam dostal cez deravu Javu.
Virus nakoniec nebol az tak mudro spraveny ako som si myslel....teda videl som aj lepsie chranene viry.
V strucnosti stacilo zmazat vsetky exace, ktore boli v tomto pripade natahane len v tempoch (v roznych diroch, ale), cize celkovo bola ta mutacia dost primitivna.
To som samozrejme nevedel, takze som sa s nou asi 2h hral. Okrem vetvy po spusteni bol totizto virus poisteny aj v registroch pri spusteni explorera sa aktivoval aj sam, stacilo napriklad zabit explorer.exe na zaciatku a mohol si v pohode byt v systeme...to som tiez samozrejme nevedel.
Povodne som sa s tym hral v tom nudzovom rezime msdosackom, kedze sa tam nespustal explorer.exe, ale po odstraneni casti virusov mi prestal nabiehat, tkaze som vo finale nabootoval v linuxe, vymazal vsetky exace z tempov a vetvy startup a prezrel si registre, kde som objavil to nahookovanie na explorer.
Nakoniec som este nieco zabudol, pretoze po starte do Windows bol v startupe opat obnoveny spustaci skript, ktory vsak uz volal neexistujuce exace, takze sa nic nestalo. PC som docistil antivirom po restarte sa uz v startupe nic nezjavovalo.
Podla logov z antiviru doslo k nakaze neaktualizovanou Javou, majitel nb vsak tvrdil, ze virus nanho vyskocil pri pozerani porna, co by skor ukazovalo na dieru vo flashi.
Dakujem pekne fleg,,,
Vcera som natrafil zrejme na dalsiu verziu.
Nenasiel som nic v Startupe ani v registroch, MBAM nasiel jediny infikovany file v Users\nl12345\AppData\Roaming altshell.nieco. Po zmazani tohto suboru problem odstraneny (odstranil som aj vsetky tempy prehliadaca). Infikovany bol pritom iba tento jeden pouzivatelsky ucet, na ostatne sa prihlasit islo, neslo sa ale prihlasit do Safe modu s networkingom. Dostalo sa to ku mne cez Operu (cize asi cez deravy flash).
Tuhle variantu řeším právě teď - kromě toho AltShell.dat má vedle sebe (ve stejném adresáři) ještě AltShell.ini a v registrech je zašitý ve větvi [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] jako hodnota "shell"=.
jak primitivní
ale jak účinné
winlogon v hkcu- dobrý, nápady jim nechybí.
Teď sem tu měla něco podobného :/ z ničeho nic mi to tu vyskočilo. Tak sem vypla PC, při zapnutí zase naskočil, ale při přihlášení na můj účet se t objevilo znovu a při přihlášení na účet "Host" to normálně šlapalo. Tak jsem to nechala naběhnout dala ctrl+alt+ delete a dala sem vypnutí PC.. naběhla mi v ten moment obrazovka a začalo se to odhlašovat. rychle sem na něco klikla, ono se to stihlo otevřít a tak se mě to zeptalo jestli to může vynutit vypnutí, tak sem to stornovala a od te doby mi to už nenabíhá. Prohledávala sem i PC antivirem a nic už nenašel. Myslíte že už se nemusím obávat, že to tu někde skrytý mám? děkuji :)
Niekde to tam urcite je a po restarte to zas nabehne. Mas naprd antivirak. Ked to nenabieha po starte tak mozno si to zrusilo zaznam v registry a nemusis to riesit.