Latvijas Policijas virus

[trihards]

Brīnos, kā cilvēki noķer tādus vīrusus.

[Arnis2002]

Firza -iesaki kā var izķeksēt to vīrusu no inficētas kastes lai varētu nodot testēšanai?

[trihards]

@Arnis2002

Neesmu Firza, bet, vadoties pēc http://cert.lv/resource/show/251 sniegtās informācijas, tas vīruss varētu būt %TEMP%\wgsdgsdgdsgsd.exe, bet ja tur nav, tad %AllUsersProfile%\0tbpw.pad un %AllUsersProfile%\lsass.exe, un ja tur nav, tad %appdata%\msconfig.dat.

[*M3]

Pirmais paveids manis pievienotajā foto augstāk atradās tieši šeit %TEMP%\wgsdgsdgdsgsd.exe. 

[wellstar]

Jauno(100Ls versiju) izdevās ar Kaspersky Rescue Disk ar svaigām datubāzēm(27.12.12) nonest. Divi faili, viens .exe otrs .dll startājas no vecas javas

Pēc kasperska tika pārbaudīts ar malwarebytes un combofix! Vairāk neko neatrada!

 

Šitais jaunais brīnums uz W7 startējās arī SafeMode, veco versiju varēja caur turieni izmest
 

[Firza]

Par to, kas startējas iekš SAFE MODE, uz Windows XP un jaunākiem Windows atbild reģistra ieraksts HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ . Ja vīruss tiek palaists ar administratora tiesībām, tad vīrusam nav nekādu problēmu izmanīt to atslēgu tā, lai tas palaistos arī iekš SAFE MODE. Un te nav nozīmes vai tas ir Windows XP vai Windows 7, visu nosaka tas ar kādām tiesībām vīruss tiek darbināts. Ja Windows 7 lietotājs domā ar galvu, nevis ar rokām un nespiež uz visiem UAC brīdinājumiem YES, tad šis vīruss nekur tālāk par lietotāja %userprofile% netiks.

[RockstarUnicorn]

Vēl veins no mošķa ievlinātājiem var būt.

Javilen/Javalen (neatceros, kā konkrēti viņs saucās)

 

Tādu parasti uzmet dažās lapās kurās lādēm mp3 no YouTube

[DFI-Partyboy]

Tādu parasti uzmet dažās lapās kurās lādēm mp3 no YouTube

Tas tā ir tādēl ka čaiņiki nemāk no Youtube nokačāt oriģinālo FLV vai MP4 failu caur Firefox un UnPlug spraudni. Googlei prasīt atbildes un klausīt sliktiem padomiem instalēt .exe gan māk. Dabiskā atlase un muļķu filtrs.

[bamse]

tikko noķēru šito vīrusu, meklēju manas Nokijas valodas versiju, iegāju http://forum.dailymobile.net/index.php?topic=80847.0 un tur ir vesela strīpa ar lejupielādejamām valodām, izdomāju ka prikola pēc varētu nokačāt lai paskatītos no kā tas fails sastāv un uzspiedu uz norādīto linku "•  67 latvian - Ultimate translation files" ar ceļu uz http://www.mediafire.com/?dx6652td1kpa4qu. Tik vien ieraudziju ka kačājas rar fails ar 5.8Mb, nomelnojās ekrāns vai arī izlēca pilnekrāna melna explorer lapa, sāka aktīvi mirgot interneta kastītes zaļās lampiņas un uz melnā fona izlēca vārdiņš "Policija". Uztaisiju hard restart, dators palaidās itkā OK, bet līdz normālam desktopam netiku, restartēju velreiz tikai palaidu safe režīmā (W XP), arī nekas nesanāca, ierubiju googli caur telefonu, palasiju boot forumu un izmēģināju ieteikto versiju par datora palaišanu caur "last working restore point"..vai nu kā tur viņu sauca (pie safe režīma izvēles).. un aizgāja! Antivīruss - Microsoft security esentials bija izlēgts (ne es), to ātri ierubiju un uzreiz noķēra 4 gab. ar Trojan:Win32/Revelton!lnk , kas bija c:\documents and settings\qww\Start Menu\Programs\Startup\runctf.lnk . 

Tagad iet ESET Online scanner .. kamēr viņš meklē un neko pagaidām nav atradis, tas Microsoft security esentials patstāvīgi vienā un tajā pašā vietā noķer nu jau 7 vīrusu. 

[Firza]

Vakar veiksmīgi izdevās tikt pie tā „Policijas vīrusa”. Dabūju to kā reiz šādā veidā „uzspiedu uz norādīto linku "•  67 latvian - Ultimate translation files" ar ceļu uz http://www.mediafire...x6652td1kpa4qu.”. Pašam RAR failam nav nekādas vainas, nav tajā nekādu vīrusu. Nav īsti saprotams, kāds ir šī vīrusa inficēšanas mehānisms, ja pats novelkamais fails nesatur vīrusu. Iespējams, ka vīruss ir pašā mediafire mājas lapā (ļaundaris uzlauza mājas lapu un ielika tur to vīrusu) un tālāk jau tas tiek izplatīts kopā ar novelkamajiem failiem izmantojot kādu no interneta pārlūku, java vai flash ievainojamībām.  Dīvaini, tas ka to vīrusu izdevās dabūt tikai vienu reiz, visi pārējie mēģinājumi pie tā tik izmantojot vairākas interneta pārlūkprogrammas vēlamo rezultāta vairs nedeva. Pamēģināju arī šodien darbā tiek pie tā vīrusa, bet nekā - nav viņa vairs tur.

Uz Windows 7 ar USER tiesībām dotais vīruss darbojas švaki. Vienīgais uz ko tas ir spējīgs: izveidot shortcut mapē %userprofile%\Start Menu\Programs\Startup un tajā paša %userprofile% mapē iemest vienu dll failu, kā arī divus kaut kādus failus %alluserprofile% mapē (pats vīruss ir tas lnk fails un dll fails). Nekādas citas izmaiņas datorā tas neveic, kas nozīmē, ka vīrusu deaktivizēt ir ļoti vienkārši – ielogoties no cita lietotāja profila ar administratora tiesībām un izdzēst lnk failu no startup mapes. Parējos vīrusa failus var pat nedzēst, jo tas vīruss vairs nav spējīgs palaisties un arī lietotājs to netīšām nevarēs palaist (dll failu nevar palaist 2x uz to uzklikšķinot, tur ir vajadzīga arēja palaišanas programma, kas parasti ir rundll32.exe)

Uz Windows XP ar USER tiesībām ir tas pats – nekur tālāk par %userprofile% mapi tas nespēj tikt.

[Firza]

versija kura bloķē safe mode bloķē ari citu lietotāju un izdzēšot runctf no startupa pēc restarta ieejot safe mode atjaunojas

Es jau rakstīju par to ka : "Uz Windows 7 ar USER tiesībām dotais vīruss darbojas švaki." Uzsvars ir tieši uz USER tiesībām. Par to, ka vīrusam, kurš tiek administratora tiesībām, var izdarīt visu to pašu, ko administrators var izdarīt ar rokām, arī sačakarēt SAFE MODE (viena registry atslēga), tas tā pat ir skaidrs.

Vot, ja tas vīruss spēj apiet UAC uz Windows 7, vai iegūt paaugstinātas privilēģijas uz Windows XP, tad tas jau ir cits jautājums. Tad būtu interesanti noskaidrot, kas tā ir par Windows ievainojamību, un vai tai ir ielāps.

[scAvenger]

Kad nesen norāvu zem Windows 7 šo brīnumu (100 Ls "versiju"), tad leca ārā arī UAC lodziņš, kur rundll32.exe prasīja tiesības veikt izmaiņas sistēmā. Protams, ja cilvēks UAC ir atslēdzis (tā sakot, lai netraucē), vai nedomājot spiež YES, tad sekas zināmas. Vīruss (pareizāk laikam jau trojāns) bija tajā pašā nelaimīgajā MediaFire miskastē. Saites uz to laikam būs kādu laiku jāignorē. Malwarebyte atrada šādus failus:

http://www.bildites.lv/images/ycrxxd5wsy84unt1urn2.png

[Firza]

Malwarebyte atrada šādus failus: http://www.bildites....y84unt1urn2.png

Man tur vēl bija 4. fails ar nosaukumu "dsgsdgdsgdsgw.js". Iespējams, ka no antivīrusa viedokļa tajā java script failā nav nekā destruktīva, tāpēc tas netika atzīmēts kā vīruss.

Morāle visam tam ir tāda, ka strādāšana no USER konta dod labāku aizsardzību (arī bez antivīrusa), ne kā strādājot no administratora konta un visu drošbu uzveļot uz antivīrusa pleciem. Te pat vairs nav runa par "dumajajiem lietotājiem", kuri ver vaļā visus failus, pat neskatoties uz failu tipu. Tādu vīrusu var dabūt pilnīgi jebkurš Windows lietotājs*, neatkarīgi no viņa kvalifikācija.

 

* Nu jā, Linux/BSD lietotājiem šajā ziņā ir pārāks par Windows, jo tur programmu ievainojamības, pat ja tās dod iespēju izpildīt jebkuru kodu, nenoved pie datora inficēšanas, jo tur tas „jebkurš kods” tik un tā neļauj darbināt neinstalētu ārēju programmu. Bet uz Windows nekas tāds vēl ilgi nebūs, jo Microsoft jau tā ir rūgta pieredze ar ar UAC ieviešanu. Ja ieviesies vēl failu izpildāmības atribūtu, tad puse Windows lietotāju prātā sajuktu.

[scAvenger]

Ļoti iespējams, sekundi pirms vīrusa aktivizēšanās parādījās kaut kāda reklāmas lapa. Jā, tas javaskripta fails arī bija, to izdzēsu tāpat ar roku. Bet paliek jautājums, vai tiešām ir arī varianti, kas automātiski apiet UAC?

[YouMan]

Nesen ar bij viens nogrābis 100ls versiju uz winXP, CERT manuāli vīrusa izvākšanai varēja iebāzt vienā vietā un arī Kaspersky Rescue disk nelīdzēja, it kā ko atrada, bet pēc otrā restarta vīruss bija atpakaļ. Tiku vaļā ar komandrindas palīdzību dzēšot pāris failus, kuru nosaukumi jau iepriekšējos postos tika minēti, jāsaka gan, ka failu paplašinājumi atšķīrās.

[Firza]

Nu tā, izpētīju to Policijas vīrusu no Mediafire.

Kā jau  rakstīju iepriekš, darbinot šo vīrusu ar USER tiesībām tā destruktīvās spējas ir pavisam vājas. Nezinu, var jau būt, ka ir kāda 0 dienas ievainojamība, kura dod iespēju apiet UAC, bet šis nav tas gadījums.

A vot darbinot šo vīrusu ar administratora tiesībām situācija ir daudz jautrāka.  Pietiek vienreiz palaist šo vīrusu, un lietotājam čakaris uz pāris stundām garantēts, jo dators vairs nelādējas nekādā režīmā - arī SAFE MODE šis vīrusu ir aktīvs. Varbūt datorspeciālists, kurš zina kas tas tāds Live CD, mazliet pačakarējoties no tā vīrusa arī tiks vaļā, tad parastam mājas lietotājs, bez citu cilvēku arējas palīdzības no tā vaļā netikt. Windows 7 gadījumā, kā Live CD var izmantot arī Windows instalācijas disku, un izmantojot tur esošo System Restore, no tā vīrusu var tik vaļā vienkārši atjaunot sistēmas uz laiku, kad vīrusa datorā vēl nebija, bet System Restore jau ir „mēsls, vīrusu perēklis, nekam nederīga programma” un tas vienkārši nav stilīgi - izmantot System Restore. Aizejot pie klienta ārstēt datoru no vīrusiem, būtu stulbi, izmantojot System Restore, tik vaļā no vīrusu 5 minūšu laikā, un par darbu prasīt Ls 10  .

 

Iekš SAFE MODE tas vīrusus palaižas izmantojot izmainītu registry atslēgu:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=%userprofile%\wgsdgsdgdsgsd.dll

Oriģināli tur ir jābūt:

 "ServiceDll"= %SystemRoot%\system32\wbem\WMIsvc.dll

Tas arī viss, vairāk nekādu citu destruktīvu darbību šis vīruss neveic. Dotajam Policijas vīrusa eksemplāram nav nekādu papildus exe failus, vīruss ir wgsdgsdgdsgsd.dll kopā ar runctf.lnk, bet tas lnk fails laikam ir domāts savietojamībai ar Windows 7 un UAC, ja nu gadās lietotājs kurš nav bijis tik „gudrs”, lai jau iepriekš atslēgtu to "traucējošo" UAC  . Administratoriem šis vīruss palaižas ar izmainīto "ServiceDll", un lnk fails tam vairs nav vajadzīgs.

 

P.S. Vīruss sačakarē arī dublējošās registry atslēgas iekš "ControlSet001", "ControlSet003".

Labots Janvāris 9, 2013 - Firza

[*M3]

Tika šis vīruss noķerts uz datora, kuram virsū Windows xp. Neviens no zināmajiem vīrusa nosaukumiem nav atrodams. Esnu izmēģinājis dažādus rescue cd, bet arī tie nedarbojās. Nolēmu parinstalēt visu datoru, bet tad atkal problēma, lai saglabātu datus pieliku arējo hdd, bet windulis nepiešķir burtu un caur disc management arī to nevar izdarīt. Kāds var ieteikt kā šo vīrusu dabūt laukā? , jo šī jaunā versija ir principā neuzveicama.

[wellstar]

Startējies no kāda Live CD un pārkopē vajadzīgos datus!!! Visi normālie Live diski atpazīst USB iekārtas ar ārējiem diskiem!!!!

 

Pēdējam datoram, kurš nonaca pie manis - brutāli nostartējos no Live CD, uz c: diska vai lietotāja aplication data sameklēju "aizdomīgos failus"(pēc instalācijas datuma) un nodzēsu

Pāc tam ar ComboFix! nonesu atlikušo drazu - nekādu problēmu

Labots Janvāris 15, 2013 - wellstar

[Stepselis]

... lai saglabātu datus pieliku arējo hdd,...

 

 

Izdari otrādi, pieliec pie cita datora, kā ārējo.

[Nain]

Esnu izmēģinājis dažādus rescue cd, bet arī tie nedarbojās

 

Interesanti. Man parasti pal'idz tas pats dr.Web`s. 

[*M3]

Kuru no Live cd varat ieteikt?

Dr.web`s arī nepalīdzēja.

[Firza]

šī jaunā versija ir principā neuzveicama.

 

Stipri apšaubu šī vīrusa neuzveicamību.

Zinot to, ka šis vīruss ir rakstīts tā, lai būtu „savietojams” ar Windows 7 UAC  , tad dēļ šīs savietojamības, visi vīrusa faili tiek izvietoti tajā mapēs, kurās tam noklusēti ir pilnas pieejas tiesības. Uz Windows 7 tā ir %userprofile% mape. Būtībā tā, ja neviens antivīruss šo vīrusu nevar atrast, tad var vienkārši rupjā veidā izdzēst visus dll, exe failus no %userprofile%. Nav jāuztraucas par to, ka tādā veidā var vēl vairāk sabojāt datoru, jo taisot jaunu lietotāju  sākumā tam %userprofile mapē vispār nav nekādu failu, un vispār jau pareizi uzrakstītam programmām nav jāglabā savi exe, dll faili %userprofile% mapē (Google Chrome neskaitās  ), un pat, ja kāda programma tos tur glabā, tad pie nākošās programmas palaišanas tie faili tiks uzinstalēti no jauna.  No Live CD labs ir ERD Commander. Labums tam ir iekš tā, ka tas montē klāt vecās sistēmās Registry, kas nozīmē, ka labojot reģistra failu nav jāķēpājas ar attiecīgo failu meklēšanu datorā un to montēšanu pie Live CD reģistra. Un galvenais pluss tam ir tas, ka tajā iekšā ir strādājoša System Restore programma, kas dod iespēju atjaunot sistēmās stāvokli uz laiku, kamēr datorā vēl nebija vīrusus. Uz Windows 7, System Restore ir iebūvēts pašā instalācijās diskā (Windows 7 disks gan nederēs Windows XP labošanai).

Labots Janvāris 15, 2013 - Firza

[aoma]

@@Firza,

 

Aprakstīts izsmeļoši
Pats gan neesu tik smalki to ķēmu pētījis, tās nedaudzās reizes, kad nācās tīrīt, izmantoju Kaspersky Rescue Disk, aizvāca visu bez problēmām, viens džeks bij paspējis nogrābt gan 50 gan 100 latnieku versiju

[janka71]

nu liekam jaunu bildi iekšā policijas vīrusam

 

 

modifikācija ifgxpers.exe zem all users apdata

 

 

Labots Janvāris 17, 2013 - janka71

[janka71]

tev nosūtīt !

izgriezums no virustotal

 

 

File name: ifgxpers.exe File type: Win32 EXE Detection ratio: 24 / 46 Analysis date: 2013-01-17 16:47:29 UTC ( 1 minūte ago )

 

 

Kaspersky Trojan-Ransom.Win32.Blocker.aiuc 20130117 Kingsoft - 20130115 Malwarebytes Trojan.FakeMS 20130117 McAfee PWS-Zbot.gen.aua 20130117 McAfee-GW-Edition Artemis!DC53702B0FA1 20130117 Microsoft Trojan:Win32/Tobfy.N 20130117 MicroWorld-eScan Trojan.Generic.KDZ.4627 20130117 Labots Janvāris 17, 2013 - janka71

[Baigais Janka]

modifikācija ifgxpers.exe

Ko nozīmē "modifikācija"? Tas ir pliks vīrusa exe fails un nekas cits.

[versatile]

Nu ko. Tikko izravēju no viena darba datora ar UAC 100 Ls versiju. Jūzeris ar limitētām tiesībām.

Ar citu kontu uz datora, saprotams, nekādu problēmu.

Atzinās, ka darba laikā skatījuies seriālu online. Pārlūks: IE.

Bija dikti interesanti, ka piegāju klā, ieraugu un slēdzu ārā datoru ar power pogu, tas to drazu nokillo un tālāk prasa, vai killot arī exceli un pārējo. Tur, protams, cancel, un rokas jau diezgan brīvas.

Sēdēja zem:

%UserProfile%\dsgsdgdsgdsgw.exe (šito izsauca no startupa)

%AllUsersProfile%\dsgsdgdsgdsgw.pad

%AllUsersProfile%\dsgsdgdsgdsgw.js ar sekojošu saturu (nu, pēc tam, kad padarīts par human-readable):

var activex = new ActiveXObject(Shell.Application);
activex.ShellExecute('C:\Windows\system32\rundll32.exe ','C:\Users\username\wgsdgsdgdsgsd.exe ,H1N3',"",'runas',1);
WScript.Sleep(2000);
var WSHShell = WScript.CreateObject(WScript.Shell);
WSHShell.Run('C:\Windows\system32\rundll32.exe '+'C:\Users\username\wgsdgsdgdsgsd.exe ,H1N3');

Attiecīgi - atslēdzam globāli ActiveX un viss būs bumbās.

Labots Janvāris 18, 2013 - versatile

[versatile]

Aha, ar H1N1 pats paslimoju savulaik /Cūku gripa/

[Firza]

Mārruts viņu zina kādu funkciju pilda tas JS fails.

Vīruss automātiski tiek palaists vai nu caur shortcut iekš %userprofile% startup (ja lietotājs "dumjš" un nezina kā atslēgt UAC), vai nu caur 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=%userprofile%\wgsdgsdgdsgsd.dll

ja lietotājs ir "advancētāks", un visas darbības datorā veic ar adminstratora tiesībām.

A kad un kur tiek darbināts tas JS nav saprotams. Būtībā tas JS dara to pašu ko vīrusa shortcut. Tā ka ActiveX atslēgšanas var arī neglābt no šī vīrusa.

[versatile]

Nu, activex atslēgšana arī praksē nav labākais risinājums.

[Firza]

Es jau kādus 6-7 gadus no Limited User strādāju. Uz Windows XP sākumā bijā mazliet jāpierod, un jāsaprot kāpēc tā vai cita lieta nedarbojas, bet kad pierod tad vairs nav nekādu problēmu. Windows 7 tādā ziņā ir daudz draudzīgāks priekš Limited User.
Par tīkla printeru nestrādāšanu zem LImited User neko nevaru pateikt, jo pārāk maz informācijas. Nu vismaz man uz Windows 7 visi tīkla strādā arī ar USER tiesībām. Tie gan ir īsti tīkla printeri nevis lietotāju nošārētie, bet ar nošārētiem printeriem neredzu racionālu iemeslu kāpēc tas varētu nedarboties, ja printeris ir pareizi nošaržēts.
Tiem ,kuri ar datoru ir uz jūs kā reiz pilnīgi pietiek ar USER tiesībām. Lai ieietu draugos, paklausītos mūziku vai noskatītos filmu, uzrakstītu word dokumentu administratoru tiesības nafig nav vajadzīgas. Administratora tiesības ir vajadzīgas, lai uzinstalētu programmas un nekam vairāk. Ja lietotājs neko neinstalē, tad Administratora tiesības viņam nav vajadzīgas. Ir gan problēma ar programmā kurām laiku pa laikam iznāk jaunas versijas un tās uzmācas ar to, ka vajag instalēt to jaunāko, bet lietotājam nav tiesības to darīt. Windows Update gan instalējas arī bez administratora  tiesībām, jo to darbina nevis lietotājs, bet gan SYSTEM.

Esmu pārsēdinājis uz  Limited User divus paziņas - mājas lietotājus, kuri ar datoru ir uz jūs, un kopš tā laika, viņi ir jau aizmirsuši, ka kaut kur pasaulē eksistē tāda lieta kā vīrusu. Un tas viss pat neskatoties uz to, ka antivīrusu uz tiem datoriem nekad nav bijis.
Viendien bija smieklīgi klausīties, ka viena no augstāk minēto datoru īpašniecēm, pa telefonu runāju ar draudzeni, kura sūdzējās par vīrusiem, un mana kliente gurdi filozofēja par tēmu: „nesaprotu kur tu tos vīrusu ņem, man gan sen neviens vīrusus nav bijis datorā”. Pie sevis pasmējos par klientes lielo pašpārliecinātību, bet tā arī nepateicu kāds ir īstais iemesls vīrusu neesamībai viņas datorā.
 

[aigarello2]

Sveiki !

ņemos tagad ar savu datoru, mēģinu tikt vaļā no šī vīrusa . Ir W7 home, nospiežot F8, nekas nenotiek .Izmēģināju no sākuma Drweb, izskenēju, vienu failu noķēra. Nekas no tā nemainījās, safe Mode vienalga netiek, pat nereaģē . Tagad ar MSdart palīdzību var tikt Safe Mode, bet tas nepārtraukti vēlas pārstartēties, vienīgais kas ir pastāvīgs ir Safe Mode ar komandu režīmu. Sistēmas atjaunošanas punktu arī nevar uzlikt . izmēģināju vairākos veidos . Laikam atliek ķerties pie kaitīgo failu manuālas dzēšanas, bet pamēģinot padomus kuri ir šai sakarā doti internetā, sistēma paziņo ka šadi faili nav atrodami .Tātad, vai nu esmu ievadījis nepareizi komandu, faila nosaukumu, vai varbūt faili ir nu jau ar citu nosaukumu vīrusa jaunākai versijai . Vai var kāds dot padomu šajā lietā ?

[Baigais Janka]

Nu, palaid kompi ar kādu live cd, lai var normāli pa failiem rakāties. Palaišana viņam ir meklējama useru startupos un reģistrā (kā jau iepriekš minēts), izpildāmie faili meklējami useru profailos (kā jau iepriekš minēts). Nodzēšam, un laime pilna. Ar man te sāka ļauži nest kompjus ar šito mēslu inficētus

[PCMANS]

varbūt faili ir nu jau ar citu nosaukumu vīrusa jaunākai versijai .

 

 

Izskanē kasti ar šo progu, kas bildē vai izdzēs šādus failus kas manis pievienotajā bildē. Cilvēks saķēra 50Ls versiju uz XP kastes brouzējot "bezmaksas sieru - pr0n paskatā"...

 

[aoma]

Izskanē kasti ar šo progu, kas bildē

 

Varbūt pie reizes arī pastāsti, kā no nobloķēta datora tikt līdz tam online skenerim?

Autoram: ķeries pie kāda no Live CD un tīri, tikai pirms procesa uzsākšanas atjaunini datubāzes, ko cilvēki bieži neizdara un tad bļauj, ka tas tīrāmais līdzeklis neko neatrod.

[ggg97]

Sieva vakar uz sava nettopa norāvās 100Ls versiju. Kaut kur pa online realitātes šovu lapām bridusi. Tās nīkulis visus vakaru Dr Web Live cd grauza. Kaut ko atrada, bet kaut kas laikam līdz galam nav lāgā. Vakar vairs nebija laika, šodien jāturpina. Vispār viņai ir arī otrs akonts ar admina tiesībām, karā viņa ikdienā nestrādā. Saka, ka no cita akonta varot mierīgi čubināt. Vakar nepārbaudīju.

[PCMANS]

Saka, ka no cita akonta varot mierīgi čubināt. Vakar nepārbaudīju

 

No cita akonta tiešām var palaist ESET Online skaneri un "nocirst" tai zarazai galvu. Manā gadījumā safe mode nebija bloķēta, tajā tad izveidoju jaunu akontu un pēc tam no jaunā akonta palaidu online antivīrusu, kurš izārstēja esošo/inficēto akontu. Pēc restarta viss bumbās! Pēc tam var mierīgi nodzēst izveidoto akontu un sistēma būs iepriekšējā paskatā... Runa bija un ir par WinXP. Ja viss bloķēts, tad tikai LIVE CD vai inficēto cietni pieslēgt pie neinficēta datora un tad ar Eseta online izskanēt "sasirgušo" HDD.

[Volters]

Kopš decembra esmu noārstējis jau kādus padsmit kompjus.

Izskatās, ka viens no veidiem, kā neinficēties, ir Java iestatījumos izrubīt opciju "Keep temporary files on my computer"

[ggg97]

Karo4e. Admina akonts strādāja nevainojami. Sieva ikdienā strādā ar limited user (mana skola). Bet vairāki restores punkti man nedevās, ziņoja, ka kautkas nočakarēts. Palaidu to Eset onlinescaner no tā paša admina akonta safe modē. Atrada, izdzēsa un viss kārtībā. Pēc restarta uzreiz parādījās normāls desktops ar visām ikonām, ar kurām sieva sava limited akonta desktopu aiztirsusi. Tikai izleca paziņojums, ka kādu mistisku .doc failu nevar atrast. Devos uz startupu, kurš zem start pogas, un izdzēsu vienu failu no turienes, kuru tur nebiju ielicis.

 

Vakar DrWeb live CD strādāja 3x ilgāk kā šitais Eset un tas akonts vienalga palika bloķēts, lai gan policijas bilde neparādījās. Es gan pārāk ilgi negaidīju. Tā pēc man jautājums Volteram, ar kādām metodēm tad viņš ārstē. Pagaidām viņš klusē, kā partizāns. Jo tik ilgi, kā es čakarējos, es domāju, viņš nečakarējās.

[M@R$$]

kādi novērojumi - njem tikai 32 sistēmas vai arī 64 bitus nesmādē ?