VP virusa jauna versija!

[probot]

Sveiki. Man agrāk ir nācies saskarties ar to valsts policijas vīrusa lapu,bet toreiz viss bija vienkārši,jo tā bija tikkai lap.

Tagad ir tā-ieslēdzu pc un pēc 3sec izlec logs ar to vp bullshitu...pa visu ekrānu,pat starta līniju neredz..ja spaida windows pogu,tad zipsnī un redz viņu,bet principā,neko nevar izdarīt..ctr alt del nestrādā..neviens safe mode arī...varbūt kādam ir kāds risinājums? Negribas pārinstalēt. Itkā kaut kāda proga esot,bet es caur usb nevaru boot kompi...nezinu kapēc,bet šajā biosa es neko neredzu par usb pie boot menu.

[Nain]

Šepat forumā ir tēma par šo sērgu. Meklē risinājumu tur.

[intervall]

boot-settings,skaties vai vispār atļauj boototies no usb,ja atļauj,tad pie usb boot menu parādīsies izvēle boototies no usb,kad būs piesprausts bootabls puļķis.Safe mode ieiet nevar vai kas nestrādā(f8)?

Vēl vari mēģināt no matricas kādu liveCD.

[Firza]

Ja dators ar Windows 7, tad no instalācijās diska var palaist „System Restore” un atjaunot sistēmās stāvokli uz laiku, kad vīrusa datorā vēl nebija.
Bet no otras puses, ja uz datora ir Windows 7, tad ar noklusētajiem iestatījumiem (ieslēgts UAC) „policijas vīruss” iegūts vienīgi ierobežotas, konkrētā lietotāja tiesības, kas nozīmē citam lietotājam šajā datorā šis vīruss nestrādās. Tā, ka ja iekš SAFE MODE, vai normālā režīmā, ir pieejams vēl kāds lietotāja profils, tad ielogojoties caur to vīruss nedarbosies, un to varēs likvidēt kaut vai ar to pašu „System Restore”.
Ja lietotājs ir tik advancēts, ka ir atslēdzis UAC, vai uz vīrusa pieprasījumu palaist to administratora tiesībām ir apstiprinājis šo pieprasījumu, tad gan ārstēšana būs mazliet sarežģītāki, un bez Live CD vairs neiztikt (derēs arī Windows 7 DVD).

Windows XP gadījumā gan viss bēdīgi: nav tam instalācijās diskā iebūvēta System Restore,. un arī lietotāji visas programmas ar adminstratora tiesībām darbina. Tā, ka tur vajadzēs meklēt kādu antivīrusu uz Live CD, lai no policijas vīrusa tiktu vaļā.

Labots Februāris 14, 2014 - Firza

[Firza]

 

 

Var lietot ERD comander

Jā, uz Windows XP var lietot ERD Commander, uz Windows 7 pilnīgi pietiek ar instalācijas DVD.

 

Policijas vīrusam ir bijuša vairākas versijas, bet neticu, ka ir tāda versija, kura māk apiet UAC. Bet, ja tāda policijas vīrusa nav, tad normālos apstākļos (lietotājs nespiež uz YES pie katra UAC pieprasījuma) vīruss nevar nobloķēt Windows 7 tā, ka to nevar ieslēgt nekādā režīmā. Nobloķēsies tikai viena konkrētā lietotāja profils, citi lietotāju profili strādās pilnīgi normāli (SAFE MODE bloķējas dēļ tā, ka vīrusus sevi pieraksta pie lietotāja Logon).

[probot]

Nezinu kapēc,bet restore man nav... Un tas bios ir kaut kāds stūlbs. man ir asrock kaut kāda.mātene un man pie böot priority rāda tikkai cietos... Nesaprotu kas par lietu..es lasīju tās tēmas,bet tur bija tikai par browser problēmām.

[probot]

A var kaut kā uztaisīt jaunu lietotāju šādā stāvoklī,kad netieku windowsa? Un jā,man ir 7

[probot]

Man neiet neviens no.safe mod..uzreiz ir shut down

[probot]

Sorry,bet man nav ne jausmas kas ir erd commander. Disku dabusu riitdie ,ja tur nekas nelidzes nāksies pārinstalēt,bet negribās pazaudēt failus

[probot]

Tam system restore ir jāstrādā arī bez cd? Jo bez viņš man rāda,ka nekādu seivu nav.

[probot]

Tam system restore ir jāstrādā arī bez cd? Jo bez viņš man rāda,ka nekādu seivu nav.

[probot]

Ok..paldies par info. Rīt pamodīšos un mēģināšu kaut ko panākt.

[Firza]

 

 

Tad izskaidro kāpēc šajos gadījumos startējot kompi safe mode visos variantos un arī ja ir cits lietotājs pēc log in tūlīt seko log off?

Redzu tam vienu izskaidrojumu – lietotājs bija ļoti advancēts un atslēdza kaitinošo UAC, vai pie vīrusa pieprasījuma pēc administratora tiesībām automātiski nospieda YES.
Ar ieslēgtu UAC, vīruss nevar inficēt datoru tālāk pār konkrēto lietotāju, jo globālajās Start Up vietās, noklusēti ir aizliegts pievienot jaunus ierakstus. Lietotājam pašrocīgi ir jāpastiprina UAC pieprasījums, lai tur tiktu veiktas izmaiņas.

[Firza]

UAC ir kompromiss starp „limitēto lietotāju” un „pilnas dienas administratoru”.
Tas bija mēģinājums mazāk sāpīgā veidā atradināt lietotājus no visu darbību veikšanas ar administratora tiesībām, un pirmais mēģinājums ar Windows Vista nebija pārāk veiksmīgs. Lietotāji tam vēl nebija gatavi, un liela daļa programmētāji pat iedomāties nevarēja, ka viņu programmas varētu nedarbināt ar administratora tiesībām.
Strādāt kā „limitētam lietotājam” mazliet kaitinoši bija uz Windows XP, jo tur daudzas programmas nestrādāja un nebija nekādas informācijas par nestrādāšanas iemesliem. Uz Windows 7 neko kaitinošu nesaskatu un programmas, kas ar to nesadzīvo ir liels retums (Spēles nespēlēju. Nezinu, var jau būt, ka tās vēl ar vien nevar spēlēt ar „limitētā lietotāja” tiesībām). Uz Windows 7, starpība starp noklusēto „pseido-administratoru” un „limitēto lietotāju” ir tikai iekš tā, ka „limitētajam lietotājam” pie UAC pieprasījuma ir jāievada administratora parole. Citas "kaitinošas" atšķirības neesmu atradis.

 

P.S. Mans „limitētā lietotāja” darba stāžs ir > 8 gadi, tā ka mazliet esmu lietas kursā par „limitētā lietotāja” problēmām.

Labots Februāris 14, 2014 - Firza

[MCBoss]

Sveiki! Ik pa laikam, kādam paziņai vai draugam gadās noķert kautkur šito stūlbo policijas vīrusu, parasti no tā tiku vaļā ar system restore, bet šodien trāpijās viens PC (Win 7 64Bit) kuram nesanāca tad lūk padalīšos ar to ko es izdariju, ja nu noder. https://cert.lv/resource/show/251 metodes nepalīdzēja, izņemot resource CD nemēģināju to tam vajag papildus datoru un jāraksta CD vai usb... 

1. Ieslēdzu datoru un paspaidiju F8 lai tiktu Safe mode with command prompt. 
2. Viss ielādējās rakstu: explorer 
3. Spiežu ENTER! 
4.atveras exploreris, ieeju User accounts uztaisu velvienu akkountu ar Admin. tiesībām Restartēju PC un protams logojos jaunizveidotajā akountā (Bez nekādiem Safe mode) 
5. Lejupielādēju http://www.freedrweb.com/cureit/ (Bezmaksas versiju) + Nav jāinstalē vienkārši atver un laidu skanēt īpašas aizsardzības režīmā... 
6. Kad viss tika pabeigts restartēju logojos vecajā akauntā un lieko User account var izdzēst. 

Īsumā tā, man procedūra aizņēma ap 30 min. un nebija nepieciešams papildus PC! 

Ja nu kas... lai veicas! 

[Firza]

Dīvaini, ka ar System Restore nesanāca tikt vaļā no tā vīrusa. Iespējams, ka tā ir kaut kāda paša System Restore problēma. Man piemēram, uz "Windows 7 upgrade" versijas System Restore nestrādā jau no dzimšanas, un tā arī nav izdevies atrast nestrādāšanas iemeslu.
Un tas, ka caur „safe mode with command prompt” var uztaisīt jaunu lietotāju liecina par to, ka šis policijas vīrusa eksemplārs nemāk apiet UAC, un tātad spēj inficēt tikai konkrētā lietotāja profilu, kas neizplatās uz citu lietotāju profiliem.
Policijas vīrusa galvenā fiška ir iekš tā, ka parasti tā paplašinājums ir viss kas, tikai ne EXE (tas gan nemaina vīrusa struktūru - tas tik un tā ir PE fails) un tam ir vairāki veidi kā automātiski palaisties.
Vīrusa strādāšana iekš SAFE MODE varbūt arī ir jaunums, bet nekās brīnums tas arī nav. Automātiskā palaišanās iekš SAFE MODE tiek nodrošināta izmainot reģistra ierakstu:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="explorer.exe" 

kur  pirms "explorer.exe", vai tā vietā, tiek pierakstīts ceļš uz vīrusa failu. Lietotājs, kurš mēģina ielādēt datoru SAFE MODE ieejot savā profilā automātiski palaiž to, kas ir rakstīts iekš winlogon.
Ejot caur caur „safe mode with command prompt” lietotāja profils netiek ielādēts un logon ieraksts netiek izpildīts. Un arī ielogojoties citam lietotājam, vīruss nepalaižas, jo tas ir ierakstīts tikai vienam konkrētam lietotājam. Lai to ierakstītu visiem lietotājiem vīrusam ir "rokas par īsām", jo tad tas prasītu UAC apstiprinājumu.

 

P.S. Vīruss, kurš tiek darbināts ar administratora tiesībām ir ļoti daudz vietu kā automātiski palaisties, un daudz iespēju sačakarēt datoru tā, ka labot to var tikai  ar pārisntalēšanu.

 

 

bet kā ar Flash, Reader, Java, Firefox u.c.?

Java un FireFox māk atjaunoties arī caur "limitēto lietotāju". Tādu iespēju nodrošina attiecīgo programmu "updater services" (pirms dažām minūtēm kā reiz notika Firefox atjaunināšanās no limited user). Par Adobe produktiem nepateikšu.

[Firza]

Ja visu laiku spiež ,,YES,, kāda jēga?

Jēga tāda, ka ar UAC dators tiek attālināts no inficēšanas par vienu peles klikšķi. Ja uz Windows XP, vīrusu var palaist netīšām 2x uzklikšķinot uz izpildāmā faila (vai pat vispār nekur neklikšķinot autorun.inf vīrusu gadījumā), tad uz Windows 7 netīšām palaist globāli inficējošu vīrusu vairs nesanāks, jo vēl būs vajadzīgs UAC apstiprinājums. Pat, ja lietotājs visur spiež YES, UAC pasargā no kaitēju nodarīšanas datoram aiz neuzmanības. Lietotājs vairs nevarēs pateikt, „es nekur nespiedu, laikam kaķis pa klaviatūru pastaigāja un netīšām palaida vīrusu”.

 

Par AD lietotājiem nezinu, bet lokālam datoram FireFox update admistratora tiesības neprasījā, un atjauninājās viņš mapē %ProgramFiles%\Mozilla Firefox\ nevis tikai iekš %userprofile% (stulba mode radusies programmas bāzt %userprofile% mapēs).

Labots Februāris 15, 2014 - Firza

[versatile]

 

 

nav iespējams pilnībā sabalansēt "lietotājam censties uzvesties saprātīgi, bet spēt izdarīt to, kas nepieciešams"

ja programmu nav rakstījis koderis kaut kad sen xp ziedu laikos, bet tagad, sekojot visiem guidelines, tad nebūs problēmas.

Atsevišķām programmām var tām mapēm iedot vajadzigās tiesības un ņeparitsja.

Problēmas sākas ar visādiem flash apdeitiem, kas vajadzīgi - bet tur laikam jāatmet slinkums un jāuztaisa tā distribūcijas licence.

[Firza]

%userprofile% tāpēc, ka rakstīšana %ProgramFiles% prasa tiesību eskalāciju

Stulba mode ir pilnīgi visu programmu bāzt iekšā %userprofile% mapē tā, ka pie %ProgramFiles% vispār nav nekā no uzinstalētās programmas. Chrome tā pašā sākumā darīja. Kā ir tagad – nezinu. Pietika ar to „pirmo reizi”, lai vairs negribētos tādu programmu lietot.

Programmu update gadījumā ne vienmēr ir vajadzīga ”tiesību eskalācija”. Tas pats Windows update, FireFox, antivīrusi māk atjaunināties arī tad, ja datorā ir ielogojies kā limitētais lietotājs. To ”tiesību eskalācija” šajā gadījumā nodrošina attiecīgās programmas updater service, kurš darbojas ar SYSTEM tiesībām, un nav viņam vajadzības vēl prasīt lietotājam apstiprināt UAC pieprasījumu nospiežot YES, vai ievadot Administratora paroli.

Šāds atjaunināšanas veids gan nav ideālas, jo liek turēt datorā čupu ar dažādiem updater servisiem, un ne visas maziņās var to var atļauties darīt, un ne visām maziņajām programmā to vajag  atļaut darīt.

Labots Februāris 15, 2014 - Firza

[Firza]

sjaada variaacija ir iista medusmaize visaadiem taarpiem

Ir kāds piemērs, kur tārpi ir iekļuvuši datorā caur programmu updater servisiem?

Var jau būt, ka tas rada kaut  kādu papildus apdraudējumu, bet tā uz reiz nevaru iedomāties šī apdraudējuma izmantošanas scenāriju. Varbūt vienīgi viltota mājas lapa, no kuras programma savāc atjauninājumu, bet tad datorā jau ir jābūt aktīvam vīrusam, kurš redirektē programmas update pieprasījumus uz viltoto mājas lapu, vai arī uzbrucējam ir jābūt tiešā tuvumā savam upurim, lai varētu realizēt „men in middle” uzbrukumi. Iespējams, ka to ir iespējams realizēt izmantojot savu bezmaksas WIFI pieejas, caur kuru pieslēdzas bezmaksas interneta tīkotāji. Un arī tad šis scenārijs nedod garantiju, ka caur updater servisu var datorā ievazāt destruktīvas porgrammas, jo gan jau, ka tas updater serviss pārbauda kontroles summas tam ko velk, un ativīrusu gadījumā gan jau, ka tie updates tiek parakstīti ar izstrādātāja elektronisko parakstu, ko noviltot ir nereāli.

Labots Februāris 15, 2014 - Firza

[mafijs]

 

 

Tagad ir tā-ieslēdzu pc un pēc 3sec izlec logs ar to vp bullshitu...pa visu ekrānu,pat starta līniju neredz..ja spaida windows pogu,tad zipsnī un redz viņu,bet principā,neko nevar izdarīt..ctr alt del nestrādā.

 

Ja tas zarazņiks atver pārlūka tabu un neļauj to aizvērt, kā izklausās šajā gadījumā, pietiek iztīrīt attiecīgā browsera cache.

[Firza]

 

 

Ja tas zarazņiks atver pārlūka tabu un neļauj to aizvērt,

Nē, tēmas autors ir dabūju īstu "policijas vīrusu" izpildāmās programmas veidā, kura atver brīdinājuma lapu caur iexplorer.exe pa visu ekrānu un nobloķē iespējas to aizvērt ar peli vai taustiņu kombinācijām. Pēc restarta vīruss automātiski palaižas un atkal nobloķē desktop, neļaujot neko izdarīt, lai to aizvērtu.

[Firza]

Tie "otimitizatori" un cita šņaga datorā var tik ievazāti arī instalējot pilnīgi legālas un vajadzīgas programmas, kurām komplektā nāk līdzi visādi toolbāri un pārējās muļķibas. Tādu programmu instalātori var būt uztaisīti tā, lai lietotājs bez iedziļināšanas instalēšanas procesā nesaprastu ko īsti viņš dotajā brīdī instalē un kur spiež YES (Next).

Tagad jau fig atradīs parasta lietotāja datoru, kurām iekš Internet Explorer nebūtu vairāki toolbāri. Nav jau nozīmes tam, ka "parastais lietotājs" varbūt arī neizmanto Internet Explorer. Bet pats fakts, ka tas ir pilns ar toolbariem liecina par to, ka datorā ir instalētas programmas, kurām komplektā nāca tā draza, un tad jau tik pat labi var tik unstalēti arī visādi "optimitizatori".

[Firza]

Tikko no download.com izdomāju uz dullo novilkt kādu programmu, un pirmā, kas patrāpijās bija kaut kāds "Smart Defrag 3".

Nu ko, jāpamēģina uzinstalēt. Biju pat mazliet izbrīnīts, kad man netika piedāvāts uzinstalēt kādu toolbar, bet parāk agri nopriecājos - pašās beigās, kad programmas jau ir uzintalētā, un ir palicis tikai nospiest pogu "Finish", ir redzams logs, kurā ir ielikts ķeksi pie "Replace Windows Defragmenter", var ielkt ķeksi pie "View update history", un jau ir ielikts ķeksis pie "Install Advanced SystemCare". Ko tur brīnieties, ja šādā situācijā cilvēks automātiski nospiež "Finish" un dabū savā datorā kārtējo Windows "optimizatoru".