Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2009-01-21 14:27:30

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

wirus

Pytanie do wyjadaczy w tym systemie.
Mam wirusa w katalogu RECYCLER, który nazywa się DC_coś_tam.exe (taki fajny trojan, co robi pliki *.doc, *.pdf, *.jpg i wiele innych)
Usunięcie przez program antywirusowy się nie powiodło, ręczne teżnie - wirus się powiela, równocześnie zmieniając nazwę. Podobnie jest w trybie administratora - nie da się usunąć - tworzy nowe klony.
Usunąłem go pod linuksem - zadziałało :)
Pytanie - czy jest jakaś metoda, aby to zrobić bez wyciągania dysku i podpinania pod nasz jedynie słuszny system ??


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]

Offline

 

#2  2009-01-21 14:31:20

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: wirus

Na przykład z konsoli odzyskiwania - dostępna na cd instalacyjnej. Spod systemu, hmm, musiałbyś znaleźć proces wirusa (polecam procviewer), wysłać mu sigkill, a potem opróżnić kosz, ewentualnie wejść do dysk/recycle[dr] i za pomocą shift+delete usunąć *.exe.

Offline

 

#3  2009-01-21 14:49:02

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: wirus

[quote=Bodzio]Pytanie - czy jest jakaś metoda, aby to zrobić bez wyciągania dysku i podpinania pod nasz jedynie słuszny system ??[/quote]
System Live.

Naturalnie polecam [url=http://www.grml.org/]grml[/url].

Ostatnio edytowany przez azhag (2009-01-21 14:49:35)


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#4  2009-01-21 16:33:10

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: wirus

Tyle razy go reklamowałeś, że wreszcie muszę ściągnąć :)


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]

Offline

 

#5  2009-01-21 16:58:21

  ilin - Palacz

ilin
Palacz
Skąd: PRLu
Zarejestrowany: 2006-05-03

Re: wirus

Warto mieć takie Livecd.Jego bogactwo narzędzi sie przydaje.
Ostatnio sąsiad windowsem rozwalil tabelę partycji w drobny mak.Poleciały dosyć ważne dane.

Grml ciach ciach i wszystko wróciło do stanu wyjsciowego. :))


[b]Problemy rozwiązujemy na forum nie na PW[/b] -> Niech inni na tym skorzystają.
[url=http://dug.net.pl/]Polski portal Debiana[/url]

Offline

 

#6  2009-01-21 21:02:11

  fnmirk - Użytkownik

fnmirk
Użytkownik
Zarejestrowany: 2008-02-19

Re: wirus

Dla formalności dorzucę takie narzędzie: [url=http://www.sysresccd.org/Download]http://www.sysresccd.org/Download[/url]
Jeżeli nie pobierać to warto zapoznać się z materiałami dostępnymi na stronie projektu.

Offline

 

#7  2009-01-21 21:21:42

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: wirus

[quote=lis6502]Na przykład z konsoli odzyskiwania - dostępna na cd instalacyjnej. Spod systemu, hmm, musiałbyś znaleźć proces wirusa (polecam procviewer), wysłać mu sigkill, a potem opróżnić kosz, ewentualnie wejść do dysk/recycle[dr] i za pomocą shift+delete usunąć *.exe.[/quote]
Albo zalogować się jako użytkownik SYSTEM :-) Wtedy można cuda robić ...


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#8  2009-01-21 21:28:01

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: wirus

[quote=pasqdnik]Albo zalogować się jako użytkownik SYSTEM :-) Wtedy można cuda robić ...[/quote]
Ciekawe :) - jak to zrobić ?


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]

Offline

 

#9  2009-01-21 21:44:09

  paoolo - Oldtimer

paoolo
Oldtimer
Skąd: Kraków
Zarejestrowany: 2006-05-20

Re: wirus

cmd -> su SYSTEM?

Offline

 

#10  2009-01-21 21:50:26

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: wirus

Kurde, tylko ja się dałem wkręcić ? ;p

Offline

 

#11  2009-01-21 21:52:34

  paoolo - Oldtimer

paoolo
Oldtimer
Skąd: Kraków
Zarejestrowany: 2006-05-20

Re: wirus

[quote=lis6502]Kurde, tylko ja się dałem wkręcić ? ;p[/quote]
az mi milo :D ale mozna kombinowac, gdzies bylo na forum jak na uruchominym kompie zyskac prawa admina poprzez podmiane plikow i poczekanie az sie wygaszacz pojawi.

Offline

 

#12  2009-01-21 21:55:05

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: wirus

Ale jakie prawa admina? Przecież XP instaluje się w trybie root'a i root'em jesteś póki kompa nie wyłączysz... Tyle czasu jechałem na tym systemie i takie odniosłem wrażenie. chyba że ten user 'system' to taki megakozak, który może bezkarnie usuwać rzeczy typu explorer.exe?

Offline

 

#13  2009-01-21 22:16:39

  rychu - elektryk dyżurny

rychu
elektryk dyżurny
Skąd: gdańsk
Zarejestrowany: 2004-12-28

Re: wirus

[quote=azhag]Naturalnie polecam [url=http://www.grml.org/]grml[/url].[/quote]
czy jest jakiś prosty sposób zbutowania tego cuda z flaszki?


linux regd. user #248790

Offline

 

#14  2009-01-21 22:26:27

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: wirus

instalujesz na flaszkę za pomocą [tt]grml2usb[/tt] (bezpośrednio spod grmla lub po zainstalowaniu tego programu na Debianie i podaniu iso jako argumentu), po czym ustawiasz w biosie bootowanie na USB

http://wiki.grml.org/doku.php?id=usb
http://deb.grml.org/
http://deb.grml.org/pool/main/g/grml2usb/

Ostatnio edytowany przez azhag (2009-01-21 22:31:36)


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#15  2009-01-21 22:39:49

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: wirus

[quote=Bodzio][quote=pasqdnik]Albo zalogować się jako użytkownik SYSTEM :-) Wtedy można cuda robić ...[/quote]
Ciekawe :) - jak to zrobić ?[/quote]
Nie no, koledzy, jak mówię, że się da to się da! :P Wolałbym tego publicznie nie opisywać ...
Bodzio, szczególy masz na PW.

Ostatnio edytowany przez pasqdnik (2009-01-21 22:41:17)


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#16  2009-01-21 22:55:30

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: wirus

Aaaa dziękować, dziękować :)


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]

Offline

 

#17  2009-01-21 23:06:31

  paoolo - Oldtimer

paoolo
Oldtimer
Skąd: Kraków
Zarejestrowany: 2006-05-20

Re: wirus

[b]pasqdnik[/b] a skad czerpeisz taka wiedze? jakies zrodlo, bo rzuciles haslo, ale nie ma wytlumaczenia :D

Offline

 

#18  2009-01-21 23:18:31

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: wirus

Wolałbym tego publicznie nie opisywać ...[/quote]
;> Słuchaj się [b]ilin[/b]'a prawda w jego podpisie wielka, a słowa mądre ;p

Offline

 

#19  2009-01-21 23:21:19

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: wirus

[quote=paoolo][b]pasqdnik[/b] a skad czerpeisz taka wiedze? [..][/quote]
Z głowy, chłopie, z głowy. Toż to elementarna wiedza o systemie ;)
[quote=paoolo][..]bo rzuciles haslo, ale nie ma wytlumaczenia :D[/quote]
Wsio jest na guglach (chyba). Niech Ci, którzy spieprzą sobie system, nie piszą później, że wyczytali to na DUG`u.


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#20  2009-01-22 00:34:20

  paoolo - Oldtimer

paoolo
Oldtimer
Skąd: Kraków
Zarejestrowany: 2006-05-20

Re: wirus

[quote=pasqdnik][quote=paoolo][b]pasqdnik[/b] a skad czerpeisz taka wiedze? [..][/quote]
Z głowy, chłopie, z głowy. Toż to elementarna wiedza o systemie ;)
[quote=paoolo][..]bo rzuciles haslo, ale nie ma wytlumaczenia :D[/quote]
Wsio jest na guglach (chyba). Niech Ci, którzy spieprzą sobie system, nie piszą później, że wyczytali to na DUG`u.[/quote]
:DD no bylby hanba dla forum...

Offline

 

#21  2009-01-22 10:33:06

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: wirus

[quote=Bodzio]Pytanie do wyjadaczy w tym systemie.
Mam wirusa w katalogu RECYCLER, który nazywa się DC_coś_tam.exe (taki fajny trojan, co robi pliki *.doc, *.pdf, *.jpg i wiele innych)
Usunięcie przez program antywirusowy się nie powiodło, ręczne teżnie - wirus się powiela, równocześnie zmieniając nazwę. Podobnie jest w trybie administratora - nie da się usunąć - tworzy nowe klony.
Usunąłem go pod linuksem - zadziałało :)
Pytanie - czy jest jakaś metoda, aby to zrobić bez wyciągania dysku i podpinania pod nasz jedynie słuszny system ??[/quote]
Era ręcznego usuwania wirusów już dawno mineła.
Jaki antywirus nie usunął tego wirusa ?
Z bootowalnych płyt do skanowania i oczyszczania ze śmieci polecam między innymi :
[url=http://www.gdata.pl/pl/download/136]G-Data BootCD[/url]
[url=ftp://ftp.drweb.com/pub/drweb/livecd/]Dr. Web LiveCD[/url]
Są jeszcze szczepionki  np z [url=http://www.kaspersky.com/removaltools]Kaspersky[/url] lub bezinstalacyjny antywirus od [url=http://www.freedrweb.com/]Dr. WEB[/url]
Jest też bardzo fajne narzędzie [url=http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis]HijackThis[/url] który skanuje wpisy w rejestrze i ma możliwość usuwania nieodpowiednich wpisów. Można utworzyć logi i np. [url=http://www.hijackthis.de/]tutaj[/url] mozna te logi zintrpretować. Trzeba uważać by sobie jakiegoś kuku nie zrobić z systemem.
No i do tego jeszcze dodam dwa programy atyspyware :
[url=http://www.superantispyware.com/]Superantipyware[/url]
[url=http://www.safer-networking.org/pl/spybotsd/index.html]Spybot[/url]
Mam nadzieje, że te narzędzia pomogą usunąć infekcje.

Ostatnio edytowany przez ba10 (2009-01-22 10:34:52)


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)

Offline

 

#22  2009-01-22 11:09:44

  milyges - inż.

milyges
inż.
Skąd: Gorlice/Kraków
Zarejestrowany: 2006-04-09
Serwis

Re: wirus

Co do wkręcania się jako użytkownik system:

Kod:

at <czas> /interactive cmd.exe

gdzie zamiast <czas> podajemy np. aktualny czas + 1minuta ;)
Po odpaleniu się konsoli odpalamy taskmgr, killujemy explorer.exe i odpalamy od nowa jako user system :-)


[url=http://mhroczny.net][b]strona domowa[/b][/url] || [url=http://dug.net.pl][b]polski portal debiana[/b][/url]

Offline

 

#23  2009-01-22 12:19:34

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: wirus

@ ba10 - mam licencję na DOD32. Na jednym komputerze wykazał wirusa, lecz go nie wyleczył. Tu trzeba było ręcznie ingerować. To była starsza wersja NOD'a ale z aktualną bazą wirusów. Nowsza wersja NOD'a wskazała i uleczyła wirusa - zmieniając mu nazwę z exe na Dc320.doc
Próba usunięcia tego pliku kończyła się samopowieleniem go z kolejnymi numerkami.


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]

Offline

 

#24  2009-01-22 12:39:30

  Ventrue - Użytkownik

Ventrue
Użytkownik
Skąd: Lubin
Zarejestrowany: 2007-08-16

Re: wirus

milyges: Ten sposób to nawet w szkołach już nie działa ;)


[i]The Linux philosophy is 'Laugh in the face of danger'. Oops. Wrong One. 'Do it yourself'. Yes, that's it.[/i]
[b]Linus Torvalds[/b]

Offline

 

#25  2009-01-22 13:05:40

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: wirus

[quote=Ventrue]milyges: Ten sposób to nawet w szkołach już nie działa ;)[/quote]
Jak masz uprawnienia administratora to zadziała ...


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00008 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00101 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.129.72.233' WHERE u.id=1
0.00075 UPDATE punbb_online SET logged=1733969406 WHERE ident='3.129.72.233'
0.00048 SELECT * FROM punbb_online WHERE logged<1733969106
0.00055 SELECT topic_id FROM punbb_posts WHERE id=108605
0.00008 SELECT id FROM punbb_posts WHERE topic_id=13213 ORDER BY posted
0.00063 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13213 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00116 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13213 ORDER BY p.id LIMIT 0,25
0.00090 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13213
Total query time: 0.00574 s