Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Pytanie do wyjadaczy w tym systemie.
Mam wirusa w katalogu RECYCLER, który nazywa się DC_coś_tam.exe (taki fajny trojan, co robi pliki *.doc, *.pdf, *.jpg i wiele innych)
Usunięcie przez program antywirusowy się nie powiodło, ręczne teżnie - wirus się powiela, równocześnie zmieniając nazwę. Podobnie jest w trybie administratora - nie da się usunąć - tworzy nowe klony.
Usunąłem go pod linuksem - zadziałało :)
Pytanie - czy jest jakaś metoda, aby to zrobić bez wyciągania dysku i podpinania pod nasz jedynie słuszny system ??
Offline
Na przykład z konsoli odzyskiwania - dostępna na cd instalacyjnej. Spod systemu, hmm, musiałbyś znaleźć proces wirusa (polecam procviewer), wysłać mu sigkill, a potem opróżnić kosz, ewentualnie wejść do dysk/recycle[dr] i za pomocą shift+delete usunąć *.exe.
Offline
[quote=Bodzio]Pytanie - czy jest jakaś metoda, aby to zrobić bez wyciągania dysku i podpinania pod nasz jedynie słuszny system ??[/quote]
System Live.
Naturalnie polecam [url=http://www.grml.org/]grml[/url].
Ostatnio edytowany przez azhag (2009-01-21 14:49:35)
Offline
Tyle razy go reklamowałeś, że wreszcie muszę ściągnąć :)
Offline
Warto mieć takie Livecd.Jego bogactwo narzędzi sie przydaje.
Ostatnio sąsiad windowsem rozwalil tabelę partycji w drobny mak.Poleciały dosyć ważne dane.
Grml ciach ciach i wszystko wróciło do stanu wyjsciowego. :))
Offline
Dla formalności dorzucę takie narzędzie: [url=http://www.sysresccd.org/Download]http://www.sysresccd.org/Download[/url]
Jeżeli nie pobierać to warto zapoznać się z materiałami dostępnymi na stronie projektu.
Offline
[quote=lis6502]Na przykład z konsoli odzyskiwania - dostępna na cd instalacyjnej. Spod systemu, hmm, musiałbyś znaleźć proces wirusa (polecam procviewer), wysłać mu sigkill, a potem opróżnić kosz, ewentualnie wejść do dysk/recycle[dr] i za pomocą shift+delete usunąć *.exe.[/quote]
Albo zalogować się jako użytkownik SYSTEM :-) Wtedy można cuda robić ...
Offline
[quote=pasqdnik]Albo zalogować się jako użytkownik SYSTEM :-) Wtedy można cuda robić ...[/quote]
Ciekawe :) - jak to zrobić ?
Offline
Kurde, tylko ja się dałem wkręcić ? ;p
Offline
[quote=lis6502]Kurde, tylko ja się dałem wkręcić ? ;p[/quote]
az mi milo :D ale mozna kombinowac, gdzies bylo na forum jak na uruchominym kompie zyskac prawa admina poprzez podmiane plikow i poczekanie az sie wygaszacz pojawi.
Offline
Ale jakie prawa admina? Przecież XP instaluje się w trybie root'a i root'em jesteś póki kompa nie wyłączysz... Tyle czasu jechałem na tym systemie i takie odniosłem wrażenie. chyba że ten user 'system' to taki megakozak, który może bezkarnie usuwać rzeczy typu explorer.exe?
Offline
[quote=azhag]Naturalnie polecam [url=http://www.grml.org/]grml[/url].[/quote]
czy jest jakiś prosty sposób zbutowania tego cuda z flaszki?
Offline
instalujesz na flaszkę za pomocą [tt]grml2usb[/tt] (bezpośrednio spod grmla lub po zainstalowaniu tego programu na Debianie i podaniu iso jako argumentu), po czym ustawiasz w biosie bootowanie na USB
http://wiki.grml.org/doku.php?id=usb
http://deb.grml.org/
http://deb.grml.org/pool/main/g/grml2usb/
Ostatnio edytowany przez azhag (2009-01-21 22:31:36)
Offline
[quote=Bodzio][quote=pasqdnik]Albo zalogować się jako użytkownik SYSTEM :-) Wtedy można cuda robić ...[/quote]
Ciekawe :) - jak to zrobić ?[/quote]
Nie no, koledzy, jak mówię, że się da to się da! :P Wolałbym tego publicznie nie opisywać ...
Bodzio, szczególy masz na PW.
Ostatnio edytowany przez pasqdnik (2009-01-21 22:41:17)
Offline
Aaaa dziękować, dziękować :)
Offline
[b]pasqdnik[/b] a skad czerpeisz taka wiedze? jakies zrodlo, bo rzuciles haslo, ale nie ma wytlumaczenia :D
Offline
Wolałbym tego publicznie nie opisywać ...[/quote]
;> Słuchaj się [b]ilin[/b]'a prawda w jego podpisie wielka, a słowa mądre ;p
Offline
[quote=paoolo][b]pasqdnik[/b] a skad czerpeisz taka wiedze? [..][/quote]
Z głowy, chłopie, z głowy. Toż to elementarna wiedza o systemie ;)
[quote=paoolo][..]bo rzuciles haslo, ale nie ma wytlumaczenia :D[/quote]
Wsio jest na guglach (chyba). Niech Ci, którzy spieprzą sobie system, nie piszą później, że wyczytali to na DUG`u.
Offline
[quote=pasqdnik][quote=paoolo][b]pasqdnik[/b] a skad czerpeisz taka wiedze? [..][/quote]
Z głowy, chłopie, z głowy. Toż to elementarna wiedza o systemie ;)
[quote=paoolo][..]bo rzuciles haslo, ale nie ma wytlumaczenia :D[/quote]
Wsio jest na guglach (chyba). Niech Ci, którzy spieprzą sobie system, nie piszą później, że wyczytali to na DUG`u.[/quote]
:DD no bylby hanba dla forum...
Offline
[quote=Bodzio]Pytanie do wyjadaczy w tym systemie.
Mam wirusa w katalogu RECYCLER, który nazywa się DC_coś_tam.exe (taki fajny trojan, co robi pliki *.doc, *.pdf, *.jpg i wiele innych)
Usunięcie przez program antywirusowy się nie powiodło, ręczne teżnie - wirus się powiela, równocześnie zmieniając nazwę. Podobnie jest w trybie administratora - nie da się usunąć - tworzy nowe klony.
Usunąłem go pod linuksem - zadziałało :)
Pytanie - czy jest jakaś metoda, aby to zrobić bez wyciągania dysku i podpinania pod nasz jedynie słuszny system ??[/quote]
Era ręcznego usuwania wirusów już dawno mineła.
Jaki antywirus nie usunął tego wirusa ?
Z bootowalnych płyt do skanowania i oczyszczania ze śmieci polecam między innymi :
[url=http://www.gdata.pl/pl/download/136]G-Data BootCD[/url]
[url=ftp://ftp.drweb.com/pub/drweb/livecd/]Dr. Web LiveCD[/url]
Są jeszcze szczepionki np z [url=http://www.kaspersky.com/removaltools]Kaspersky[/url] lub bezinstalacyjny antywirus od [url=http://www.freedrweb.com/]Dr. WEB[/url]
Jest też bardzo fajne narzędzie [url=http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis]HijackThis[/url] który skanuje wpisy w rejestrze i ma możliwość usuwania nieodpowiednich wpisów. Można utworzyć logi i np. [url=http://www.hijackthis.de/]tutaj[/url] mozna te logi zintrpretować. Trzeba uważać by sobie jakiegoś kuku nie zrobić z systemem.
No i do tego jeszcze dodam dwa programy atyspyware :
[url=http://www.superantispyware.com/]Superantipyware[/url]
[url=http://www.safer-networking.org/pl/spybotsd/index.html]Spybot[/url]
Mam nadzieje, że te narzędzia pomogą usunąć infekcje.
Ostatnio edytowany przez ba10 (2009-01-22 10:34:52)
Offline
Co do wkręcania się jako użytkownik system:
at <czas> /interactive cmd.exe
gdzie zamiast <czas> podajemy np. aktualny czas + 1minuta ;)
Po odpaleniu się konsoli odpalamy taskmgr, killujemy explorer.exe i odpalamy od nowa jako user system :-)
Offline
@ ba10 - mam licencję na DOD32. Na jednym komputerze wykazał wirusa, lecz go nie wyleczył. Tu trzeba było ręcznie ingerować. To była starsza wersja NOD'a ale z aktualną bazą wirusów. Nowsza wersja NOD'a wskazała i uleczyła wirusa - zmieniając mu nazwę z exe na Dc320.doc
Próba usunięcia tego pliku kończyła się samopowieleniem go z kolejnymi numerkami.
Offline
milyges: Ten sposób to nawet w szkołach już nie działa ;)
Offline
[quote=Ventrue]milyges: Ten sposób to nawet w szkołach już nie działa ;)[/quote]
Jak masz uprawnienia administratora to zadziała ...
Offline
Time (s) | Query |
---|---|
0.00008 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00101 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.129.72.233' WHERE u.id=1 |
0.00075 | UPDATE punbb_online SET logged=1733969406 WHERE ident='3.129.72.233' |
0.00048 | SELECT * FROM punbb_online WHERE logged<1733969106 |
0.00055 | SELECT topic_id FROM punbb_posts WHERE id=108605 |
0.00008 | SELECT id FROM punbb_posts WHERE topic_id=13213 ORDER BY posted |
0.00063 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13213 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00116 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13213 ORDER BY p.id LIMIT 0,25 |
0.00090 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13213 |
Total query time: 0.00574 s |