Koliko sam ja mogao da primetim na ovom forumu se pojavljuju poruke tipa: 1."Kad to vidis restartuj...", 2."Falio mi je NTLDR..." i sa njim verovatno i Boot.ini kao i Ntdetect.com, 3."Najbolje je resenje da formatiras...", 4."Instaliraj... to to to to to i to pa i jos to...", 5."Probaj ovaj rootkit, probaj onaj ...".
JBT. ljudi ima li ovde nekoga ko nije laik za racunare sem dvojice (mislim) koji su Vam dali najpametnije savete do sad.
Jednostavno:
1.Nemas potrebe da restartujes racunar ako ti je iskocio neki takav smesan prozor. Zatvori page. Danas svi browser-i imaju tabed fazon i lepo kliknes na X.
2.Falio ti je fajl ??? NTLDR ? Ajmo... to moras da formatiras pa ti se brise sve sto ti je bilo na desktop-u npr. pa ti brise sve lepo instalirane programe i podesene, pa iz My Documents takodje se sve brise jer kod 99,99% korisnika MyDoc's stoji na "c:\Docume~1\korisnik\My Documents" i tu skladiste svoje podatke. GLUPOST!!! Jesi li cuo za Hiren'sBootCD ? Ili za XP Setup CD ? Ili jednostavno neki (bilo koji) linux. BILO STA STO MOZE DA SE BOOTA I STO MOZE DA TI "GLEDA" U DRAJVOVE MOZE DA TI RESI PROBLEM ZA DESET MINUTA. U to budi uveren.
3.FORMATIRANJE NIJE NAJBOLjE RESENJE. (Osim u slucajevima gde je to neophodno, u ovom slucaju SIGURNO nije) Par poteza ili tacnije par desetina poteza i racunar ti je nov. Treba samo upregnuti vijugu.
4.Instaliranje svih tih cudesa dodatno usporava racunar. Zasto? Evo... Svaki od tih antivirusa itd. programa ima svoj "kernel" koji se ucitava pri boot-u i ima svoj "ControlCenter" koji se startuje pri login-u usera. Svaki od njih zauzima po "neki" procenat procesora ram-a, ovoga, onoga... i takvo usporenje se da primetiti. Naravno sad ce mnogi reci: "Meni komp radi isto...", "Ja imam core2qad :) bla bla truc..." i jos neke budalastine, ali oni ne znaju da postoji jos korisnika sa dosta slabijim konfiguracijama a kod takvih se bogami oseti. Naravno ovi isti, pretpostavljam laici ce reci: "Pa zasto ne kupe bolji...". Glupost. Da ne skrecem sa teme.
5.Kazu: "Proba se ne placa" ali se zato nekad i opeces. Licno meni rootkit RootkitRevealer napravio problem, dok sam npr. njega koristio na bezbroj mesta i odradjivao posao. Nemam nista protiv rootkita. Korisne su to alatke. Samo treba obratit paznju sta koristiti i ODAKLE GA SKIDATE.
1. Sto se tice prvog. Mozes da iskljucis page na x i nemas brige sve dok je neko ne nadje u history. Dakle posle toga obrisi history.
2. Spomenuo sam "BILO STA STO MOZE DA BOOTA...". Da. Kako povratiti ntldr?
a. Hiren'sBootCD.
Startuj dos iz njega i prebaci fajl na c:\. Mozes ga naci u "C:\WINDOWS\ServicePackFiles\i386" ako imate instaliran service pack, ili ga prekopirati sa necijeg racunara, dakle fles. Fles mora biti na usb portu pri bootu cd-a.
b. XP Setup CD.
Ubacite setup disk i kad vas lepo pita da li zelite da instalirate svezu kopiju win-a ili da ukljucite recovery konzolu vi odaberite drugo. Dakle pritisnete R i otvara Vam se RecoveryConsole, vidi se kao DOS... ajd. Pitace Vas u koji Win zelite da se ulogujete. Verovatno ce biti samo jedan tako da pritisnete 1 i enter. Unesite password ako je potreban, ako ne samo Enter i pocnite sa vracanjem podataka.
Pretpostavljam da cete do tad nauciti osnovne komande u dos-u.
fajl NTLDR se nalazi u "CD-Rom:\I386" gde je CD-Rom "Slovo" koje ga predstavlja. Uzecemo da je to "E:\".
Kucamo sledece: copy "E:\I386\ntldr" "C:\ntldr" Ista stvar i za ntdetect.com jer i njega virusi brisu u paketu sa ntldr.
c. Bilo koji Linux. Verujte mi, ovo je igra za malu decu. Ovde cak i ne moras da kucas copy... vec sve radis desni klik pa copy kao i u Win-u. Ovo ne zelim da Vam objasnjavam. Bilo bi jako nisko. A zeljene fajlove cete naci na vec pomenutim lokacijama.
3. Ako ne mozes otvoriti regedit to je razlog sledeceg (ovo vazi i za task manager):
a. Virus je sebe postavio za regedit-ov debugger.
b. Virus je zabranio pristup regedit-u.
c. Virus je obrisao regedit. Moze se vratiti iz foldera "C:\WINDOWS\ServicePackFiles\i386", "%systemroot%\system32\dllcache" ili sa setupCD u folderu "..\I386\regedit.exe" kao i sa flesa. Postoji milion kombinacija za to.
Sledeca VBS skripta Vam moze MNOOGOOO pomoci.
''''''''''''''''''''''''''''''''''''''''''''''''
On Error Resume Next
Set Skripta = WScript.CreateObject("WScript.Shell")
'Brisanje zabrane za task manager iz Policies:
Skripta.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
Skripta.RegDelete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
'Brisanje zabrane za regedit iz policies:
Skripta.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
Skripta.RegDelete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
'Brisanje debuggera za oba:
Skripta.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger"
Skripta.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger"
'Pokrece TaskMgr i Regedit
Skripta.run "taskmgr.exe"
Skripta.run "regedit.exe"
''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Otvorite Notepad i prekopirajte gornji text a zatim sacuvajte kao VBS. Kako? File, Save As, zatim u nazivu stavite "skripta.vbs" a dole u Save As Type neka bude "All Files", save. Posle starta vbs fajla pokrenuce Vam se i taskmanager i regedit
Kad Vam se startuje regedit mozete da pretrazujete po njemu. Sta? Sve veze koje postoje sa doticnim "Skotom". Kako?
Preporucujem da skinete ProcesExplorer jer Vam on omogucuje da vidite iz kog fajla se izvrsava nezeljeni proces kao i njegov ImageName koji cete koristiti u pretrazi kroz registre. Mozete ga skinuti sa
www.sysinternals.com iliti
http://www.microsoft.com/technet/sysinternals sto mu dodje isto. Prvi je redirektovan na drugi. :)
Dakle, u ProcesExplorer-u vidite sta Vam smeta i krenite u potragu. Najbolje da zapisete ImageName tih virusa pa da ih odmah iskljucite iz procesa i naravno obrisite fajl (Ime fajla se vidi po zadrzavanju misa iznad zeljenog procesa ili desni klik properties). Dalje, gde god da nadjete njegov ImageName (u registrima) brisite ga ali pre toga napravite backup tog kljuca u kome se nalaze i ostale informacije verovatno bitne za Vas racunar kako bi u slucaju neke greske mogli da vratite na svoje mesto.
ZNAM DA VAS SMARAM ALI ISPLATICE VAM SE !!!
Bitno je takodje da nadjete veze koje mogu biti oblika npr. {6e93bcf0-aa4a-11dc-b23d-001d60027d3c} pa pretraziti registre sa takvim oblikom i obrisati. Napraviti backup.
Ovo Vam moze posluziti kao zlatni tutorial za sve buduce ne daj boze viruse.
4. Necu da komentarisem. Savet je izmedju redova.
5. To je Vasa stvar. Rootkit pomaze ali u ovom slucaju nije potreban.
Molim sve Vas da obratite paznju na ovo. Ako ko opet ima problema neka se javi ovde ili neka salje mail na
[email protected]. Vrlo rado cu pomoci. Jos jedna mogucnost:
TeamViewer je zlatan programcic za remote desktop. Ako ko zeli mogu i preko njega da ja sam otklonim problem.
Sto se placanja tice... :) :) Sala. Popij koje pivo za mene ili sta vec. Nadam se da Vas nisam udavio ovolikim textom a siguran sam da je od pomoci. Hvala! Pozdrav svima!!!
[Ovu poruku je menjao cyberdjomla dana 16.01.2009. u 13:14 GMT+1]
CyberDjomla