po zapnuti nt, vsechny soubory 1kb

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Proofy 19. 7. 2011 08:16

zdravím, dostalo se mi do ruky pocitadlo a doc, xls,pst temer vsechny soubory maji 1kb a jsou nefunkcní. domnivam se, ze je to po zasahu viru. nikde nemohu najit, jak ziskat data zpet.

nesetkal se s tim nekdo?
Proofy
Junior


Odeslat příspěvekod vladimir 19. 7. 2011 09:28

Jééé, nějaký takový virus bych chtěl. Nahrál bych si ho na CD a poslal bych si ho poštou a tentokrát bych se těšil na to, až mi ho nějaký pošťák jako vždycky ukradne.

Teď vážně. Stejnou velikost souborů vidíš, když připojíš disk (třeba pomocí USB-adaptéru) do jiného počítače? (pochopitelně musí být vypnuté automatické spouštění...)
Nebo zkusit nabootovat z nějakého live CD s linuxem/windows.
Tím se ověří, jestli je zničení souborů simulované (kanadský žertík) nebo skutečné.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Proofy 19. 7. 2011 09:44

Abox: to je prave ten problem

Vladimir: soubory jsem videl bud ve windows, v tcm(total commander) a acronis soubory ukazuji 22 nebo 1kb.

nabootovat live cd s linuxem jsem jeste nezkousel.
Proofy
Junior

Odeslat příspěvekod Milanr1 19. 7. 2011 09:49

vladimir:
Připojit napadený HDD/SSD do jiného PC s OS WNT lze bezpečně jen tehdy, pokud se jedná o optimalizovaný a zabezpečný OS (= read only) se zakázanými funkcemi autorun + autoplay.
Jinak by se mohl infikovat i druhý OS.
Zhůvěřilosti dětského OS WXPP/32 (autorun + autoplay) přenesl MS i do OS WNT řady 6! :-/
Teprve letos MS tyto funkce pracně zakazuje pomocí mnoha KB. Došlo jim to pozdě (ale přece), navzdory mnoha připomínkám betatesterů už v r. 2000.

Lepší je proto použít libovolný záchranný live CD (a nemusí se jednat právě o Linux).
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Proofy 19. 7. 2011 10:06

jelikoz jsem si myslel, ze zrejme vir, kdyz kliknu na ten soubor a spustim, ze mi udela i v jinym pc. i presto jsem hdd pripojil k jinemu a kouknul, jestli to ma stejnou velikost jako v tom puvodnim pc a melo.

zatim jsem vic casu nemel a ten linux me vazne vubec nenapadnul. to vyzkousim a dam vedet
Proofy
Junior

Odeslat příspěvekod vladimir 19. 7. 2011 10:57

A antivirák (na tom nenapadeném počítači) něco najde? Neškodilo by znát název toho škůdce, možná by se podařilo dohledat, co vlastně udělal.

Pokud skutečně fyzicky přepsal každý soubor, tak je to špatné...
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Proofy 19. 7. 2011 12:07

tvrdi, ze jen pc zapnul rano a uz to bylo. znate to

antivirakem jsem to jeste neprojizdel
Proofy
Junior

Odeslat příspěvekod kernel_panic [passed] 19. 7. 2011 12:32

a četl sis CELEJ článek, kterej ti nalinkoval Abox?

víš jistě, že ty kilobajtový soubory jsou skutečně soubor.doc a ne soubor.doc.lnk?
k bití internetovejch nihilistů jsem už příliš starej, ale za ty roky mně narostl krunýř, o kterej se vždy báječně rozplácnete; takže, mám zůstat čelem nebo?
kernel_panic [passed]
Přeborník Živě roku 2008
Uživatelský avatar

Odeslat příspěvekod vladimir 19. 7. 2011 13:11

... návod na zobrazení skrytých přípon ve windows Exploreru, pokud potřebuješ: http://it.cestuji.info/zobrazeni-pripon-souboru.php
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Proofy 19. 7. 2011 16:51

ted jsem to chtel pripojit k jinymu stroji a nabootovat live cd linuxu, jeste jsem cetl vase prispevky. tak jsem hodil zpet. ve win i total to ukazuje nazev souboru.doc neni to nazev.doc.ink
jeste jsem kontroloval, jestli jsem odstkrtnul v moznostech slozky neco jineho, ale bylo to spravne

ono je i zajimave ze disk ukazuje 199gb volnych z 200.
data na tom disku meli 50gb zhruba.
Proofy
Junior

Odeslat příspěvekod vladimir 19. 7. 2011 19:42

disk ukazuje 199gb volnych z 200: takže data zmizely jenom z jednoho disku toho počítače, a to ne ze systémového? A bylo tam 50 GB doc, xls a pst (word, excel a pošta) souborů???

Jde o fyzicky jiný než systémový disk? NTFS? FAT32?
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Proofy 20. 7. 2011 08:12

disk je rozdelen na 100 a 200. na ty 100 je system a na 200 data. oba v NTFS. ono treba na plose je ten problem taky. ale na ty 100 je 56 volnych, 40 jsou win a instalacky + blbiny.
hlavne se potrebujou obnovit data na oddile kde je tech 200. projizdel jsem AV, ktery tam je a nic nenasel.
Proofy
Junior

Odeslat příspěvekod kernel_panic [passed] 20. 7. 2011 13:29

a co je teda obsahem těch kilobajtových souborů? lokální jeden antivir na zjevně napadeným systému je k ničemu; pokud tě zajímá nějaká relevantní analýza, pošli to třeba na http://www.virustotal.com

obnova dat se v tomto případě bohužel pohybuje jen v teoretické rovině...
k bití internetovejch nihilistů jsem už příliš starej, ale za ty roky mně narostl krunýř, o kterej se vždy báječně rozplácnete; takže, mám zůstat čelem nebo?
kernel_panic [passed]
Přeborník Živě roku 2008
Uživatelský avatar

Odeslat příspěvekod Proofy 20. 7. 2011 14:21

takze jsem pres live cd zkusil otevrit nejaky doc a tam je napsano, hacked by cr0wer ^.^

velikost maji stejnou.

existuje nejak data obnovit podle datumu?
obnovovaci programy mi ukazovaly vzdy co je ted a ne co bylo pred "havarii" tak jestli existuje nejaky dle datumu co ukaze. nema nekdo zkusenost?

-- 20. 7. 2011 15:31 --

http://www.pawno.cz/viewtopic.php?f=43& ... a&start=10

zde je vic info, jenze nastava problem, co kdyz obnova ve win byla vypnuta??
Proofy
Junior

Odeslat příspěvekod vladimir 20. 7. 2011 15:25

No, obnova ve Win pro 50 GB dat, nevím nevím. Kolik jsi vyhradil pro záložní kopie souborů? 5 procent velikosti disku? Deset? A máš vůbec W7?

Data pravděpodobně leží v nealokovaném prostoru disku, je ale otázka, jestli nemají přepsané začátky. Vhodný nástroj na obnovu dat z NTFS filesystému by mohl něco vytáhnout.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Proofy 20. 7. 2011 15:27

win 7 tam je, kolik % to nevim. obnova tam je, ale nejde. vypada, ze tomu brani nejaky proces, ktery na tohle vsechno "dohlizi"
Proofy
Junior

Odeslat příspěvekod kejki3 20. 7. 2011 18:55

Člověk by si měl stanovit nač stačí. Ty už připojuješ ten napadený disk do jiného počítače? Pak by mohl fugovat GetDataBack for NTFS.
V daném napadeném počítrači musíš nejprve identifikovat škodlivý proces, odstranit a pak možná nějaká obnova, např. uživatelsky velmi přívětivý GetDataBack for NTFS. - Ohledně toho procesu, co FAQ sekce?
Nebo varianta Testdisk z live CD, na který je mnohem schopnější při obnově dat, je zadarmo, ale musí se číst návod a není to na chvilku.
Pokud se jedná o nějaké soubory ke stažení z netu, je jednodušší to stáhnout znovu.
„Ale proč? Aby to bylo v rozkladu? Aby se to totálně rozvrátilo. Proč?“
kejki3
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod hovnous 28. 12. 2011 00:28

originálně se jmenuje White Ant, jde o malwar, který mění velice rychle délku souborů fyzicky na 22 bytů, u některých texťáků vpisuje text "hacred by cr0wer ^.^" se zalomením řádku, jinak 22 mezer. Exe soubor se musí pustit, pak nadělá datovou paseku (všechny jednotky a všechny soubory, s právem přístupu, neskryté a nechráněné proti přepisu), nikam se rezidentně neukládá a nemnoží. Antiviry (Esential, Kaspersky, aj. ho nedetekují!!!) Já starý osel (programoval jsem na ZX Spektrum-u a s viry se pral na 386 naposled, otupen Linuxy jsem věřil připitomělým vistám, že *****, který dotírá požadavky na hromadnou změnu dat, zvesela pustí aniž by kladl připitomělé dotazy, typu opravdu...) jsem si stáhl šachový motor z uloz.to, antivir nic, program sachy.exe s velikostí 2Mb jsem najivně pustil. Musel ho dělat mentální defekt, kterého proklínám, ale radost mu nedělám, neboť jsem se jen poučil, že hovnousy stojí za *****.
hovnous
Kolemjdoucí

Odeslat příspěvekod oooooooooo 28. 12. 2011 06:34

Pokud umi jenom toto....
Kód: Vybrat vše
otupen Linuxy jsem věřil připitomělým vistám, že *****, který dotírá požadavky na hromadnou změnu dat, zvesela pustí aniž by kladl připitomělé dotazy, typu opravdu...)

Že to řešiš,vkladam cd-usb,reboot,mačkam dejme tomu del - podle desky že jo.Spouštim prostředi winre ze zachraneho disku jehož vytvořeni mně Visty nabizely.Požadavek - obnova z bitove kopie.Cesta k bitove kopii.Obnovit kam.Mačkam enter.Jdu si uvařit kavu.Hotovo.Samozřejmě šlo by to řešit jinak - on nic neměnil jenom využil vlastnost NTFS ale proč,že jo?Jedině že by člověk neměl bitovou kopii ale to se stava jenom absolutnim začatečnikům.
Jsem byvaly atarista,sinclairista a vube osmibitak,prošel jsem řadou systemů včetně všechmožnych linuxových distribucí - nesvaděj to na vistu - moc ji v oblibě nemam ale na vlastni blbost,provedls akci za jakou se nemusi stydět ani člověk co poprve viděl PC.
Ty připotoměle Visty by kladly poměrně dost dotazů pokud by ovšem člověk měl věci nastaveny tak jak mají byt.
Jinak toto je exemplarni přiklad proč není špatny věc nejdriv staženou věc spustit v sandboxie - i kdyby jenom proto abych věděl jestli je to za co se deklaruje...
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Milanr1 28. 12. 2011 11:17

Červeně je to správně! :-D
Mod by to měl umístit trvale na úvodní stránku fóra jako výstražný příklad pro každého, kdo
- stahuje z webu cracky;
- vypne/nezapne základní bezpečnostní prvky OS;
- brouzdá z účtu s admin právy;
- zkouší sw v reálném OS místo virtuálního.
Milan
Milanr1
Pokročilý
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků