Neznámý VIRUS ovládá mé PC - POMOC!
Dobrý den, do mého PC se po třech letech dostal virus kvůli nějakému souboru. Hned po zjištění, že je v souboru virus, jsem soubor smazal. Ale podle všecho bylo už pozdě. PC jsem vypnul a při pokusu o dalším zapnutí se mi normálně začal načítat WIN (mám Windows XP Home Edition) a po načtení se neobjevila obrazovka s přihlášením nebo Vítejte, ale modrá obrazovka s nápisem Stop: c0000218 {Chyba souboru registru} Registr nemůže zavést podregistr (soubor): \SystemRoot\System32\Config\SOFTWARE nebo jeho protokol nebo alternativní kopii. Okamžitě jsem to začal řešit. Podle tohoto návodu přímo od Microsoftu - cs jsem PC "úspěšně" zprovoznil. "Úspěšně"? ČTĚTE DÁLE.
Vše se povedlo a PC se úspěšně zapnul. Jenže při zapnutí jsem měl ve výběru účtů pouze jeden účet: Owner
Tento účet jsem v žádném případě nikdy před tím na PC neměl. Měl jsem pouze 2 jediné účty: Administrator a FaRaO. Ten účet Owner si určitě vytvořil ten VIRUS. Nejde ani internet. Před tím ale šel. Ale to je asi tím, že na tom účtu Owner neni nastavená IP atd. S virusy jsem už měl tu čest párkrát se setkat, jednou dokonce došlo i k reinstalu systému. Nebyla jiná možnost. Ale o tomto typu viru jsem nic neslyšel. Nic o tom nevím. PROTO VÁS PROSÍM O RADU: Co mám teď dělat? Na účtu Owner nebylo nastaveno moje obvyklé rozlišení 1440x900 ale bylo tam 800x600 asi tak nejak... Ani programy tam nebyly atd. Samozřejmě, je to jiný účet. Ale kdo ví, co ten virus je vůbec zač a co umí. CO MÁM TEĎ DĚLAT? Jaký je další postup? Ten účet Owner neměl heslo a je správce PC. Takže co teď? Mám ten účet smazat a projet PC antivirem nebo použít NĚJAKÝ PROGRAM? Pokud ho mám smazat, jak? Mám na PC důležité dokumenty a je v síti s firemními PC, ze kterých si v žádném případě nemůžu dovolit ztratit data! Virus by se mohl rozšířit po síti, proto jsem samozřejmě odpojil PC od internetu. Prosím poraďte mi, co teď dělat. Do teď jsem pouze opravil tu chybu registru aby mi šel spustit PC a zjistil jsem že se mi na PC vytvořil nový účet který požaduje aktivaci WIN. PROSÍM PORAĎTE
S pozdravem
Jakub
nuda.
vytáhni disk ven, strč ho k jinému pc jako druhý (ať se z něj nebootuje), odviruj. taky můžeš otestovat na rootkity.
Příteli, díky moc :) Jenže to co tady píšeš je předem každému jasné.. Tady jde o to, že ten virus se mohl integrovat do systémových souborů, mohl stáhnout další virusy. Může poškodit data. To co píšeš právě provádím, projíždím antivir. Já mám strach z toho, že vše bude vypadat jakože je to naprosto OK, a pak zjistím že mi virus smazal data z firemních PC protože se rozšířil po síti. Ten antivir ten virus ani nemusí najít. Nebo ten virus rozešle moje hesla atd atd. Stručně: Chci mít jistotu, že je virus na 100% prryč z mého PC. Jinak díky ;)
poškozené registry nejsou virus...
Paranoidní jedinci rovnou formátují, ti v nejpokročilejěím stádiu rovnou kupují nový disk. Třeba se to zaviruje znova.
Nejjistější dezinfekce HDD je vrták M8 až M10, nejlépe přes sektor 0 a 1. Je to rána jistoty.
ne nejlepší zneškodnění disku je nechat zlisovat staci poradna palice nekdy nebo ho dat na koleje a pak roztavit to je nejjistejsi Xd
Tak to dopadá, když se do registrů montuješ podle nějakého návodu od MS. Protože sis nikdy nevygeneroval diskety pro obnovu systému, obnovil sis registry do stavu těsně po čisté instalaci (před prvním spuštěním systému). Proto ten "owner", proto ti taky nic nefunguje.
Řešení je prosté: obnov registry, ale ty, které se ukládají do System Restore adresáře, a to z data, kdy to ještě fungovalo, ale POZOR, ideálně co nejnovější. Postup je prakticky totožný, jen musíš vzít jiné soubory registrů.
Pokud si na to netroufáš, nebo nevíš jak, zanes PC nějakému odborníkovi, potažmo se ti pokusíme poradit zde, pokud bys měl nějaký partikulární problém.
Moc ti děkuji touchwoode. Ale je tu ještě něco: Když jsem stáhnul ten soubor s virusem, antivir ohlásil virus a hned jsem to smazal. Pak další asi 2 dny PC pořád šlo, virus byl smazaný, nebo jsem si to alespoň myslel. Ale pak najednou z ničeho nic se stalo to s tou chybou v registrech. Do registrů občas rejpu např. jednou mi nešla mechanika DVD, stačilo změnit pár věcí v registru a šlo to. Jenže tuhle chybu zavinil ten virus. V registrech jsem nebyl posledního půl roku, vůbec jsem do toho nerýpal. Ten virus prostě poškodil registr v systemu a PC nesel spustit. Proto se da predpokladat, ze v PC virus stale je.
A teď k těm regům. OK. Udělám jak myslíš. Provedu naprosto totožný postup jako je popsaný na stránkách MS až na to, že nakopíruju soubory z jiného adresáře, toho System Restore nebo co. Prosimtě kdybys byl tak hodný a napsal mi sem alespoň jeden příklad, co napsat do konzole pro zotavení. Do PC strčím CD s WIN a dát konzole pro zotavení. Pak to chce typ instalace nebo co. Při té úpravě co jsem prováděl aby me sel PC zapnout jsem napsal typ (nevím jiste jestli typ nebo co) instalace 1. Mozna to je ta chyba. A pak tam ma byt:
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
A pak exit, PC se resetne a pojede to.
Co mám na tomto postupu udělat jinak?
Předem díky :)
Tak ještě jednou: reagoval-li antivir, tak na tuty ZAFUNGOVAL a k nákaze nedošlo. Tp za prvé.
Za druhé, k poškození registrů dochází čas od času při vypínání/restartu PC, kdy se databáze z nějakého důvodu korektně neuzavře.
Co máš dělat jinak? Už jsem to psal: nekopírovat X-roků starý repair soubor, ale relativně nové (a aktuální) zálohy registrů ze system restore pointů. (Předpoklad je, žes měl povolenu službu obnova systému.). Tedy najdeš si poslední Restore Point v adresáři System Restore Information a v něm bude systémová podsložka. Stačí vzít a zkopírovat+přejmenovat soubory registrů.
Je to popsáno zde: 307545 v oddíle "Druhá část"
Nebo bude lepší když z toho PC vytahnu HDD a připojím ho k jinému PC? Na tom druhém PC to necham pripojene, bootovani samozrejme normalne necham jak je, pomoci druheho PC pak z toho HDD nakopiruju urcite soubory primo treba v souborovem manazeru, projedu antivir a je to? Pokud ano, prosím řekni postup, jak na to.
Ano, toto je rychlejší. Postup je stále stejný, jen bude pohodlnější. Já k tomuto účelu používám WinPE prostředí na CD nebo USB Flash.
Princip je takový, že soubory registrů je možné měnit (nahrazovat) jen offline.
OK Moc ti děkuji. A pokud možno jestli máš ICQ nebo SKYPE tak mi prosimtě napiš, ICQ: 220490620 SKYPE: farrao
BTW: Co je to WinPE prostředí, k čemu slouží, je nutné jestliže chci problém vyřešit pomocí připojení HDD k jinému PC?
Jinak moc díky, s počítačema pracuji delší dobu a hodně toho umím, dělám do 2D a 3D grafiky a animací, takže do takových věcí jako je obnova registrů atd. se moc neženu :) Na viry si dávám pozor a nikdy se mi nic podobného nestalo, možná je to skutečně tak, že to není virusem ale tím restartem PC, že se něco pokazilo nebo jak jsi to psal. Každopádně to udělám tak jak píšeš, HDD napojím na jiné PC a pokusím se to vyřešit. Jo a ještě, jak je možné že se vytvořil účet Owner když po instalaci WIN jsem ho tam 100% neměl? A navíc v Program Files mi nainstalované programy zůstaly, moje předešlé účty také, jen bohužel nevím, jak se k MÉMU účtu FaRaO přihlásit, zjistit jestli funguje atd. V položce uživatelské účty je jen Owner a Guest. Mohl bys mi tyhle věci vysvětlit? Díky
WinPE je "Windows na CD" - ořezaná verze bez nějakého napojení na konkrétní HW.
Pokud máš k dispozici jiné PC, stačí připojit ten disk, nastavit vlastníka a práva na složku System Restore Information a vykopírovat data dle výše uvedeného návodu do složky Windows na tomtéž disku. Nezapomeň, že disk bude mít jiné písmenko - takže musíš pracovat výhradně s diskem "E:" (například; uvádím proto, aby sis to uvědomil a nenásledoval ten návod doslovně).
ICQ ani Skype prakticky nepoužívám, navíc jsem na dovolené a jedu z notebooku, kde je nemám ani nainstalované.
Aha :D Tak nic, doufám že neruším :D
A jinak až vše udělám, mělo by se vše vrátit do p.vodního stavu, v jakém to bylo v tom datu, z kterého nakopčím ty soubory? Normálně se pripojim na svuj ucet, internet pude, aktivaci win to chtit nebude atd. ?
Ano, mělo by tomu tak být - pokud jsi souborově nedělal v mezičase nějaké kejkle.
Nene, nic takového... Moc ti děkuji, zítra se do toho pustím a dám vědět, jak to vypadá. Zatím se mějte a ještě jednou díky :)
rozchoď si ty účty administrator a farao, například programem Offline NT Password Changer.
Na co? Až zprovozním registry, mělo by to jít. Přesto díky, může se rozhodně hodit...
on tam ty účty aktuálně nemá, protože nahradil registry verzí těsně po instalaci (tj. včetně SAM).
nahradil = zničil. to co nestačil spáchat vir, "úšpěšně" dorazil uživatel.
minimálně ten účet administrator by měl být přihlásitelný (i když má zničené nastavení). ale vir ho mohl zakázat - proto ten odkaz na utilitu pro reset hesla/unlock účtu.
Ale pokud obnoví registry z poslední zálohy, tak ty účty přece dostane zpět. I bez další utility.
Ano, pokud obnovím registry z data např. 4 dny zpátky tak budu mít v PC to, co jsem tam měl před 4 dny.
Já se přece neptal.
Už máte obnoveno, nebo teprve sbíráte odvahu?
:D Odvahy je dost a dost :D Čekám až se mi uvolní PC...
Není zrovna moudré nechat PC v takovém stavu cokoli "dělat" a čekat až se "uvolní"
Nene :D Já to myslím tak až budu mít přístup k druhému PC ke kterému onen HDD připojím :D
ach so...
Tak mám menší problém. Potřebuju se na něco zeptat. Tady 307545 je v druhé části popsán postup, který mám použít. Je tam že mám ze složky System Volume Information zkopčit ty relativně aktuální soubory registrů do složky C:\Windows\Tmp. Jenže pak je tam toto: Soubory registru, které byly zkopírovány do složky Tmp ve složce C:\Windows, budou přesunuty, aby byla zajištěna dostupnost souborů v konzole pro zotavení. Tyto soubory je třeba použít k nahrazení souborů registru, které jsou aktuálně uloženy ve složce C:\Windows\System32\Config. Konzola pro zotavení má omezený přístup ke složkám a ve výchozím nastavení v ní nelze kopírovat soubory ze složky System Volume.
??? To znamená že mám pak z té složky C:\Windows\Tmp nakopírovat ty nové soubory registrů co jsem tam před chvílí dal do složky C:\Windows\System32\Config ?? Nebo se to udělá samo po restartu?
to znamená, že konzole nemá přístup do určitých adresářů - zaručeně má přístup na c:\ a windir . podle návodu si máš vytvořit složku c:\windows\tmp\ a tam soubory nakopírovat - veškeré příkazy v konzoli potom opíšeš.
Najdeš správné soubory v system volume\snapshot\x0120 nakopíruješ je v totalcomandrovi do windows\system32\config. Při tom kopírování je přejmenuješ tak abys přepsal ty stávající (ty cos tam narval z repair).
Je to myslím software.dat, system.dat měnís na software system bez přípon
Překopíruješ i příslušný ntuser.dat do document and setings\uzivatel\ (poznáš podle velikosti-zpravidla největší) opět změníš jméno abys přepsal ten soubor co tam máš.
Jestli si to mezitím flákneš do adresáře temp nebo do jiného je tvoje věc.já to přepisuju přímo.
Na vir to spíš nevidím,podle mě normální havárka, akorát si to pokonil použitím těch soubůr z repair.
Mám jednu velmi dobrou zprávu a jednu špatnou zprávu. Ta dobrá je, že jsem dostal PC do téměř naprosto původního stavu. Je tu jen jedna chyba a to je ta špatná zpráva. Nenačtou se mi XP protože to chce aktivaci a kdyz dam aktivace online tak to nejde protoze pry nejde net ale ten jde. To, že je system naprosto v poradku a v puvodnim stavu az na tu aktivaci jsem zjistil diky nouzovemu rezimu. Tam to aktivaci pochopitelne nechce. TAKZE PROSIM PORADTE co ted, co delat aby to nechtelo aktivaci nebo jak to udelat aby to neukazovalo ze nejde net i kdyz jde abych to mohl zzaktivovat. Jinak moc diky za rady, ted uz jen tenhle problem a je to :) ??????
Možná je potřeba jeste trochu pozmenit registry. Jake? Jak? Kam zkopirovat? Poradte prosim
Predem diky
SPĚCHÁ
Skontroluj v BIOSe ze ci mas sprany cas a datum.
Ked mas spravny a furt to chce aktivovat tak su uz len 2 moznosti:
1.aktivovat (ked nejde cez net tak cez telefon)
2.nainstalovat Windows nanovo
znovu zaregistrovat přes telefon.
Je nějaké jiné řešení než opetovná registrace?
ty windows jsou kradené, nebo v čem je problém?
Ne :D Jde o to, že normálně jak se mě podělaly ty registry tím že jsem vypnul PC a nějaký ten svazek se korektně neukončil.. Před tím bylo vše OK. Nahradil jsem tedy poškozené registry novýmy, jenže ty hodily PC do původního stavu. Podle rad od lidí tady jsem nahradil registry tím nejaktuálnějším registrem kdy byl PC ještě naprosto OK. Jenže to po mě chce aktivaci WIN. nechapu proc, jednou uz aktivovane byly a po vraceni pomerne aktualnich regu by melo byt vse pri starem. Je nejake jine reseni nez opetovna registrace?
Když nejsou kradené, připadá v úvahu ještě fóbie z telefonování. Snad by stačilo někoho pověřit, aby to udělal. Po dobu hovoru by možná bylo vhodné opustit onu místnost.
Pánové já to myslím vážně :D Jinak ta fobie z telefonování :D LOL :D Já chci jen vedet, proc se to stalo, z jakeho duvodu, jestli je to bezne pri takove chybe, jaka jsou reseni. Ciste ze zvedavosti.
Dobrý den, já bych vyndal harddisk, na jiném počítači bych si z něj překopíroval vlastní důležité soubory, hlavně aby byly bez viru (to jest ne ten stažený divoký soubor), poté disk vrátil zpátky do kompu a udělal ůplně novou instalaci win i s formátováním diskových oddílů. A byl by pokoj. Jinak na bezpečné brouzdání internetem je dobrý program SANBOXIE, nějaký virus pak nemá šanci zasáhnout do systému, ledaže by mu sám pomohl uživatel.
Sandbox je dobra vec, obsahuji ho i nektere bezpecnostni baliky. Existuje taky sw s podobnou fci jako Returnil a i Acronis ma neco podobyho ve svym zalohovacim baliku, ale pokud je uzivatel totalni blb, tak je pro nej prave lepsi treba Acronis nebo returnil. Tam to tak lehko nepodelaji, jak sam pises
. Jinak si ale nemyslim, ze by to byla prave vec, kterou hleda autor teto diskuze.
proč se ti při obnově registrů posere aktivace windows se zeptej v redmontonu, to je jejich nápad.
já ti budu zatím držet palce, abys už po měsíci konečně našel telefon s tónovou volbou a dovolal se dřív, než ti vyprší 30-denní lhůta - jinak jsi ten systém zachraňoval zbytečně.
Tak jsem to vyřešil :) Před asi dvěma měsíci, delší dobu sem tu pak nebyl.. Děkuji všem za rady :) Udělal jsem to přesně podle tohodle návodu 307545
Pak jsem wokna aktivoval přes telefon a vše je OK. Virem to nebylo, jen se kvůli výpadku proudu pravděpodobně nekorektně ukončil nějaký ten svazek. Vše je OK takže ještě jednou díky ;)