שלום חברים,

הבוקר נכנסתי לאתר מסוים(בו לא ביקרתי מספר שנים), ומאז התחילו הבעיות :

1. דבר ראשון, כמה שניות לאחר שהאתר עלה המחשב לפתע ביצע אתחול לא יזום.

2. כשהמחשב עלה אז כל תוכנות ההגנה(ורק הן) לא עלו - Avast Antivirus, ZoneAlarm firewall, Ad-aware, tea-time(S&D)

3. לא הייתה אפשרות להריץ את התוכנות שלא עלו באופן אוטומטי גם ידנית - מודיע שהקובץ פגום או בעיה אחרת. אך לא זאת בלבד, אלא שגם לא הצלחתי להריץ תוכנות הגנה אחרות באופן ידני, כמו HijackThis, SpyBt search & .destroy

4. אין אפשרות להיכנס ל Safe-mode בשום אופן (באמצע ההליך מסך כחול קצר ואז אתחול)

5. ב even log של Win, רואים תבנית די ברורה לפיה נסגרות כל תוכנות ההגנה, ומופעלים שירותים(services) עם שמות לא ברורים(שכוללים מספרים)

6. ב task manager לא ראיתי שום דבר חריג, אבל יכול להיות שזה מתחזה תחת תהליך סטנדרטי שלWindows

7. ניסיתי להסיר את האנטיוירוס ולהתקין אחד אחר(AVG) - לא ניתן להתקין, יש שגיאה מוזרה.

רקע:

- מדובר ב Windows XP pro sp3 עם כל העדכונים עד לפני כחודש.
- השתמשתי באותו הרגע ב-FireFox( ולא אפשרתי Java באתר), איתו אני גולש בדרך כלל.
- אני גולש דרך נתב בו אפשרויות ה-DMZ וה-uPnP מבוטלות.
- השתמשתי ב Avast, וב ZoneAlarm
- כמובן שב-Win עצמו ביטלתי את הדברים הרגילים כמו : Simple file sharing, Remote desktop, remote reg, ושירותים אחרים שידועים כלא בטיחותיים/מיותרים.
- מדובר היה בהתקנה יחסית נקיה של Win מלפני יומיים.
--

* אני ממש לא "אנטי מיקרוסופט", אבל ברגעים אלה אני מתכוון לנסות להתקין linux, לאחר שהניסיון האחרון לעשות זאת, לפני יותר מעשור, נכשל.

אני ממש המום ממה שקרה

אודה על עזרתכם !

לאחר מספר שעות של עבודה מאומצת התגברתי על הבעיה(חלקית) - כי כל תוכנות ההגנה עדיין פגומות.

מדובר היה בוירוס אכזרי - winupgro.exe. מהקשים שנתקלתי בהם אי פעם..

הוירוס מבטל ופוגע בתוכנות ההגנה המוכרות בדרך שמונעת מלהריץ אותן מחדש. בנוסף הוא מונע כל ניסיון התקנת תוכנה כלשהי על המחשב. הוירוס לא מאפשר גישה ל-safemode. הוירוס מתלבש על הליך מוכר כלשהו במחשב(אצלי זה היה הדרייבר של כרטיס המסך), מה שמקטין את הסיכויים לזהות משהו חשוד. כמובן שמחיקת הקובץ לא עוזרת (יש למחוק את כל הקבצים ובמקביל להסיר את כל הרשומות מה-reg).

כמובן ששום תוכנה להסרת הוירוס לא עבדה. אפילו אם הצלחתי להריץ את הקובץ(לפני שהוירוס הרס אותו), אז הוא נסגר תוך מספר שניות. לכן נאלצתי לעשות הכל באופן ידני - כמו שמפורט במדריך הבא - תשובתו של Yasser Khorchid(דרך מאוד יפה לדעתי).

למען הסר ספק אציין שחיפוש הקבצים בעזרת md5deep לא בוצע תחת Win, שכן הוירוס סגר אותו כל מספר שניות, אלא תחת RescueCD

--
בדיעבד, היה מהר בהרבה להתקין את המערכת מחדש עם כל התוכנות ולהיות בטוח שזה מאחורי.

המשך יום טוב !

ציטוט:

במקור נכתב על ידי Tx155 - כמובן שב-Win עצמו ביטלתי את הדברים הרגילים כמו : Simple file sharing, Remote desktop, remote reg, ושירותים אחרים שידועים כלא בטיחותיים/מיותרים.

איך ביטלת את הישומים האלו?

גם פיירפוקס היה מעודכן לגרסה האחרונה?
בהמון תוכנות במחשב ממוצע שיוצאות לאינטרנט יש פירצות אבטחה שמאפשרות Remote Code Execution
בחלק מהמקרים מוצאים את הפירצות בשלב יחסית מוקדם שבו מתחילים לנצל אותן, ומשחררים עדכונים (בתדירות כזו או אחרת). אפשר להשתמש בתוכנה כמו PSI של SECUNIA שסורקת את
התוכנות המותקנות על המחשב, מודיעה מה רמת הסיכון, והאם יש עדכונים שפותרים את הבעיה.
(בהרבה מקרים פירצות בדברים כגון Quicktime, Adobe Reader, Java וכו')

אפשר גם לבדוק מה אומרים ב-WOT על האתר שנכנסת אליו (וכדאי גם להתקין את ה-ADD-ON שלהם), למרות שהוא לא הגורם בודאות.

תעזרו קצת לעולם:

- metooshelah - אם זה מעניין אותך, תגגל Xp security check list, כך תמצא הנחיות מפורטות. כמובן שהכל באחריותך בלבד.

- yman36 - אכן, ה-firefox היה מעודכן.

אבל במחשבה שניה, זה לא האתר שהדביק אותי(מה שבאמת הפחיד אותי בכל הסיפור), אלא ככל הנראה קובץ שהרצתי כרבע שעה לפני כן. פשוט האנטי-וירוס לא זיהה כלום, ולא הייתה תגובה מיידית. לכן בתומי הנחתי שהאתר אשם. הרי המחשב התאתחל בדיוק כאשר נכנסתי לאתר...איזה צירוף מקרים.