שלום לכולם,
יש לי במחשב 3 וירוסים עקשניים, שלמרות שהאנטיוירוס (AVG) מזהה ומנקה אותם, לאחר הפעלה מחדש של המחשב הם מופיעים שוב. אפילו מחקתי ידנית את הקבצים וזה לא עזר!

מצ"ב צילום מסך עם שמות הוירוסים והקבצים.

האם מישהו יודע איך להיפטר מהם?

תודה מראש,
חגי

מצאתי את הקובץ 8D0A90.exe בתוך הספריה SYSTEM32 אך אני לא מצליח למחוק אותו. המחשב אומר שתוכנית אחרת משתמשת בקובץ, ולכן לא ניתן למחוק. איך אני יכול לדעת איזו תוכנית משתמשת בקובץ, ולדאוג שהיא לא תעלה? ניסיתי למחוק אותו מה sturtup, אך זה לא עוזר...

תודה רבה
חגי

נפלא... וירוסים
תעלה לוג של hijackthis (חפש את התוכנה, תוריד, תעשה סריקה ותעלה את הלוג - אל תתקן שום דבר על דעת עצמך!)

מעבר לזה בצע סריקת וירוסים בAV אמיתי (לא הצלחתי לזהות מה שלך, יכול להיות שהוא טוב אפילו וסתם צחקתי עליו עכשיו) במצב בטוח.

תוריד autoruns ותגיד לנו כל מה שעולה לך על המחשב (בינינו - פשוט תעבור על הכול ומה שהמקור שלו לא מיקרוסופט או משהו שאמור לעלות כמו התקנים של חומרה תעיף)

מה עוד?
אם אתה יודע מתי חטפת את הוירוס תשחזר לנקודת זמן לפני זה (אם התאריך לא מוקדם מידי), אולי זה יחסוך לך את הבלגן...

מקווה שלא מאוחר מידי

אני מקווה שתצליח

אז ככה:
1. האנטיוירוס שבו השתמשתי הוא AVG והוא מתעדכן כל יום. בדקתי גם ב AVAST וגילה את אותם וירוסים. האנטי וירוס מזהה את הוירוסים ומדווח שמחק אותם. אם אני מריץ שוב את האנטיוירוס הוא לא מגלה אותם שוב. אך אם עשיתי restart הוירוסים חוזרים...
2. בכל פעם שאני עושה restart, הפיירוול מדווחת שהקובץ 8D0A90.exe מנסה לשנות את רשימת האתחול. אני לוחץ על DENY כדי שזה לא יקרה, אך זה לא מועיל....
3. גם אם אני מוריד את הקובץ הנ"ל מרשימת האתחול (מופיע שם פעמיים), באתחול הבא הוא שוב נמצא ברשימה.
4. כפי שמופיע באנטיוירוס, יש שלושה קבצים נגועים בוירוס: 8D0A90.exe, shell.fne, epai.fne.
הקבצים האלו קיימים בנפרד לכל משתמש במחשב (יש לי שלושה משתמשים). כאשר אני נמצא על אחד המשתמשים, אני יכול למחוק את הקבצים האלה השייכים למשתמשים האחרים, אך לא את הקבצים של אותו משתמש (אומר שתוכנית אחרת משתמשת בקובץ ולא ניתן למחוק). כשאני מחליף בין המשתמשים, הקבצים שמחקתי חוזרים להיות קיימים ונגועים...
5. ניסיתי לעשות שחזור מערכת, אך נראה שהוירוס השתלט גם על זה. אני מקבל הודעה כזו:


אם אתה יודע איך לעקוף את זה, אשמח לשמוע...

6. גם לאחר שצמצמתי את רשימת האתחול (כולל הורדת הקובץ 8D0A90.exe שחוזר שוב ושוב), זה לא עזר. מצ"ב פירוט רשימת האתחול:
https://2009-uploaded.fresh.co.il/2...09/82795365.htm

7. מצ"ב לוג hijackthis:

https://2009-uploaded.fresh.co.il/2...09/60856382.log

8. אני לא יודע אם זה רלוונטי, אבל יש לי גם מחשב נייד שמחובר ברשת ביתית, וגם הוא נדבק בוירוס.
יש לציין שהוירוס לא מפריע לעבודה השוטפת (חוץ מחסימת האופציה לשחזור המערכת), אבל לך תדע מה הוא יכול לעשות...

9. אה שכחתי, אני גם לא יכול להגיע למנהל המשימות. אני מקבל את ההודעה:



תודה רבה על העזרה,
וסליחה על אורך ההודעה.

חגי

לכול שאלה יש תשובה

1. avg, בלשון המעטה, לא מוערך בכלל ע"י חברי הפורום השכן, אני מניח שבצדק, אישית ממליץ לעבור ל avast, קליל יותר ונעים יותר לעבוד איתו.
2. איזה firewall? בעליה של המחשב? ניסית לחסום את הקבצים (או הסקריפט שיוצר ומריץ אותם) עם autoruns?
3. כנראה יש משהו שמכין אותו... אני בטוח שתמצא אותו ב autoruns
4. טיפ לחיים טובים - תתחיל לעבוד עם משתמשים לא אדמיניסטרטיביים!
5. לדעתי דרך מספר 1 תהיה הנוחה ביותר מבחינתך לעשות זאת
http://support.microsoft.com/kb/283073
6. זו לא הרשימה המלאה, אני מחפש רשימה בסגנון הזה:
http://palprince.com/softwares/wp-c...12/autoruns.gif
7. המצב טוב משחשבתי, זה הדבר היחידי שאתה חייב לסמן ולעשות fix
[?] - O4 - HKLM\..\Run: [8D0A90] C:\WINDOWS\system32\36FB6B\8D0A90.EXE
בינינו - הייתי מוחק את כל התיקייה 36FB6B, היא לא דבר מוכר ו/או נחוץ.
8. דווקא וירוסים שלא מפריעים לעבודה השוטפת הם הכי מסוכנים... לך תדע למי אתה שולח כל מה שאתה מקליד על המחשב, כל סיסמה שאתה מקליד, כל כניסה לאתר, קוד ל paypal או כרטיס אשראי לקניית כרטיסים בסינמה סיטי...
אתה חושב "אה, זה לא מפריע" וממשיך לעבוד ולהזין את כותב הוירוס בנתונים שיעשירו אותו וידללו אותך (אם אתה לוקח את זה לאקסטרים כמובן - אבל זה לא ממש מופרך)
9. דווקא הרמז הכי מועיל עד עכשיו, הוירוס נראה כמו משהו מסוגVBS.Runauto.F, תשתמש באתר הזה לשם הסרה ידנית שלו:
http://www.precisesecurity.com/thre.../vbs-runauto-f/
שים לב שאתה צריך למחוק את הערכים בregistry שמצויינים למטה (זה כתוב, אבל זה חשוב להדגיש)

מקווה שלא פספסתי כלום, אם יש לך עוד משהו - הכי קטן שנראה לך אפילו לא רלוונטי אבל יוצא דופן, אז תגיד אותו!

1. קיבלתי את ההערה, אני אחליף ל AVAST (למרות ש AVG נראה לי יותר ידידותי, אבל אני אסמוך עליכם בענין הזה...).
2. ההתראה מתקבלת ע"י arovax sheild, פיירוול חנמית שהורדתי מזמן מהאינטרנט, ומתריעה על שינויים ב BOOT וכו'.
3. מצאתי את שם הקובץ הזה ב autorun, אבל גם כשמחקתי אותו (אפילו ישירות ברג'יסטרי) הוא הופיע שוב.
צילום מסך של auto run



דוח בקובץ TXT:


https://2009-uploaded.fresh.co.il/2...18/21514109.txt

4. קיבלתי. למרות שרק משתמש אחד היה אדמינסטרטיבי במקור.
5. הצלחתי להגיע לשחזור המערכת (כל הכבוד לך!), אבל מסתבר שהוירוס ששינה את הגדרות, גרם בכך גם למחיקת כל נקודות השחזור הקודמות, אם היו. ובעניין זה: האם יש דרך לעשות גיבויים לנקודות שחזור במקום נפרד (כך שאם היה לי גיבוי לנקודת השחזור זה לא היה נורא שהוירוס מחק אותן?)
6. צירפתי לעיל בסעיף 3.
7. תיקנתי את השורה הזו, וזה עדיין לא עזר.
האם לא צריך למחוק גם את שתי השורות האלה:

O4 - S-1-5-21-1343024091-838170752-725345543-1006 Startup: 8D0A90.lnk = C:\WINDOWS\system32\36FB6B\8D0A90.EXE (User 'שחר')
O4 - S-1-5-21-1343024091-838170752-725345543-1006 User Startup: 8D0A90.lnk
מה אתה אומר?

8. צודק ב 100%. לכן אני מנסה בכל זאת להפטר מהוירוסים האלה.

9. לא הצלחתי למצוא את כל הקבצים שרשומים שם ברג'יסטרי. יש דברים שקצת שונים. מה שכן מצאתי, הערכים היו כמו שכתוב שצריך להיות. בכל אופן, זה בסופו של דבר לא מחק את הוירוס (עדיין לא ניתן להגיע למנהל המערכת), למרות שהאנטי וירוס מחק במצב בטוח כל מיני וירוסים - אבל זה חזר.

10. אז זהו, שמתי לב לעוד שני דברים:
א. לפעמים קופץ לי פתאום חלון ובו נפתח האתר הבא:
http://dati.pzzz.org:8081/html/zhao...ntid=1258577899
זה משהו לא ברור בסינית/יפנית. (אני מקווה שלא מזיק להכנס לאתר הזה, ושאני לא אגרום לך נזק בכך).
ב. יש לי וירוס (אחר?) שבגללו כשמכניסים דיסק און קי, כל התיקיות מופיעות כקבצים בודדים בגודל 1.34MB. עם סיומת EXE. בחיפוש באינטרנט גיליתי שהספריות האמיתיות לא נמחקו אלא רק מוסתרות. לא הצלחתי להוריד את הוירוס הזה, והיום גיליתי שהוא פועל חלקית גם בהרדיסק החיצוני שלי (אבל שם הוא לא עשה את זה לכל הספריות אלא רק לכמה בודדות).

תודה רבה על כל העזרה,
אתה איש טוב

לילה טוב,
חגי

הרבה שאלות, אבל אין לי מספיק זמן לענות לצערי
אני אסתכל עליהן מחר ואענה כמו שצריך.
בכול מקרה אני ממליץ לחשוב על פרמוט בינתיים, תבדוק עד כמה זה בעייתי בינתיים

תריץ COMBOFIX חפש בגוגל

יחי אדוננו מורנו ורבינו מלך המשיח לעולם ועד!

לקבלת ברכה בכל נושא מהרבי מלך המשיח שליט"א

היא אכן מחקה כמה קבצים בעייתיים (שחלקם ידעתי שנגועים), וכשהרצי אנטיוירוס אח"כ הוא באמת לא גילה את הוירוסים - כלומר הם נמחקו.
אבל - לאחר restart הרצתי שוב אנטיוירוס והוירוסים עדיין שם...
כלומר גם כשמוחקים הוירוסים, הם חוזרים בהפעלה מחדש של המחשב...

לגבי פירמוט, אני אכן שקלתי את העניין, והעולם לא יתהפך אם אפרמט, אבל אני מעדיף קודם "להפוך כל אבן" ורק אם אתייאש ואין ברירה אז אפרמט.

תודה,
חגי

תבטל שחזור מערכת לפני שאתה מריץ את קומבופיקס
ואז תריץ במצב בטוח את קומבופיקס
אחרי זה תעשה בדיקה אונלין http://www.pandasecurity.com/activescan/index/
אחרי הבדיקה כנס במצב בטוח ומחק את כל הוירוסים שהבדיקה מצאה
בהצלחה ותעדכן

יחי אדוננו מורנו ורבינו מלך המשיח לעולם ועד!

לקבלת ברכה בכל נושא מהרבי מלך המשיח שליט"א

שלום חבר'ה,
המבצע הוכתר בהצלחה!
הרצתי את הקומובופיקס, אחר כך את הבדיקה און ליין.
מחקתי את כל מה שפנדה ציינה אבל לא מחקה בעצמה.
אח"כ הרצתי את AVAST שוב, מצא וירוסים ומחק אותם.
ואח"כ הרצתי שוב (גם לאחר איתחול) ולא נמצאו שום וירוסים.

נראה שהכל עובד כמו שצריך - אפילו מנהל המשימות, שכזכור לא עבד!

תודה רבה לשניכם (קובי ו sh770)!

חגי

שמח לעזור

יחי אדוננו מורנו ורבינו מלך המשיח לעולם ועד!

לקבלת ברכה בכל נושא מהרבי מלך המשיח שליט"א