אהלן,
לא בטוח אם השאלה היא בפורום הנכון, מקווה שכך הדבר.
אתמול התקנתי adobe acrobat pro ומסתבר שהוא הכיל וירוס נחמד.
הוירוס פועל בצורה הבאה:
יוצר לעצמו יוזר נוסף עם גישת אדמין
מכבה את הפיירוואל של הווינדאוז
משתמש בחיבור האינטרנט לDOS על אייפי רנדומלי ובעצם יוצר עומס על המעבד - מ 8% ברגיל ל 100% שימוש.
ועוד מספר דברים שלא הצלחתי לשים את ידי עליהם.

במחשב מותקן - nod32 כאנטי וירוס. os - vista home
הצלחתי למחוק חלקים גדולים מהנזק שנעשה לרג'יסטרי ואת היוזרים
אבל יש לי הרגשה שלא נפטרתי מהכל.
האנטי ווירוס לא מזהה שום דבר, גם לא בסריקות מעמיקות וסריקה בזמן הפעלה.

כדי להתגבר על הבעיה עצמה ואחרי שמקתי את קבצי exe של הוירוס. בוצע שיחזור למערכת לתאריך תקין.

מישהו מכיר את המחלה ומכיר דרך להיפטר ממנה אחת ולתמיד, מאוד אשמח שלא להתקין OS מחדש.

תודה רבה
עמית

Jesper M. Johansson, Ph.D., CISSP, MCSE, MCP+I

Security Program Manager
Microsoft Corporation

See other Security Management columns.

Welcome back. After the very long Patch Management article last month, this months article is much shorter and to the point. Let’s just say you did not install the patches like we discussed last month. (אפשר לחשוב שזה תמיד עוזר...)
Now you got hacked. What to do?
Cleaning a Compromised System

So, you didn’t patch the system and it got hacked. What to do? Well, let’s see:

*

You can’t clean a compromised system by patching it. Patching only removes the vulnerability.Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.
*

You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.
*

You can’t clean a compromised system by using some “vulnerability remover.” Let’s say you had a system hit by Blaster. A number of vendors (including Microsoft) published vulnerability removers for Blaster. Can you trust a system that had Blaster after the tool is run? I wouldn’t. If the system was vulnerable to Blaster, it was also vulnerable to a number of other attacks. Can you guarantee that none of those have been run against it? I didn’t think so.
*

You can’t clean a compromised system by using a virus scanner. To tell you the truth, a fully compromised system can’t be trusted. Even virus scanners must at some level rely on the system to not lie to them. If they ask whether a particular file is present, the attacker may simply have a tool in place that lies about it. Note that if you can guarantee that the only thing that compromised the system was a particular virus or worm and you know that this virus has no back doors associated with it, and the vulnerability used by the virus was not available remotely, then a virus scanner can be used to clean the system. For example, the vast majority of e-mail worms rely on a user opening an attachment. In this particular case, it is possible that the only infection on the system is the one that came from the attachment containing the worm. However, if the vulnerability used by the worm was available remotely without user action, then you can’t guarantee that the worm was the only thing that used that vulnerability. It is entirely possible that something else used the same vulnerability. In this case, you can’t just patch the system.
*

You can’t clean a compromised system by reinstalling the operating system over the existing installation. Again, the attacker may very well have tools in place that tell the installer lies. If that happens, the installer may not actually remove the compromised files. In addition, the attacker may also have put back doors in non-operating system components.
*

You can’t trust any data copied from a compromised system. Once an attacker gets into a system, all the data on it may be modified. In the best-case scenario, copying data off a compromised system and putting it on a clean system will give you potentially untrustworthy data. In the worst-case scenario, you may actually have copied a back door hidden in the data.
*

You can’t trust the event logs on a compromised system. Upon gaining full access to a system, it is simple for an attacker to modify the event logs on that system to cover any tracks. If you rely on the event logs to tell you what has been done to your system, you may just be reading what the attacker wants you to read.
*

You may not be able to trust your latest backup. How can you tell when the original attack took place? The event logs cannot be trusted to tell you. Without that knowledge, your latest backup is useless. It may be a backup that includes all the back doors currently on the system.
*

The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that

השאלה המתבקשת היא

מאחר ומדובר במחשב נייד
האם ניתן לסמוך על factory settings.
ולהחזיר חזרה או שעדיף להתקין את הכל, כולל הכל מחדש כולל בנייה מחדש של כונן הגיבוי עם image חדש ומסודר של המערכת התקינה
?

עמית

*על פניו הקבצים של השחזור אמורים להמצא במחיצה נפרדת(בלתי נגישה לוורוסים), ואין בעיה.

אבל
אצלי יש נייד ישן יחסית(R52 של IBM), שם כל התהליך של השחזור היה נוראי, אחד התוכנות(lenovo care) היותר מטופשות שראיתי לשחזור.(ממה שאני יודע גם בלנובו החדשים אותו הספור).
אם המצב דומה לזה גם בנייד שלך אז במקרה הזה, הייתי ממליץ לעשות סדר במחשב.(אם כבר, אז כבר)

להעיף לגמרי את המחיצה המיותרת שבאה עם המחשב הנייד.
לחלק את הדיסק הקשיח לשתי מחיצות אחת למערכת ההפעלה(וכמה תוכנות כבדות כגון, אופיס שאיתם אתה בטוח משתמש באופן קבוע), ומחיצה אחרת לכל השאר.
אני אישית מקצה בשביל XP כ10 גגה, אני לא יודע כמה כדאי לתת למערכות החדשות של חלונות(הייתי הולך על 25-20).

לאחר ההתקנה, כאשר הכל מקונפג כמו שאתה אוהב, הייתי משתמש בתוכנה לגיבוי אקרוניקס.
תוכנה מעולה, שאחת האפשרויות שלה זה לצור מחיצה נפרדת שבה נשמרת מיני מערכת(בגודל של כ130 מגה), שבלחיצה F11 בעליית המחשב תאפשר לך לשחזר את המחשב מהאימג, זה במקום להפעיל את המחשב מכונן אופטי במקרה של כשל.(בדומה למה שיש לך בנייד), רק שפה מדובר בתוכנה רצינית, מהירה, ומקצועית, ולא הזבל שדוחפים בדרך כלל בנייד.

אהלן
המחשב המדובר הוא dell studio 1737
יש שני הארד דיסקים עצמאיים. אחד מערכת הפעלה (250 GB) והשני (250GB) כל השאר.
החלוקה עצמה קיימת, אגב כונן הגיבוי הוא מפוצל מהארד דיסק השני.
לא יצא לי עוד לעבוד עם השחזור המקורי שלו, האמת דיי תכננתי לתת לדל אותו בשביל שיבצעו שידרוג למערכת ההפעלה ובכך בעצם יחליפו גם את האימייג הקודם שלהם.
כרגע אני לא ממש יכול להרשות לעצמי כמה ימים ללא המחשב. (סטודנט)
ולכן האופציה של לשחזר אותו על פי הגדרות יצרן היא כנראה זו שאעשה.

תודה
עמית

פשוט תצור קשר עם השרות לקוחות, ודרוש שישלחו לך DVD הבייתה(בלנובו עושים את זה), הדרך הטובה ביותר היא תמיד להתקין לבד, רק את מה שאתה צריך.
אלה אם כן תגלה היום שהכלים לשחזור של דל, זה הדבר הכי טוב שקרה לך מעולם...