וירוס לא מוכר...

C

Cantinflas

New member
וירוס לא מוכר...

שלום לכולם. אני חדש כאן, והסיבה שנכנסתי היא עקב חדש לוירוס לא מוכר שנמצא לי על המחשב. לפני כמה ימים הרגשתי התנהגות מוזרה על המחשב שלי. זה התבטא בכך שה ICS הפסיק לעבוד. ניסיתי להבין למה זה לא עובד, וזה הוביל אותי בסופו של דבר לבדיקת ה service עצמו. הבחנתי שהוא נפול, אבל בכל פעם שאני עושה לו start הוא מחזיק דקה ונופל. מכיוון ש service זה אחראי גם על ה MS internet Firewall, חשדתי בפריצה \ וירוס. ראיתי שהתופעה קוראת גם כשאני מנותק לחלוטין מהרשת, והבחנתי בעוד services שנופלים. בינהם: Norton Auto protection, Kerio Personal FW, ו alerter. שהם כולם שירותי אבטחת מידע כמובן. התחלתי להשמיד process -ים עד שמצאתי את האחראי. process המקושר לקובץ בשם user32.exe הנמצא בתיקיית windows (הראשית). הוא מודלק מה registry, והוא האחרון שהותקן שם. הבעייה היא שאני עובד עם Norton AV 2003 עם virus definition 19/2/03, והוא לא מזהה קובץ זה כווירוס. חשדתי שאולי הוירוס התעלל באנטיוירוס, ולכן הסרתי והתקנתי מחדש מספר פעמים, וגם ביצעתי סריקה מאתר Sarc. אף סריקה לא מצאה את הקובץ הזה כוירוס. מישהו שמע\מכיר את התופעה? (ד.א: האנטיוירוס היה משותק כל התקופה בה הוא היה ברשימת ה process -ים)
 
uzi2

uzi2

Active member
באופן זריז

אם אתה יכול - תשאיר את ההודעה שלי על המסך וצא מהאינטרנט מייד. קרוב לוודאי שמדובר בעכברוש (סוס טרויאני שפותח דלת אחורית במחשב שלך). יש כמה סוגים של עכברושים ששמים את עצמם תחת השם הזה. אין קובץ לגיטימי נפוץ תחת השם הזה (אבל יש user32.dll לגיטימי ואין להתבלבל ביניהם). לאחר שיצאת מהאינטרנט, וקראת או הדפסת את מכתבי זה, עשה restart למחשב שלך, למצב safe mode. מתוך מצב safe mode הקש מתוך Start/run את הפקודה msconfig (לא אמרת איזו מערכת הפעלה יש לך, אבל אם זו לא 2000 אז הפקודה msconfig לא קיימת ויש להתקין אותה שזה לא לעכשיו). אחרי הקשת הפקודה ו- enter, כנס ללשונית startup שם וכבה את ההפניה לקובץ הנ"ל (הורד את הסימון מהקובץ הנ"ל). אשר ביצוע. אח"כ חפש את הקובץ user32.exe ושנה לו את השם. רצוי לסיומת נייטרלית, למשל user32.suspicious. אח"כ הפעל מחדש את המחשב למצב רגיל ונסה לנקות את הסוס הטרויאני בעזרת האנטיוירוס שלך. אם לא עוזר, נסה את אחד מאתרי ה- online scanning שבקישורים. אם עדיין המחשב שלך חוסם תפקוד, חזור הנה (רצוי ממחשב אחר) וננחה אותך הלאה. תשתדל להיות כמה שפחות זמן מחובר לאינטרנט, כל עוד הסוס פעיל.
 
C

Cantinflas

New member
זאת לא הבעיה...

עשיתי את כל האמור עוד לפני שכתבתי את ההודעה, חוץ משינוי שמו של הקובץ, וזה שהורדתי את הקובץ לא מ msconfig, אלא ישירות מה registry. רק האנטי וירוס, וגם ה Online scan של symantec לא מזהים את הקובץ הזה... חשבתי אולי הוירוס הזה לא מוכר??? וזה לא user32.dll, אלא exe.
 
uzi2

uzi2

Active member
אוקיי אז המצב יותר טוב

אם ככה, אז אתה רק רוצה שסימנטק תזהה אותו. שלח להם את הקובץ והם כבר יעשו לו אנליזה, ובאם צריך (וכנראה אכן צריך) יעדכנו את קבצי נתוני הוירוסים שלהם לגביו. הדרך הטובה להעביר את הקובץ, היא לפתוח קובץ ZIP חדש, ולעשות import אליו של הקובץ החשוד, תוך כדי הגדרת סיסמה עבור הקובץ (אם אתה עושה את זה דרך Winzip אז פשוט כאשר אתה מקבל את חלון ה- ADD אתה מגדיר סיסמה (יש שם מקום לעשות זאת), ואז מעלה את הקובץ לתוך קובץ ה- ZIP. תשתמש בסיסמה infected . עכשיו את קובץ ה- zip, תשלח לסימנטק לבדיקה. הכתובת היא: avsubmitXsymantec.com (נא להחליף את התו X שבכתובת, בתו @). במכתב שאליו אתה מצרף את הכתובת, רשום שהקובץ החשוד מוצפן בעזרת הסיסמה infected. הסיבה להצפנה, היא שתוכנות אנטיוירוס שחלק מהשרתים שמים לא תמחק לך את הוירוס. אם אתה רוצה, אז גם שלח לי עותק של הקובץ (כתובתי נמצאת בכרטיס האישי), ואני אבדוק ב- 4 אנטיוירוסים שונים (מעודכנים), ואעדכן גם אותם באם יש צורך.
 
C

Cantinflas

New member
שלחתי לך ולסימנטק.

אודה לך אם תהיה לך תשובה מי זיהה, מי לא זיהה, ולדעת אם אולי רק אצלי נורטון לא מזהה... (משהו פגום אולי)
 
uzi2

uzi2

Active member
אפשרלנסות להריץ אנטיוירוס ממצב בטוח

 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה