יש לי בעיה

[Termin-X]

יש לי בעיה

החבר הכי טוב שלי (לא מבין ממש במחשבים) שלח לי קובץ שבכאילו חבר אחר שלי שלח לו והוא לא יודע מה זה. אני סומך (כבר לא) על החבר שלי בעינים עצומות אז פתחתי את הקובץ וגיליתי שהוא טרויאן. עד כאן אין בעיה. אבל הקובץ הטרויאן (אני חושב של סאב7) משכפל את עצמו לSYSTEM ואני יודע את זה אבל אי אפשר למחוק קובץ שבווינדס משתמש בו אז ``מחקתי`` את הקובץ דרך דוס. עד כאן גם אין בעייה אבל הקובץ עדיין שם ועדיין עושה לי בעיות. חיפשתי מה גורם לזה וגיליתי קובץ עם אותו שם בסיומת LTD או משהו כזה שבטח מי שהכין את הטרויאן בחר ואין לה שום קשר, אז מחקתי גם אותו דרך ווינדוס כי הוא לא השתמש בו. עכשיו מחקתי עוד פעם דרך דוס את הקובץ המקורי וחזרתי לווינדוס והוא עדיין שם. מה יכולה להיות הבעייה? אל תגידו לי את הדברים הבאים: תפעיל דוס כשאתה מפעיל את המחשב ולא דרך ווינדוס(אני לא מפגר) תנסה למחוק את הקובץ כמה פעמים דרך דוס(בפעם השניה הוא לא מוצא את הקובץ) אתה מטומטם(אני לא מטומטם) תהרוג את חבר שלך(כבר עשיתי את זה) תהרוג את החבר השני שלך ששלח לו את הקובץ(זה לא היה הוא, מישהו עבד עליו והוא אפילו לא יודע כי הוא ממש דפוק) דברים אחרים אפשר להגיד

 

[mmm]

פתרון....

אז רק להתחלה: או שיש עוד עותק במחשב, או שמחקת אותו כביכול, אבל לא בדיוק.... בכל למנוע בלבול ועבודה רבה שיכולה להזיק יותר מאשר להועיל, קח תוכנה שמיתמחה ומבינה בזה...: אנטי וירוס או סורק טרויאנים, וזאתי כבר תדאג להשמיד את הסוס מעל פני ההארד דיסק. כמה קישורים... זה אמור לעבוד... למה לא היה לך את האנטי וירוס מהתחלה?... להבא שמור אחד ברקע כל פעם, וחסכת לעצמך סיבוך!!!. פורום האקרים והתגוננות!!!.

 

[Termin-X]

נחמד מאוד אבל

בוא נגיד שיש לי מיגבלה מחשבית מסוימת ואני לא יכול לעשות את זה, ונגיד שאני רוצה לדעת איך זה פועל ומה בדיוק זה עשה (בהשראה ממך(, אז מה יכול לגרום לזה שהקובץ לא נמחק דרך דוס, או בעצם כן אבל חוזר שוב כשאני מפעיל מחדש את המחשב? יש לי אנטי ווירוס וכל השטויות שהצעת לי אבל הם לא פעלו כי אני סמכתי על החבר שלי ממש בעיניים עצומות

 

[mmm]

ובכן זה יכול להיות מכמה סיבות.....

הבה אראה א. הקובץ סומן +S זאת אומרת שייך לSYSTEM , ולכן רק נראה לך שמחקת אותו דרך דוס. ב. יש עוד עותק, במקרה הזה אני ממליץ על אנטי וירוס. ג. יש לך כמה שורות בREGISTRY ו/או ב AUTOEXEC.BAT במקרה הזה היתי מציע שתבדוק. ד. יכול להיות והקובץ המקורי(הכוונה .EXE ) שכפל עצמו מייד כשהדלקת את הווינדוס מחדש לספריה או בגלל סעיף ב או בגלל סעיף א. ה. יכול להיות שהקובץ מתחזה לאחד הקבצים של ווינדוס, בדוק את הגודל שלו והשווה, לקבצים אחרים במערכת, אם יש קבצי EXE באותו גודל אז ... ו. בדוק בSTARTUP של ווינדוס , תחת PROGRAM. ז. אם כל אל לא עזרו, תשתמש באנטי וירוס או במנקה טרויאנים. ח. להכנס לCOMMAND PROMPT ONLY ושם תמחק את הקבצים, אבל תבדוק(למעשה אני ממליץ לעשות את זה לפני שמוחקים קבצים מה ההרשאות של הקובץ ע``י ATTRIB ). אני מקווה שזה עונה על השאלה, כמובן שיכולות להיות עוד אפשרויות.

 

[Termin-X]

ניסיתי כבר כמעט את הכל

עשיתי כמעט את כל זה עוד לפני ששאלתי בפורום וזה מה שקרה: ב.אין עוד עותק כי חיפשתי ג.כבר חיפשתי בREGISTRY והיה שם שורה של משהו שבאמת נראה לי שהוא מפעיל את הקובץ ואני לא בטוח, אבל כאני מוחק אותו אם אני מפעיל מחדש את הווינדוס הוא חוז לשם ו.אני יודע את זה וחיפשתי כבר שם וניסיתי להוריד משם את הכל ולמחוק עוד פעם, ועדיין הקובץ חזר והשורה בREGISTRY חזרה ח.זה היה ברשימה של הדברים של לא להגיד לי(פעם הבאה אני יכניס לשם הרבה יותר דברים), לא הבנתי בדיוק מה כתבת(מה זה ATTRIB?) אני ינסה לבדוק בAUTOEXE אבל לא נראה לי שזה קשור לשם אם מישהו יודע איך הטרויאנים של סאב7 אמורים לעבוד ולאן הם מעתיקים את עצמם בבקשה שיעזור לי

 

[N0]

אי אי אי...

אישית N0 לא רוצה להעליב אבל נראה לו שכל העניין קצת גדול עליך... עדיף שתיקח אנטי ווירוס טוב (AVP צריך לפתור את זה בלי בעיה) ותשתמש בוא (רוב החברות נותנות חודש ניסיון חינם). אם בכל זאת אתה רוצה להסתכן, כמה דברים שN0 היה בודק- 1. לך למנוע החיפוש האהוב עליך ותחפש מידע על הטרויאני, ברוב המקרים תמצא הוראות הורדה. 2. אם אתה לא מוצא כלום (אתה לא יודע לחפש...) יש תוכנה msconfig בחלונות 98 בלבד אם אני לא טועה (לך להתחל, הפעלה ותרשום msconfig ) שאיתה אתה יכול לראות את כל הקבצים פחות או יותר שעולים לפני ועם חלונות. מה שנראה לך לא כשר תוריד (זה יכול לגרום בעיות אם אתה מוריד משהו שצריך). כנס למחשב בדוס ישנם קבצים שמוגדרים כמוסתרים וקבצי מערכת (הAttribut ) אותם אתה לא יכול לראות בפקודת dir רגילה וגם לא ב``מחשב שלי`` אם הוא לא מוגדר במיוחד כדי להראות אותם. הפקודה dir /a תרא לך את כל הקבצים (אם N0 לא טועה תבדוק בעזרה.) אם יש לך קובץ מקורי של הטרויאני שלא מחקת אתה יכול לחפש לפי קבצים שנוצרו יחסית באותו זמן, אם מחקת את כל הקבצים שאתה יודע עליהם תצטרך, לחפש לפי מה שנראה לך ולמחוק גם אותם (ויכול להיות קובץ בכל שם אבל הגיוני שהסיומת תיהיה EXE ) גם כן כדאי לחפש קבצים שהסיומת שלהם היא BAT, כי אם הטרויאני מעתיק ומשנה שמות הגיוני שהוא ירכז את זה בקובץ אחד במקום לתקוע הרבה שורות בקבצי מערכת). עם הפקודה Edit filename אתה יכול לראות מה קובץ BAT מכיל, אם זה גם נראה לך לא כשר תמחוק אותו ואת הקבצים שהוא מפעיל (עוד פעם תזהר לא למחוק דברים חשובים אתה יכול לדפוק לך את המחשב אם תמחק את הקובץ Autoexec.bat או config.sys ) כנ``ל לגבי קבצים עם הסיומת sys למרות שזה פחות סביר. עוד פעם תבדוק באינטרנט בטוח יש הוראות). 3. יכול להיות שהטרויאני בכלל נמצא בבוט סקטור ואז נדפקת כי אתה חייב דיסקט הצלה ואנטי ווירוס טוב כדי לפתור את זה (למרות שזה לא הגיוני, טרויאנים הם לא משהו). N0

 

[Termin-X]

אני לא יכול

להתקין שם אנטי-ווירוס או תוכנה אחרת כי המחשב לא בדיוק שלי

 

[N0]

לא הייתה צריך להתקין עליו טרויאנים

 

[Termin-X]

הבעיה נפתרה

הקובץ עדיין שם אבל הכל הסתדר איכשהו כי המחשב חזר להיות מהיר כשאני מתחבר לאינטרנט, כל מה שקרה מאז שפתחתי את הטרויאן הסתדר ומשום מה יש לי הרגשה שהטרויאן הזה כבר לא יעשה לי כלום(והמבין יבין, שזה בעצם רק איש אחד חוץ ממני)

 

[mmm]

לא הצלחת למחוק?

איפה הקובץ נמצא? באיזו ספריה?, האם יישמת חלק מהעצות, האם הקובץ עדיין לא נמחק. ATTRIB -S -R -H ושם הקובץ, ולאחר מכן ישום DELETEE.. במקרה הזה אפילו דרך ווינדוס תוכל למחוק אותו. ....

 

[Termin-X]

תסביר את עצמך

 

[mmm]

ובכן

תשתמש בATTRIB כדי להוריד את ההרשאות שיש לקובץ, אם יש לו למשל הרשאה של READ או SYSTEM אז אי אפשר למחוק אותו. אבל אם תוריד אותן אז יכול להיות שתצליח. זה שהמחשב מהיר זה לא אומרת שהקובץ הפסיק לפעול, בהנחה שזה טרויאני. .....

 

[Termin-X]

העתי למסקנה שכל פעם שאני מנסה למחוק את הקובץ אז מופיע לי בREGISTRY השורה של הקובץ ובMSCONFIG (לא ידעתי בכלל מה זה לפני ששאלתי כאן) יש משהו שעושה משהו עם הקובץ. אז הורדתי את כל הדברים במחשב בכל המקומות(חוץ מהקובץ) שקשורים לקובץ והפעלתי את המחשב מחדש בלי לנסות למחוק שוב ופתאום הכל הסתדר מאז שפתחתי את הטרויאן קרו כמה דברים למחשב שלי כשאני מתחבר לאינטרנט ועכשיו הם נעלמו, וכל זמן שזה עובד ככה אני לא רוצה להתעסק עם זה יותר מידי מה אתה מתכוון בהרשאות? זה בטוח טרויאן ובטוח של סאב7

 

[N0]

כדאי בכל זאת

למחוק את הקבצים של הטרויאני. אם באמת הצלחת להוריד אותו מהשורת הפעלה, הוא לא יחזור שוב. N0

 

[Termin-X]

לא יחזור שוב?

אז זהו, שהו חזר! והאינטרנט שוב איטי! הוא חזר כאילו הפעילו אותו שוב כי הקובץ של ה ltdחזר (אם זה עוזר אז הוא היה בWINDOWS\APPLOG)אבל אני בודק ואין אותו בשורת הפעלה של הMSCONFIG ואין שורה שלו בREGISTRY יכול להיות שמי שהמחשב שלו פתח את הקובץ שוב אבל לא ניראה לי שזה זה כי אין שורה ברג`יסטרי ונראה לי שאם עכשיו אינ מכבה שוב את המחשב בלי לנסות למחוק את הקובץ זה יחזור להית שוב מהיר אני פשוט יודע

 

[Termin-X]

אם אחד מכם בצ`אט אז אני שם אז תגידו