რაღაც ვირუსი?, რახდება? პარამეტრები

[rudi]

მოკლედ კომპში მყავს რაღაცა ვირუსი რომელიც ანელებს კომპიუტერის მუშაობას და ინტერნეს (ზოგჯერ ისე რომ საიტებზეც ვეღარ შევდივარ)თავიდან ინტენეტის გამო მეგონა გადავედი ლინუქსში და ყველაფერი კარგად მუშაობდა. შემდეგ რეესტრის შემოწმება დავიწყე და სტარტაპზე მივაგენი ესეთ რაღაცას:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> ghistpb.dll

ეს ghistpb.dll იმყოფება C:\\WINDOWS\\system32-ში. ვიფიქრე წავშლი რეესტრიდან და ეშელება მეთქი. წავშლე მაგრამ რესტარტის შემდეგ ისევ გაჩნდა:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"b0dc5537"="rundll32.exe \"C:\\WINDOWS\\system32\\aghistpb.dll\",b"

+ უსაფრთხოების რეჟიმშიც ირთვება.

რაუნდამექნა ჩემი ფართიშენები დავაფორმატე. ინსტალაია მოღჩა თუ არა შევედი msconfig ში და იგივე ვირუსი დამხვდა სტარტაპზე.
ზუსტად იგივე. არადა ყველა ფართიშენი დაფორმატებული მქონდა ( განულება არ იგულისხმოთ).




უკვე აღარვიცი რა გავაკეთო. ერთი ვარიანტი დარჩა მგონი ეს ვირუსი ქსელიდან ვრცელდება. ღმერთო მიშველე ინტერნეტი 6 კაშI მაქვს. ეხლა ყველასთან უნდა წავიდე და შევუმოწმო სტარტაპზე უზის თუ არა ეს ვირუსი. ეს DLL ფაილიც წავშალე მაგრამ არაფერი წესტარტის მერე ისევ ჩნდება. rundll32.exe ს ხომ არ წავლი კაცო.... ვინმეს ესეთ ვირუსთან შეხება არ გქონიათ?


მგონი ვირუსი ქსელიდან ვრჩელდება. ახალ ვინდიკაზე აბა სხვა შანსი არ იყო. + ფართიშენებიც დაფორამტებული მქონდა. თუ ვდებით მითხარით.


------------------------------------------------------------------------------------------------



ხოო ამწამს ეს ვირუსი რაღაცნაირად ანტივირებით დავბლოკე მაგრამ მეორე პროლემა გაჩნდა...( ეს ჩემი მეორე ფოსტია. უბრალოდ ფორუმმა პირველს მიაწება)



ეხლა პროცესორმა დაიწყო 100% იანი მუშაობა. ინტერნეტის კაბელი გამოვაძრე და მაინც იგივეს შვება. სტარტაპზე უკვე აღარაფერი არ ზის. ის ვირუსები ძლივს დავბლოკე ანტივირით.(ჯერჯერობით სტატაპზე აღარ ჯდება)

tasklist

პროგრამული კოდი

Image Name                   PID Session Name     Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0        212 K
smss.exe                     432 Console                 0        372 K
csrss.exe                    488 Console                 0      3,720 K
winlogon.exe                 512 Console                 0      1,720 K
services.exe                 556 Console                 0      3,800 K
lsass.exe                    568 Console                 0      2,236 K
svchost.exe                  744 Console                 0      4,576 K
svchost.exe                  792 Console                 0      3,968 K
svchost.exe                  856 Console                 0     15,188 K
svchost.exe                  904 Console                 0      3,160 K
svchost.exe                  988 Console                 0      4,328 K
explorer.exe                1232 Console                 0     13,084 K
spoolsv.exe                 1320 Console                 0      4,292 K
egui.exe                    1464 Console                 0      5,560 K
ekrn.exe                    1584 Console                 0     29,544 K
wscntfy.exe                  232 Console                 0      1,912 K
alg.exe                      452 Console                 0      3,372 K
taskmgr.exe                  932 Console                 0      1,724 K
IEXPLORE.EXE                1580 Console                 0     22,892 K
msconfig.exe                1888 Console                 0      4,036 K
notepad.exe                 1820 Console                 0      2,824 K
cmd.exe                     1656 Console                 0      2,436 K
tasklist.exe                 820 Console                 0      4,192 K
wmiprvse.exe                1880 Console                 0      5,444 K

თუ ქსელში არის რაღაც პროცესი ინტენეტის კაბელის გამოძრობის შემდეგ უნდა გამოსწორებულიყო. კარი ვირუსები რაღაცნაირად დაბლოკილი არის. ეგ აღარაა პრბობელმა მაგრამ პროცესორის 100% იანი მუშაობა რას დავაბრალო? დრაივერებიც არ დამიინსტალირებია ჯერ. თასქლისტშიც არაფერი ჩანს უცხო. თუთქოს ყველაფერი კარგად არის.



მოკლედ აღარც სტარტაპზე აღარაფერია აღარც სერვისებში. + არც ინტერნეტის კაბელის გამოძრობა შველის. ესეიგი ქსელის ბრალი არაა.

[Bekward]

უ ჩ ა
გამოაჩინე სისტემური საქაღალდეები (IMG:style_emoticons/default/wink.gif)
რომელიმე საქაღალდის მენიუში Tools > Folder Options > გადადი View-ში და მერე სიაში ნახე Hide protected Operating system files (recomended) მაგას მოუხსენი მონიშვნა და მერე OK. გამოჩნდება მანდ სხვა საქაღალდეებიც და ფაილებიც. (რათქმაუნდა ამ მეთოდით რომ გამოჩნდეს ფაილები სტანდარტული Show hidden files and folders უნდა იყოს მონიშნული)
Autorun.inf, Recycler <<< ამას ექნება სანაგვის იკონკა, ცადე შიგნით თუ შეგიშვა ე.ი. წასაშლელია, ორიგინალში არ შეგასუნინებს მუშა სისტემიდან, მიაშალე ორივე, თუმცა მანამდე მოკალი პროცესი Autorun.inf თუა ასეთი პროცესებში(ისე არ წაგაშლევინებს), პრინციპში ნოდს თუ დააყენებ მაგათ თვითონ მიაყენებს კედელთან (IMG:style_emoticons/default/laugh.gif) ხოდა რაც შეეხება 7 გბ-ს და 4 საქაღალდეს (IMG:style_emoticons/default/laugh.gif) სწორედ ის მალავს რაც ზემოთ დაგიწერე, თუ აღმოაჩენ დანომრილ exe ფაილებს, ეგრევე უკანმოუხედევად წაშალე (ზოგიერთი სავარაუდოდ პროცესებში იქნება და მოკალი ისე ვერ წაშლი).
otosaxela
არ დამიფორმატებია არაფერი, დღესაც იმ სისტემაზე ვზივარ, რაზეც მაგ ვირუსებით ვიჯექი, ანუ ნოდის მიერ ჩატარებული წმენდის შემდეგ, ვირუსებმა დატოვეს ჩემი კომპი, D დისკიც განთავისუფლდა ოკუპანტებისგან, ანუ შემდგომი ეპიდემია გამოირიცხა (დროებით სანამ რამე ახალი არ გამოჩნდება (IMG:style_emoticons/default/wink.gif) ).

[gi0_kiborg]

autorun.inf-ს შველის http://cmd.caucasus.net/soft/Amvo%20Killer.vbs ეს სკრიპტი პირდაპირ და თან შლის მაგ ვირუსებს, მერე გამოჩენილ ჰიდენ ფაილებში თვითონ მიხვდები რომელია ნაგავი, (თუ ტემპებშია ნებისმიერი ქლინერი გაწმინდავს) მერე, გადარესტარტებამდე გადაატარე ყველა დისკზე ანტივირუსი, აუცილებლად ქლინერით გაწმინდე დროებითი ფაილები (CCleaner-ს გირჩევ) და მერე დაარესტარტე, ეს მეთოდი შველის თუკი autorun.inf ით ხარ დაავადებული,

ხო არის ერთი კარგი მეთოდი მაგ ვირუსისგან საბოლოოდ განკურნების: USB Disk Security-ს აქვს ფუნქცია დისკების იმუნირებისა: ანუ ქმნის სისტემურ ფოლდერს ყველა დისკზე (USB-ების ჩათვლით) autorun.inf რომელიც არანაირად არ იშლება (ამის შესახებ სადღაც მეწერა, პრობლემა მეგონა) თუ თვითონ ამ პროგრამიდანვე არ მია-cancel-ე, ხოდა ამის შემდეგ ვერანაირი autorun.inf ვერ იწერება დრაივზე, რადგან ეგ სახელი დაკავებულია უკვე (IMG:style_emoticons/default/smile.gif)
განსაკუთრებით კრიტიკულია ეს USB ბრელოკებისთვის, რადგან ისინი "მოგზაურობენ" კომპიდან კომპზე და შეიძლება რამე შეეყაროთ და მერე შენ კომპსაც გადასდო

[domen]

უ ჩ ა
ფილმებს გადმოუწერლად ხომ არ უყურებ ხოლმე?

[უ ჩ ა]

Bekward
გამოვაჩინე დამალული ფაილები და კასპერსკი ლაბის საქაღალდე იყო გატენილი 7 გეგაბაიტით, ხოდა ამოვშალე, კასპერსკიც გავაინსტალირე და ეხლა ნოდს დავაყენებ აბა თუ გამომივა რამე.

მადლობა.


gi0_kiborg
აუ ეს სკრიპტი როგორ უნდა გავუშვა აზრზე არ ვარ. (IMG:style_emoticons/default/sad.gif)

USB Disk Security ეხლა ეს პროგრამა გადმოვწერე. ნოდით გავწმინდავ ყველაფერს და მაგ პროგრამასაც დავაყენებ მერე და დისკის იმუნირების ფუნქცია თავისით ექნება ჩართული თუ მე უნდა ჩავურთო?

დიდი მადლობა ყველას. გაიხარეეეთ.

[gi0_kiborg]

უ ჩ ა
უბრალოდ რომ გაიხსნება ეგ სკრიპტი ბრაუზერის ფანჯარაში save as მიეცი და სადმე შEინახე, მერე კი ორჯერ კლიკი და ვსიო- OK, OK, OK გამოსულ ფანჯრებზე....
რაც შეეხება USB Disk Security-ს დააყენე, მერე გახსენი (საათთან ჯდება თრეიში-ორჯერ დაკლიკე ჩვეულებრივ) და გადადი USB Tools-ზე, მანდაა Acquire Immunity, დააჭირე და "აუცრის" ყველა დისკს ვინჩესტერზე და ასევე შეერთებულ ფლეშკებს,
მერე კი თუკი autorun-ით დაავადებულ ფლეშკას შეაერთებ გამოგიტანს ფანჯარას, სადაც მითითებული იქნება ინფიცირებული ფაილები, delete all-ით წაშლი, მოკლედ საჭირო რაღაცაა, სისტემასაც არ გრუზავს, ოღონდ ეგაა დისკის ყოველ ჩადებასა და USB-ს ყოველ შეერთებაზე გამოხტება ხოლმე ფანჯარა მიუხედავად იმისა დავირუსებულია თუ არა....

[უ ჩ ა]

gi0_kiborg
გონი მეშველა, თავიდან 5 ვირუსი ამომიგდო ნოდმა. მერე შენ როგორც მასწავლე ისე გავაკეთე ყველაფერი და გამოვიდა. (IMG:style_emoticons/default/smile.gif)

უი იმ სკრიპტს მოზილათი ვხსნიდი და იმიტომ არ იწერდა, მერე ექსპლორელით გადმოვცერე და გავუსჰვი ერთი სამჯერ. (IMG:style_emoticons/default/biggrin.gif)

მერე ნოდარაც მივახმარე. მერე დავერიე და ქვეყანა ჰიდდენ ფაილები ამოვშალე. მერე ქლინერითაც შევუტიე ყველაფერი მივწმინდ მოვწმინდე მერე კიდე დავასკანერე, გადავტვირთე და გონი უშველა, კარგადაც მუშაობს, ნოდიც არაფერს არ აჩვენებს.

მოკლედ გაიხარე შენა რა 1 თვეა ამ ვირუსს ვეჩალიჩები და ვერაფერი ვერ მოვუხერხე.

მადლობა. (IMG:style_emoticons/default/wink.gif)

ხო ის უსბ სექიურითიც დავაყენე და იმუნიზაციაც ჩავურთე.



მადლობა ყველას დახმარებისთვის.

[gi0_kiborg]

უ ჩ ა
არაფერს,
აწი თუ შეგემთხვა, იცი რაც უნდა ქნა

[Bekward]

უ ჩ ა
პრინციპში ეგეთ Autorun.inf მაიმუნობებს ჰაერში ტყ***ს ნოდი (IMG:style_emoticons/default/biggrin.gif)

[otosaxel]

Bekward

პრინციპში ეგეთ Autorun.inf მაიმუნობებს ჰაერში ტყ***ს ნოდი

რათ უნდა მაგ ვირუსებს ნოდი კასპერი თუ ათასი "კუ", უბრალოდ ვინდს გგამოოურტე აავტორანი და დისკები გახსენი მეორე წკაპი -> open, ეგაა და ეგ (IMG:style_emoticons/default/wink.gif) , ხო გამოღტვით არ გამორთოთ სერვიებიდან CD-ის ავტორანი, გამორთეთ gpedit.msc-დან Disable autorun-დან (IMG:style_emoticons/default/wink.gif) დააყენე Enable-ზე, და ქვემოთ აირჩიე ყველა მოწყობილობა (IMG:style_emoticons/default/wink.gif)

[Bekward]

otosaxela
ძალიან არ მხიბლავს ავტორანის სულ გამორთვა (IMG:style_emoticons/default/wink.gif) ამიტომ იმას თუ გავითვალისწინებთ, რომ ანტივირუსი მაინც საჭიროა არაა ანუ პრობლემა რომ მაგას ნოდის საშუალებით ვუშველე + ამას ეგ ვირუსი როგორც დავასკვენი მარტო მაგ ფაილით არ შემოიფარგლებოდა, ანუ დისკზე ყოველ მიმართვაზე ეშვებოდა რაღაც (დღემდე დაუდგენელი) და ქმნიდა დანომრილ exe ფაილებს Temp საქაღალდეში, ხოლო როცა რომელიმე პროგრამა ცდილობდა Temp-ის გამოყენებას იქ იწყებოდა ერთი ვაი უშველებელი (IMG:style_emoticons/default/laugh.gif)

[otosaxel]

Bekward

ძალიან არ მხიბლავს ავტორანის სულ გამორთვა

შენი გადასაწყვეტია (IMG:style_emoticons/default/wink.gif)

მიტომ იმას თუ გავითვალისწინებთ, რომ ანტივირუსი მაინც საჭიროა

ანტივირს ჩემ კომპში სულ 3-4ჯერ აქვს დაკნავილი, ერტხელ სხვათაშორის ვინდის მაქართულებელ UGT-ზე (IMG:style_emoticons/default/tongue.gif) (IMG:style_emoticons/default/laugh.gif) , ცოტა სიფრთხილეს + კონფიგს + ცეცხლოვან კედელს თუ დაურტავ ისეც გახვალ (IMG:style_emoticons/default/wink.gif)