რაღაც ვირუსი?, რახდება? პარამეტრები

[rudi]

მოკლედ კომპში მყავს რაღაცა ვირუსი რომელიც ანელებს კომპიუტერის მუშაობას და ინტერნეს (ზოგჯერ ისე რომ საიტებზეც ვეღარ შევდივარ)თავიდან ინტენეტის გამო მეგონა გადავედი ლინუქსში და ყველაფერი კარგად მუშაობდა. შემდეგ რეესტრის შემოწმება დავიწყე და სტარტაპზე მივაგენი ესეთ რაღაცას:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> ghistpb.dll

ეს ghistpb.dll იმყოფება C:\\WINDOWS\\system32-ში. ვიფიქრე წავშლი რეესტრიდან და ეშელება მეთქი. წავშლე მაგრამ რესტარტის შემდეგ ისევ გაჩნდა:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"b0dc5537"="rundll32.exe \"C:\\WINDOWS\\system32\\aghistpb.dll\",b"

+ უსაფრთხოების რეჟიმშიც ირთვება.

რაუნდამექნა ჩემი ფართიშენები დავაფორმატე. ინსტალაია მოღჩა თუ არა შევედი msconfig ში და იგივე ვირუსი დამხვდა სტარტაპზე.
ზუსტად იგივე. არადა ყველა ფართიშენი დაფორმატებული მქონდა ( განულება არ იგულისხმოთ).




უკვე აღარვიცი რა გავაკეთო. ერთი ვარიანტი დარჩა მგონი ეს ვირუსი ქსელიდან ვრცელდება. ღმერთო მიშველე ინტერნეტი 6 კაშI მაქვს. ეხლა ყველასთან უნდა წავიდე და შევუმოწმო სტარტაპზე უზის თუ არა ეს ვირუსი. ეს DLL ფაილიც წავშალე მაგრამ არაფერი წესტარტის მერე ისევ ჩნდება. rundll32.exe ს ხომ არ წავლი კაცო.... ვინმეს ესეთ ვირუსთან შეხება არ გქონიათ?


მგონი ვირუსი ქსელიდან ვრჩელდება. ახალ ვინდიკაზე აბა სხვა შანსი არ იყო. + ფართიშენებიც დაფორამტებული მქონდა. თუ ვდებით მითხარით.


------------------------------------------------------------------------------------------------



ხოო ამწამს ეს ვირუსი რაღაცნაირად ანტივირებით დავბლოკე მაგრამ მეორე პროლემა გაჩნდა...( ეს ჩემი მეორე ფოსტია. უბრალოდ ფორუმმა პირველს მიაწება)



ეხლა პროცესორმა დაიწყო 100% იანი მუშაობა. ინტერნეტის კაბელი გამოვაძრე და მაინც იგივეს შვება. სტარტაპზე უკვე აღარაფერი არ ზის. ის ვირუსები ძლივს დავბლოკე ანტივირით.(ჯერჯერობით სტატაპზე აღარ ჯდება)

tasklist

პროგრამული კოდი

Image Name                   PID Session Name     Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0        212 K
smss.exe                     432 Console                 0        372 K
csrss.exe                    488 Console                 0      3,720 K
winlogon.exe                 512 Console                 0      1,720 K
services.exe                 556 Console                 0      3,800 K
lsass.exe                    568 Console                 0      2,236 K
svchost.exe                  744 Console                 0      4,576 K
svchost.exe                  792 Console                 0      3,968 K
svchost.exe                  856 Console                 0     15,188 K
svchost.exe                  904 Console                 0      3,160 K
svchost.exe                  988 Console                 0      4,328 K
explorer.exe                1232 Console                 0     13,084 K
spoolsv.exe                 1320 Console                 0      4,292 K
egui.exe                    1464 Console                 0      5,560 K
ekrn.exe                    1584 Console                 0     29,544 K
wscntfy.exe                  232 Console                 0      1,912 K
alg.exe                      452 Console                 0      3,372 K
taskmgr.exe                  932 Console                 0      1,724 K
IEXPLORE.EXE                1580 Console                 0     22,892 K
msconfig.exe                1888 Console                 0      4,036 K
notepad.exe                 1820 Console                 0      2,824 K
cmd.exe                     1656 Console                 0      2,436 K
tasklist.exe                 820 Console                 0      4,192 K
wmiprvse.exe                1880 Console                 0      5,444 K

თუ ქსელში არის რაღაც პროცესი ინტენეტის კაბელის გამოძრობის შემდეგ უნდა გამოსწორებულიყო. კარი ვირუსები რაღაცნაირად დაბლოკილი არის. ეგ აღარაა პრბობელმა მაგრამ პროცესორის 100% იანი მუშაობა რას დავაბრალო? დრაივერებიც არ დამიინსტალირებია ჯერ. თასქლისტშიც არაფერი ჩანს უცხო. თუთქოს ყველაფერი კარგად არის.



მოკლედ აღარც სტარტაპზე აღარაფერია აღარც სერვისებში. + არც ინტერნეტის კაბელის გამოძრობა შველის. ესეიგი ქსელის ბრალი არაა.

[oracle]

spoolsv.exe 1320 Console 0 4,292 K
egui.exe 1464 Console 0 5,560 K
ekrn.exe 1584 Console 0 29,544 K

ეს რა პროცესებია? არ გეეჭვება???

ეგ აღარაა პრბობელმა მაგრამ პროცესორის 100% იანი მუშაობა რას დავაბრალო?

Task Manager-ში ნახე კონკრეტულად რომელი პროცესი ტვირტავს კომპიუტერს. (CPU Usage)

[rudi]

oracle

ეგენი ვიცი რეებიც არის. საეჭვო არაფერი არაა პროცესებში (IMG:style_emoticons/default/wink.gif)

[da_ta]

rudi

ერთი ვარიანტი დარჩა მგონი ეს ვირუსი ქსელიდან ვრცელდება. ღმერთო მიშველე ინტერნეტი 6 კაშI მაქვს.

შენც ქსელის ქაბელი მოაცილე და ისე დააყენე ვინდოუსი და ნახე ვირუსი ისევ იქნება ტუ AღA....

თუ მაშინ საინსტალაციო შეამოწმე, სანდო არის?...

[oracle]

საეჭვო არაფერი არაა პროცესებში

საეჭვოს არ გეუბნები, ყველზე მეტად რომელი პროცესი ტვირტავს CPU-ს

[rudi]

oracle
ეს ვირუსი პროცესებთან კავშირში არ ყოფილა. თურმე მართალი ყოფილხარ. egui.exe 1464 Console 0 5,560 K ეს არის ანტივირუსი ნოდატას პროცესე. სერვისებიდან გავთიშე და ამუშავდა.


ხო ისიც მეგონა რომ ვირუსი დავბლოკე მაგრამ დღეს ნახეთ რა ვიპოვე.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"BMb3ef66ab"="Rundll32.exe \"C:\\WINDOWS\\system32\\ncbfytjd.dll\",s"
"b0dc5537"="rundll32.exe \"C:\\WINDOWS\\system32\\puedisus.dll\",b"


ისევ ჩაჯდა ეს ვირუსები სტარტაპზე. გუშინ კი არ იყო. იქნება ჯაჯა მ მირჩიოს რამე.


გუგლშივ ვერაფერი ინფო ვერ ვიპოვე ამ ვირუსზე.

[rudi]

da_ta


აზრი მერე მაგისი რა არის? ინტრნეტის კაბელს შევაერთებ და მაინც ხომ გაჩნდება. ფაირვოლოც ხომ არ დავაყენო მაგრამ ეგ რას უშველის....

მოკლედ ვინმეს თუ შეუძლია დამხარება დაწერე აქ. იმედია ჯაჯა ნახავს ამ ფოსტს. ან გიენა.

[oracle]

BMb3ef66ab"="Rundll32.exe \"C:\\WINDOWS\\system32\\ncbfytjd.dll\",s"
"b0dc5537"="rundll32.exe \"C:\\WINDOWS\\system32\\puedisus.dll\",b"

ეს ფაილები იპოვე და დაბრიდე და ეგ იქნება.

[rudi]

oracle

ჩემი პირველი ფოსტი წაიკითხე. (IMG:style_emoticons/default/smile.gif) იქ მიწერია რომ რომ წავშალე მაინც გაჩნდა მეთქი. ეხლა რეთ ჰათზე ვზივარ ვინდიკაში ვერ ვამუშავებ ინტერნეტს.
მოკელდ ისევ მე მივხედავ ყველაფერს. როგორც ჩანს ვერავინ ვერ მეხმარება.

[da_ta]

rudi

აზრი მერე მაგისი რა არის?

ის აზრი არის, რომ გაარქვევ ქსელიდან ვრცელდება ტუ არა... (IMG:style_emoticons/default/wink.gif)

და საინსტალაციო არის სანდო? დაგიყენებია წინად და პრობლემა არ გქონია?

[სტუმარი "otosaxel"]

rudi
გვერძე თთემიდან გადმოწერე SP_2-ის VLK ვერსია, ის გაბარნე და ინტერნეტის შეერთების გარეშე ჩაწერე, მერე ნეტიც შეუერთე თუ ისევ Gაჩნდება ნეტის ბრალია და ბრაუმანდირი დააყენე, თU არადა საინსტალაციოს ბრალი იყო

[da_ta]

otosaxel

ბრაუმანდირი

კი არა ბრანდმაუერი (IMG:style_emoticons/default/tongue.gif)

[rudi]

ბრანდმაუერი რა არის? პ.ს საინტსლაციო პაკეტი ჩვენი საიტიდან კომპინფოდან გადმოვიწერე. დატესტილი მაქვს აკრგადაა. აღარ შემიძლია გუშინ წავლლე და დღეს რეესტში ახალი სახელით ჩაჯდა+ ანტივირებიც ვერ იჭერს. არვიცი რა რაღავქნა. ესეთI რაღაცა ჯერ არ მინახია.

[da_ta]

rudi

ბრანდმაუერი რა არის?

ფაერვოლი...

დატესტილი მაქვს აკრგადაა. აღარ შემიძლია გუშინ წავლლე და დღეს რეესტში ახალი სახელით ჩაჯდა+ ანტივირებიც ვერ იჭერს. არვიცი რა რაღავქნა. ესეთI რაღაცა ჯერ არ მინახია.

ნეტი გამოირიცხა?

მაინც დავაზუსტოთ: ვინდოუსის გადაყენების მერე ყოველგვარი პროგრამის ან დრივერის გარეშე ამოწმებ მაგას?

ვიფიქრე წავშლი რეესტრიდან და ეშელება მეთქი.

და თვითონ ფაილი არ წაგიშლია? რეესტრიდან წაშლაში რას გულისხმობ?

[rudi]

პრობლემა მოვაგვარე უკვე. თემა დახურეთ ან წაშალეთ.



პ.ს შენს დასმულ შეკითხვებს პასუხს მაინც გავცემ

1 ვინდოუსის გადაყენების მერე ყოველგვარი პროგრამის ან დრივერის გარეშე ამოწმებ მაგას?

პასუხი YES




2 და თვითონ ფაილი არ წაგიშლია?
კი რეთ ჰათზე გადავედი და იქიდან წავშლე მაგრამ ყოველი რესტარტის შემდეგ ჩნდებოდა ახალი DLL ახალი სახელით.
ანუ ინფიცირებული იყო ერთერთი ფაიი რომელიც იმყოფებოდა სყსტემ 32 ში. 3 საათიან ინტერველებში ეს ვირუსი იწყებდა მოქმედებას ანუ გამრავლებას და რეესტრზე ჩაჯდომას. მაგრამ უკვვე უველაფერი მოვაგვარე. (IMG:style_emoticons/default/smile.gif) დრო თჲ მექნება ამ ვირუი საწინააღმდეგო ვირუსსაც დავწერ (IMG:style_emoticons/default/smile.gif) მადლობა ყბელას თემა დახურეთ(IMG:style_emoticons/default/smile.gif)

[da_ta]

rudi

პრობლემა მოვაგვარე უკვე.

ბარემ დაგეწერა როგორ მოაგვარე. (IMG:style_emoticons/default/smile.gif)

[უ ჩ ა]

აუ ჩემ კომპსაც დაახლოებით მასეთი პრობლემა ჭირს.

win32 თუ რაღაც ვირუსი შეეყარა.

სისტემა გადავაყენე მაგრამ არ უშველა. მერე კასპერსკი დავაყენე და გავწმინდე და ჩვეულებრივად მუშაობდა.

მარა როგოც კი გამოვრთავდი ეგრევე ც დისკიდან მაგ ვირუსს მიგდებდა ისევ რაღაც win 32 temp თუ რაღაც მაგნაირი.

მერე შევეშვი, ეს კასპერსკი დავტოვე და ჩვეულებრივად ვმუშაობდი ეს 2 კვირაა, მარა თურმე რავიცი საიდან ც დისკი თავისით ივსება ერთი 4 გეგაბაიტი თავისით შეივსო ამასობაში. საიდან როგორ ვერ მივხვდი. 200მეგაბაიტს ქვემოთ რომ ჩამოვიდა დისკზე საკმარისი ადგილი არააო და რო დავაკვირდი ნელა ნელა ეს 200 მეგაბაიტიც ჩამოილია და ეხა სულ განოლლდა გატენილია დისკი.

ეს მიკვირს რა პონტში შეივსო რა.

სისტემას კი გადავაყენებ მაგრამ თუ ერთ კვირაში ისევ შემევსება რა აზრი აქვს. (IMG:style_emoticons/default/laugh.gif)

თან იცით რაა სანამ კასპერსკის ჩავრთავდი გონი დისკი არ ივსებოდა გონი კი არა არ ივსებოდა აშკარად.

აუ ისე ვობოდიალე და ისე დავწერე გონი ვერაფერს ვერ გაარკვევთ. (IMG:style_emoticons/default/sad.gif)

[Bekward]

ნოდი დააყენე (IMG:style_emoticons/default/wink.gif) კასპერსკი მეყენა და ყუყივით იჯდა, არადა რაღაც ვირუსი ხნავდა ტვინს, რაღაც დანომრილი exe ფაილები ჩნდებოდა Temp საქაღალდეში და როცა რამე პროგრამა იწყებდა მიმართვას მაგ პაპკაზე კივილს იწყებდა + რაღაც Autorun.inf ფაილი იჯდა C-ზეც და D-ზეც, და რეესტრში იჯდა ასევე winservices.exe რომელიც იყო მთავარი გმირი როგორც აღმოჩნდა, ვთიშავდი და ისევ თავისით ირთვებოდა, მოკლედ ყურადღებას რომ არ მივაქცევდი Temp პაპკა გაძეძგილი მხვდებოდა, დასკვნა დამპალი კასპერსკი სპეციალურად მალავდა აშკარად, ნოდი ეგრევე აკივლდა, მიაკარანტინა და ამოვისუნთქე.

[უ ჩ ა]

მადლობა გაიხარე. აბა ეხლა დავაყენებ ნოდს და ვნახოთ რას იზავს.

temp ფაილი ეხლა ვნახე და არაა გადაძეძგილი. ვინდოუსის საქაღალდე ჩვეულებრივ ორნახევარი გეგაბაიტია დაახლოებით.

მარა აი document and settingსჰი რომ შევდივარ ორი საქაღალდეა all users და Saxli ანუ ჩემი კომპის საქარალდე რა.

და აი ეს all users-ი არის 7 გეგაბაიტამდე. არადა შიგნით რომ შევდივარ 4 საქაღალდეა და 1 მეგაბაიტზე მეტი არცერთი არაა და გარედან ამხელა ზომა რატო აწერია გარედან ვერ ვხვდები.

ალბად შენ როგორ თქვი მასეთი პონტია და ეს ვირუსი ამ პაპკას ძეძგავს რა ფაილებით, მარა რატო ვერ ვნახულობ რეალურად იმ ფაილებს ნეტა?

[otosaxel]

უ ჩ ა
კაროჩე LiveCD-ით ჩაითვირთე, იქიდან C: დიკი დააფორმატე, გამოაჩინე დამალული ფაილები და სხვა დისკბზე წაშალე Autorun.inf ფაილები და ასევე სხვა რამე მოვირუსო რაც დაგხვდება.
მნიშვნელოვანია დისკები არ გახსნა ორი წკაპით
ამის მერე დააყენე ვინდი დალშე არ შეხვიდე სხვა დისკებზე გადაატარე რამდენმე ანტივირი და ერთი გადაყნებაც და ეგაა, რაც შეეხება კასპერი თუ ავსებს ვინტს, მაგის გარკვევა ადვილია, წაშალე კასპერაში ლოგები და ნახავ თუ გამოტავისუფლდა ეგ იყო და თუ ეგაა რაღაც მარტლა გიზის (IMG:style_emoticons/default/wink.gif) , მაგდენ ლოგს რომ წერს კასპერი (IMG:style_emoticons/default/wink.gif)