* אזהרה: פוסט זה כולל מילות נאצה רבות, קללות עסיסיות ומינוחים טכניים.
קלי קלות להגן על המחשב בימינו, לא? אנטי וירוסים יש בשפע, פיירוולים לא חסר, תוכנות לניקוי תוכנות ריגול מוצעות בעשרות ומאות גירסאות והכל קל לשימוש וחינמי במקרים רבים.
קלי קלות, אה?
שטויות. באמת שטויות. בקטנה. זה לא כמו ב-1999, אז בקושי היה מידע על וירוסים ותוכנות ריגול, ותוכנות האנטי וירוס לא התעדכנו כמו שצריך. היום, בסוף שנות ה-2000, הרבה יותר קל לנקות מחשב מווירוסים, והכל אוטומטי.
זה מה שאתם חושבים. לא הייתם אומרים את זה לו הייתם מבלים איתי את כל שעות הבוקר והצהריים, במאבק איתנים מול אחד הווירוסים המנוולים ביותר שבהם נתקלתי בשנים האחרונות.
לא ברור איך הגיע הווירוס למחשב האומלל (המחשב אינו שלי, למי שתהה), אבל הוא התאכסן לו שם בכיף, התחזה לתוכנת אבטחה שמתריעה שיש 348 וירוסים במחשב בכל רגע נתון, החליף את רקע שולחן העבודה לאזהרה מפחידה, והקפיד לשגר את הדפדפן לאתרי מכירת תרופות מרשם בכל כמה דקות, וגם להביא ל-Blue Screen מדי פעם, בשביל הגיוון.
לא, אני לא יודעת איזה וירוס זה היה, או שמא היה מדובר בתוכנת ריגול מזדיינת, שילוב של שניהם, תולעת או טרויאני. בשלב הזה, כשהמחשב במצב קטטוני מתקדם, אין זמן לדקויות כמו "מי האויב". פשוט יוצאים למלחמה.
בשלב הזה עוד הייתי אופטימית. "2 קליקים ב-Hijack This ומקסימום קצת ניקורי רג'יסטרי ואנחנו מסודרים", חשבתי לעצמי. "אחר כך נתקין אנטי וירוס חדש, כי הישן כבר לא מתעדכן, ונעדכן לפיירוול חדש יותר ושלום על ישראל".
איזה שלום, איזה ישראל ואיזה עמה.
2 קליקים ב-Hijack This אכן העלימו את בן הזונה מה-System Tray והיה נראה שהתהליכים שלו הפסיקו לעבוד ברקע. הצלחתי להחליף בחזרה את הדסקטופ, אבל נראה היה שחיבור האינטרנט הפסיק לעבוד. ניסיתי להיכנס לרג'יסטרי וללקט שאריות, אבל לחרדתי גיליתי שהמניאק חסם את הגישה ו-regedit פשוט לא עובד, לא משנה מה עשיתי. המתבקש היה לעלות ב-Safe Mode אבל גם את זה לא הצלחתי לעשות, כנראה בגלל סיבות שקשורות למקלדת.
התקנתי את האנטי וירוס והפיירוול של Comodo (עד לאותו רגע היה AVG במחשב), אבל אחרי ה-restart הם פשוט סרבו לעבוד. זה, ביחד עם נטרול ה-regedit, גרם לי לחשוב שמדובר ברוטקיט, אבל שתי סריקות של שתי תוכנות אנטי-רוטקיט שונות העלו חרס. אז זה לא רוטקיט, זה וירוס שכנראה חוסם אנטי וירוסים מסוימים.
התחלתי להתעייף והתקנתי AVG חדש, שלשמחתי התקנתו אינה דורשת הפעלה מחדש של המחשב. 3 סריקות בכל מיני דרגות לא מצאו שום וירוסים. רק Tracking Cookies לא מעניינות בעליל ואיזה טרויאני מדומה שבכלל לא היה קשור לכלום.
איכשהו גם הקומודו התחיל לעבוד, אבל גם הוא לא מצא כלום. חוץ מזה, ריסטארט אחד אחר כך, לא היה כבר זכר לקומודו. ה-AVG שרד אבל היה חסר תועלת. וכך נותרתי עם regedit שלא עובד, חיבור אינטרנט שעושה צרות וחתיכת טינופת וירטואלית שעדיין מסתובבת במחשב. Ad Aware, אם אתם תוהים, גם כן לא מצאה בעיות במחשב. באמת, הכל בסדר.
בניסיון נואש להימנע מ-System Restore, הרצתי את Malwarebytes Anti-Malware – תוכנה לחיסול תוכנות ריגול, שעובדת די טוב בדרך כלל. הפלא ופלא – היא אכן מצאה 90 ערכים ששונו ברג'יסטרי (משהו שלא הייתי יכולה לעשות בעצמי, כי לא היתה לי גישה לרג'יסטרי) ומחקה אותם בזריזות. פתאום היתה לי גישה לרג'יסטרי והיתה תקווה באופק.
נהדר!
מה, נהדר, מה? קיבינימט! זה מה.
ריסטארט אחד לאחר מכן, חזר המצב לקדמותו. במילים אחרות, Malwarebytes מצאה את הערכים ששונו, אבל לא את הבן אלף זונות שמשנה אותם, וככה היינו יכולים להמשיך לנצח – ניקוי, ריסטארט, ניקוי, ריסטארט, ad infinitum.
בשלב זה כבר שקלתי לשרוף את המחשב, כדי לטהר אותו מהזוהמה שדבקה בו, אבל מאחר שהוא לא היה שלי, ניסיתי לשמור על שלוות נפש, בעודי מקללת ב-3 שפות שונות, אבל בשקט.
כל הברדק הזה הזכיר לי סיוט שתקף אותי מתישהו בסוף שנות ה-90, עת השתלטה לי על המחשב תוכנת ריגול. לא היה אז SpyBot ולא שום דבר שדומה לזה, והייתי צריכה למצוא, לנטרל ולהרוג את הכלבה ידנית. וזה באמת מה שעשיתי, בעזרת תוכנה קטנה, עתיקה וגאונית שנקראת Regmon. התוכנה הזו עוקבת אחרי כל מה שמתרחש ברג'יסטרי בזמן אמת וצריך להיות מאוד נואש כדי לרצות להשתמש בה, כי היא רצה במהירות הבזק ולא פשוט להבין מה הולך שם.
התקנתי את התוכנה.
וכמובן, כלום לא קרה, כי הווירוס, יימח שמו ושם זכרו אמן, חסם אותה גם כן. בטקטיקה משולבת של Malwarebytes והימנעות מריסטארט, הפעלתי את Regmon והתחלתי לנסות להבין מה קורה. למזלי, הווירוס הטרויאני הזה לא טרח להסוות את עצמו יותר מדי – הוא פשוט קרא שוב ושוב לערך ברג'יסטרי שקשור ל-dialer של Windows. היה לי ברור לגמרי שאין סיכוי שמדובר ב-process לגיטימי, והעפתי אותו באלימות מהמחשב. כן, כן, ב-delete ידני פשוט ולא מתוחכם, משל היינו בעידן Windows 98, ולא בסוף העשור הראשון של המאה ה-21.
וכך, אחרי שעות ארוכות של מאבק מתיש, פתאום הכל התחיל לעבוד כמו שצריך. כמובן שבדרך עוד הגזמתי בהגדרות של הפיירוול החדש, וגרמתי לכל התוכנות של Adobe להפסיק לעבוד (עוד 20 דקות של עצבים), אבל בקטנה. שטויות. קלי קלות.
איזה מזל שיש אנטי וירוסים, מסירי תוכנות ריגול, אנטי רוטקיטס ומנקי מחשב אוטומטיים כאלה. מה הייתי עושה בלי האינטליגנציה המלאכותית המקסימה שלהם. אני יודעת! הייתי מוצאת את ה-process ידנית ומוחקת אותו! אבל איזה מזל שאנחנו ב-2009 ולא צריך לעשות דברים כאלה היום.
מזל. באמת מזל.
כוסאמק.
אני חייב לומר לך שיש היום כאלה שגם באמצעים שהשתמש לא היית מצליחה להסיר, כמו למשל ה-Mebroot שגרסאות שלו משנות את ה-MBR וכאשר אנטיוירוס בודק את תקינות ה-MBR, הן מספקות תשובה מזויפת.
בכלל, אני חושב שבמצב אופטימלי, נוכל להתקין מחשב מאימג' מבלי לפגוע בכלום מקבצי הנתונים, ומי שמתקין מידי פעם מחדש יכול להיות מסוגל גם לשחזר מהר ולחזור שבוע אחורה בלי נזק.
אבל זו אוטופיה לא רלוונטית, גם אני לא כזה מסודר.
אני חושבת (ומקווה) שתוכנות כמו regmon מספקות גישה ישירה ובלתי אמצעית לרג'יסטרי ולכן מראה לי מה התהליכים הזרים שרצים שם.
זו כמובן לא האופציה הדרסטית ביותר – האופציה הדרסטית ביותר היא פרמוט או שחזור מערכת, אבל המטרה היא להימנע מהאופציות האלה כמה שאפשר.
גם אני לא כזו מסודרת, ובדרך כלל המחשבים שאני מטפלת בהם עוד פחות מסודרים מזה. אימג'ים, עלק 🙂
אני מאד אוהב את http://www.ccleaner.com/
אבל כמובן שלא יכול להבטיח שהיה פותר את הבעיה במקרה הזה.
או, הצחקת את הווירוס הזה. CCleaner הוא אחלה לניקוי המחשב מקבצים מיותרים, אבל כאן הוא היה ככוסות רוח למת. הווירוס הצליח למנוע גם ממנו גישה לרג'יסטרי והפך גם אותו לדי חסר תועלת. שכחתי לציין את זה בפוסט, תודה שהזכרת לי 😛
אגב, לא מזיק לדעת כיצד לתת הרשאות באמצעות פקודות CACLS כדי לשחרר חסימות הרשאות של וירוסים, ולפעמים הפתרון יכול להיות מחיקה של קבצים באמצעות הפעלת המערכת מ-livecd יוניקסי כלשהו (שמותקן על CD או USBdisk). לפעמים מחיקה של קבצי ההפעלה של הוירוס פשוט לא יאפשרו לו לעבוד – זה כמובן יקרה רק לאחר שמצאת את החרא הקטן…
היה מרתק לצפות. היו פעמים שחשבתי שהווירוס ינצח, כשראיתי את רויטל כמעט מתייאשת, אבל בסוף הטובים (כמעט) תמיד מנצחים. ללא ספק זה היה קרב ענקים, שראוי להיכנס לרשימת הדו-קרבים הטובים ביותר בתולדות הקולנוע.
http://revitalsalomon.blogspot.com/2008/12/top-10-duels-and-fight-scenes-in-movies.html
מה, אתה חי בסרט??? 😛
YES!!!!
http://www.youtube.com/watch?v=-5evI3DC3Ag
הלו, בלי פרסומות-שאינן-בתשלום בבלוג הזה!
שלום רויטל, רציתי לשאול האם לדעתך זה נכון שבלינוקס אין את הדברים האלה, כי המערכת מאובטחת יותר (צריך הרשאה כדי לשנות דברים וכו')?
לגבי הרג'יסטרי, זה כנראה חסרון גדול של windows. זה גם מאפשר לוירוסים להרוס את המחשב, וגם כשאין וירוסים אז עם הזמן המערכת הופכת לכבדה ואיטית.
מה דעתך?
יש לי לינוקס על אחד מהמחשבים הניידים שלי, ולמרות שאין עליו וירוסים, אני חייבת לציין שזו מערכת לא נוחה, קשה לשימוש ובהחלט לא מוכנה לשוק של המשתמש הממוצע. וגם – אין מספיק משחקים שווים. אז עם כל הרצון הטוב, בינתיים נשארים בווינדוז.
[…] הטוקבקים הספאמיים מציעים לינק לאתר שמתיימר להיקרא "PornTube 2.0″, אבל הוא למעשה אתר שכל תכליתו הוא להדביק את המחשב שלכם בתוכנת ריגול זדונית וקשה להסרה. מי שנכנס לאתר המזויף ומקליק על משהו, מקבל הודעה שעליו להתקין גירסה חדשה של פלאש. הלינק, כמובן, אינו מוביל לאתר של אדובי, אלא מוריד למחשב את תוכנת הריגול, שהמאפיינים שלה נשמעים, באופן חשוד למדי, דומים מאוד לזה של התוכנה המרושעת בה נלחמתי במהלך השבוע. […]
נשמע כמו הבן זונה שהתגנב לי למחשב אי שם בשלהי 2007. כל התוכנות העלו חרס ובסוף הזעקתי ידיד טכנאי מחשבים שילחם בזבל הזה במקומי. אני לא זוכרת מה הוא עשה בדיוק, אבל אחרי כמה שעות הקרב סוף סוף הוכרע והוירוס הובס. מאז אני שומרת טוב טוב על המחשב.
תודה על המידע המועיל.
נתקעתי גם אני עם אחד כזה שחסם את הרגיסטרי, וגם את רגמון כמובן, ועם Malwarebytes הצלחתי למחוק אותו (בזכותך). הוא לא חזר אחרי ריסטארט, והרגיסטרי פתוח, אבל הדפדפן איטי מאד מאז וזה לא השתפר במאום, יש מה לעשות?
ושוב תודה רבה
באיזה דפדפן אתה משתמש?
באקספלורר, כמו כל השמרנים.
יכול להיות שצריך להסיר ולהתקין מחדש. בתור התחלה, אני מציעה לך להוריד פיירפוקס או אפילו כרום – ולנסות להשתמש בהם ולראות איך הולך לך.
regmon היא תוכנה טובה,
אבל בד"כ עדיף לפני כל דבר להתחיל עפ process explorer, ועם tcpview, ולראות לאן מתקדמים.
מה שעצוב ונכון הוא, שכותבי הרושעות, עושים מאמצים גדולים, להסתיר אפילו משתי התוכנות הנ"ל את עצם קיומם. בסופו של דבר קורה לפעמים, שגם אחרי שהסרת את הוירוס, אין לך שום בטחון שלא נשאר ממנו כלום על המחשב.
יש היום תוכנה שנקראת COMBOFIX בד"כ עובדת למעט היום
אבל יש לה אזהרה אחריות על המשתמש כי היא יכולה להיות יסודית מדי
כן, גם לי זה קרה, גם לי זה עלה בבריאות.
הפיתרון? לינוקס (יש מערכות ידידותיות מאוד!) או פירמוט.
אני חייב להודות שבעשר דקות הראשונות כשזה קרה לי צחקתי נורא חזק, כי גם לי הוא החליף את הרקע של השולחן עבודה לאיזו גולגולת-כאילו-מאיימת.
אני הפסקתי לצחוק אחרי איזה רבע שעה.
פרמוט היה מוצא אחרון בלבד. לינוקס לא רלוונטי במקרה הזה, מכיוון שיש שם צורך בתוכנות גרפיות של אדובי, ותכלס גם אני לא מצפה מגרפיקאית ללמוד לעבוד עם לינוקס בגלל איזה וירוס.
בסוף נפתר, ולא היה צריך לפרמט, אז לא נורא.
אני מציע כמו שרויטל אמרה יכול להיות שצריך להסיר ולהתקין מחדש רעיון בן זונה וגם הצלחתיולא היה צריך לפרמט תודה לאתר הטוב הזה