אשכול 12992

galxi

16.04.0822:05

מדריך להפעלת המחשב במצב בטוח למרות שווירוס לא מאפשר

ערכתי לאחרונה בתאריך 16.04.08 בשעה 23:23 בברכה, galxi

אחד המצבים שפשוט יכול להטריף זה כאשר נפגעים בווירוס קשה כגון Beagle
התוצאה היא שקבצי EXE נפגעים ולא ניתן להתקין תוכנות לסריקת מזיקים. האנטי ווירוס מושבת ומנוטרל כולל NOD32 (לאילו שחושבים שהוא חסין).
כל ניסיון להתקין אנטי ווירוס אחר או תוכנה לניקוי מזיקים נקבל את השגיאה "not valid win32 appicalation"
לא ניתן להשתמש בשחיזור מערכת .
לא ניתן להעלות במצב בטוח.
גם ניסיון לעלות עם דיסק איתחול ברוב המקרים נכשל.
אי אפשר בכלל לזהות אותו במנהל המשימות גם עם תוכנות מתקדמות כמו What's Running ו- process e
הווירוס שם את עצמו במחשב בתיקייה של הדרייברים בתוך תיקיה מוסתרת שאי אפשר לראות (גם אם אופציית ראה קבצים מוסתרים מאופשרת)
בקיצור רבים יכנעו ויפרמטו אבל יש פיתרון ושווה לנסות ליפני

קודם כל צריך לסדר את ה-Safe mode כי הוירוס לא רץ שם, את זה עושים עם תיקון לערכים ברג'יסטרי. פשוט מורידים את הפאץ מכאן

http://www.didierstevens.com/files/?...

ולוחצים שם דאבל קליק על הקובץ: SafeBoot-for-Windows-XP-SP2.reg - ולוחצים yes.

שימו לב! הפאצ' יעבוד רק עד ה-restart הבא... כי אז הוירוס שוב הורס את ה-Safe Mode.

אחר כך צריך להוריד את התוכנה שיודעת להסיר אותו...

ComboFix
http://download.bleepingcomputer.co?...

הבעיה היא שהוירוס מזהה את התוכנה כמשהו שמאיים עליו והורס את ה-EXE אז חייבים להפעיל אותה רק מה-Safe Mode.
אני ממליץ גם כשמורידים, אז להוריד אותה עם סיומת אחרת (doc או משהו) כדי שלוירוס לא תיהיה הזדמנות לזהות את ה-EXE ולהרוס אותו, מורידים בצורה הזאת...

http://www.upit.ws/uploads/9be88a57?...

אחרי ההורדה... עושים restart מפעילים ב-Safe Mode,מבטלים את שחזור המערכת

משנים חזרה את שם הקובץ של ה-Combofix ל-Exe,
מפעילים... ו... המחשב נקי

תזכורת אם קרה שעשיתם restart והמחשב לא עלה ב-Safe mode אז חייבים להריץ את הפאץ שמסדר את ה-Safe Mode שוב כי כשהוירוס עולה הוא הורס מחדש

אם הסתבכתם עם ההורדה... אפשר להוריד רגיל את הקובץ במחשב אחר ואז להעתיק אותו למחשב הנגוע עם Disk on Key או CD אבל רק ב-Safe Mode.
כעקרון התקיה שבה הוירוס שם את הקבצים היא
C:\WINDOWS\system32\drivers\down

עוד תוכנות ממולצות להתקנה וסריקה שוב רק במצב בטוח

UnHackMe תוכנה מעולה שיודעת להתמודד היטב עם סוגי וירוסים כגון Beagle

SmitfraudFix

trojan remover

מילות מפתח :

Safeboot , Beagle ,not valid win32 appicalation,

Trojan.PWS

Win32.Bagle.SUA@mm

Trojan.Downloader.Bagle.EX

Win32.Bagle.SUM@mm

Rootkit.Bagle.G

Win32.Beagle.FQ

Win32.Bagle.SUK

Win32.Worm.Bagle.ZKO

Win32.Worm.Bagle.ZKP

Trojan.Downloader.Bagle.FA

C:\WINDOWS\system32\drivers\down\1013046.exe
C:\WINDOWS\system32\drivers\down\103038359.exe
C:\WINDOWS\system32\drivers\down\103076968.exe
C:\WINDOWS\system32\drivers\down\103128609.exe
C:\WINDOWS\system32\drivers\down\1182671.exe
C:\WINDOWS\system32\drivers\down\14895328.exe
C:\WINDOWS\system32\drivers\down\14910734.exe
C:\WINDOWS\system32\drivers\down\14919625.exe
C:\WINDOWS\system32\drivers\down\14977375.exe
C:\WINDOWS\system32\drivers\down\15087890.exe
C:\WINDOWS\system32\drivers\down\15177671.exe
C:\WINDOWS\system32\drivers\down\15413343.exe
C:\WINDOWS\system32\drivers\down\15442046.exe
C:\WINDOWS\system32\drivers\down\15529343.exe
C:\WINDOWS\system32\drivers\down\164656.exe
C:\WINDOWS\system32\drivers\down\187546.exe
C:\WINDOWS\system32\drivers\down\192609.exe
C:\WINDOWS\system32\drivers\down\194640.exe
C:\WINDOWS\system32\drivers\down\218390.exe
C:\WINDOWS\system32\drivers\down\222453.exe
C:\WINDOWS\system32\drivers\down\223296.exe
C:\WINDOWS\system32\drivers\down\224265. exe
C:\WINDOWS\system32\drivers\down\225390.exe
C:\WINDOWS\system32\drivers\down\235093.exe
C:\WINDOWS\system32\drivers\down\23982593.exe
C:\WINDOWS\system32\drivers\down\24026468.exe
C:\WINDOWS\system32\drivers\down\24102046.exe
C:\WINDOWS\system32\drivers\down\245312.exe
C:\WINDOWS\system32\drivers\down\246140.exe
C:\WINDOWS\system32\drivers\down\247484.exe
C:\WINDOWS\system32\drivers\down\248296.exe
C:\WINDOWS\system32\drivers\down\257046.exe
C:\WINDOWS\system32\drivers\down\259843.exe
C:\WINDOWS\system32\drivers\down\269718.exe
C:\WINDOWS\system32\drivers\down\274171.exe
C:\WINDOWS\system32\drivers\down\276000.exe
C:\WINDOWS\system32\drivers\down\279375.exe
C:\WINDOWS\system32\drivers\down\279750.exe
C:\WINDOWS\system32\drivers\down\29693875.exe
C:\WINDOWS\system32\drivers\down\29723046.exe
C:\WINDOWS\system32\drivers\down\29776812.exe
C:\WINDOWS\system32\drivers\down\301421.exe
C:\WINDOWS\system32\drivers\down\301734.exe
C:\WINDOWS\system32\drivers\down\315125.exe
C:\WINDOWS\system32\drivers\down\318640.exe
C:\WINDOWS\system32\drivers\down\322687.exe
C:\WINDOWS\system32\drivers\down\329828.exe
C:\WINDOWS\system32\drivers\down\338375.exe
C:\WINDOWS\system32\drivers\down\349187.exe
C:\WINDOWS\system32\drivers\down\385609.exe
C:\WINDOWS\system32\drivers\down\431953.exe
C:\WINDOWS\system32\drivers\down\44387843.exe
C:\WINDOWS\system32\drivers\down\44411843.exe
C:\WINDOWS\system32\drivers\down\44472968.exe
C:\WINDOWS\system32\drivers\down\558250.exe
C:\WINDOWS\system32\drivers\down\59069671.exe
C:\WINDOWS\system32\drivers\down\59094718.exe
C:\WINDOWS\system32\drivers\down\591015.exe
C:\WINDOWS\system32\drivers\down\59155421.exe
C:\WINDOWS\system32\drivers\down\602984.exe
C:\WINDOWS\system32\drivers\down\633671.exe
C:\WINDOWS\system32\drivers\down\655406.exe
C:\WINDOWS\system32\drivers\down\73713484.exe
C:\WINDOWS\system32\drivers\down\73738609.exe
C:\WINDOWS\system32\drivers\down\73797906.exe
C:\WINDOWS\system32\drivers\down\769265.exe
C:\WINDOWS\system32\drivers\down\805453.exe
C:\WINDOWS\system32\drivers\down\816578.exe
C:\WINDOWS\system32\drivers\down\835796.exe
C:\WINDOWS\system32\drivers\down\88384109.exe
C:\WINDOWS\system32\drivers\down\88408734.exe
C:\WINDOWS\system32\drivers\down\88478796.exe
C:\WINDOWS\system32\drivers\down\903921.exe
C:\WINDOWS\system32\drivers\down\920718.exe

dr70	16.04.0822:59

1. התגובה לא רלוונטית לאור תגובה מס' 2 באשכול. בתגובה להודעה מספר 0

ערכתי לאחרונה בתאריך 16.04.08 בשעה 23:56 בברכה, dr70

לילה טוב,

galxi

16.04.0823:23

2. פשוט נילחץ לפני שסיימתי את המדריך (ל''ת) בתגובה להודעה מספר 1

ערכתי לאחרונה בתאריך 16.04.08 בשעה 23:24 בברכה, galxi

dr70	16.04.0823:55

3. הבנתי. תודה על ההסבר והמדריך המושקע. בתגובה להודעה מספר 2

לילה טוב,

ZiggyMan

17.04.0802:09

4. תודה רבה, נשמע יעיל בתגובה להודעה מספר 0

נקווה שלא ניתקל בו :\
[BR][BR]--- --- --- --- ---

דניס בליומין - Dennis7 , 1982-2002 הי"ד

GaTor

17.04.0812:39

5. תודה על המדריך,אבל יש גם פיקס שמתקן אותו בתגובה להודעה מספר 0

http://www.symantec.com/content/en/?...
להריץ במצב בטוח [BR]

david19

07.05.0802:03

12. מנסיון הפיקס הזה לא עוזר במקרה של BAGLE.GEN בתגובה להודעה מספר 5

שים לב שהפיקס הוא בשביל Beagle@mm

spidy

17.04.0813:46

6. תודה

בתגובה להודעה מספר 0

נסיך החלומות

02.05.0819:16

7. תודה גבר

בתגובה להודעה מספר 0

benitzhac

04.05.0800:33

8. רב תודות מדריך יפה

בתגובה להודעה מספר 0

BenQue

04.05.0817:19

9. תודה רבה!

בתגובה להודעה מספר 0

Omerr

06.05.0822:57

10. תודה רבה וכל הכבוד לך, רק שתי הערות: בתגובה להודעה מספר 0

אנא שים לב לאשכול החוקים:
https://rotter.name/cgi-bin/nor/dcb?...

ובייחוד לחוק הבא:

תמונות למדריכים - יש להעלות לשרת של הפורום בלבד.

אני רואה שלא העלית את התמונות לשרת הפורום. הסיבה שאנו מבקשים להעלות את התמונות לשרת הפורום בלבד היא שמהשרת הזה התמונות אינן נמחקות, ולכן משתמש שירצה לגשת אליהן בעתיד יוכל לעשות זאת. העלאת תמונות לשרת זמני תגרום לכך שהן ימחקו עם הזמן, וחבל.

אנא ממך, העלה את התמונות לשרת של פורום מדריכים. דבר זה נעשה בידי העלאה רגילה, פשוט דרך פורום מדריכים.

--------

להבא, על מנת להכין תמונות למדריכים, הייתי ממליץ מאוד להשתמש בתוכנה Snagit. זוהי תוכנה קלה מאוד לשימוש שמשפרת פלאים את מראה המדריך. להלן לינק למדריך שהכנתי בכדי ללמוד כיצד להשתמש בתוכנה ולהפיק ממנה את המירב:
https://rotter.name/cgi-bin/nor/dcb?...

קח זאת כהמלצה חמה לעתיד

מעבר לכך,

david19

07.05.0802:02

11. תודה רבה על המדריך :) גם אני נתקלתי בוירוס הנ''ל בתגובה להודעה מספר 0

אפ' כתבתי עליו סיפור מרתק לפני שבועיים
http://www.davidscomp.com/index.php?...

אתה מוזמן לקרוא.

ואגב, הוירוס מכניס את עצמו לעוד המון מקומות.
אלו שהזכרת בDOWN הם מספרים רנדומלים, תמחק אותם יצוצו אחרים בשמות אחרים.

והנה לינק מעולה בנושא באדיבות VISTA
http://antivirali.blogspot.com/2008?...
עם כלי שאמור לתקן את הוירוס.

אגב, אחרי שהורדתי את הוירוס אצלי המצב בטוח עדיין לא עלה,
עם הקובץ REG שהבאת, זה הסתדר יופי! אז

admin2000

26.05.0815:51

13. מה לגבי SP3 ? ה REG יעבוד גם עליו? בתגובה להודעה מספר 0

תודה

vista

30.06.0800:09

15. גם כן אמור לעבוד. אחלה מדריך ואחלה רעיון!

בתגובה להודעה מספר 13

Gh0sT_d0g

27.06.0816:23

14. תודה רבה, מדריך מעניין וברור

בתגובה להודעה מספר 0

כותרת:
תוכן:
סמיילים:	הצג

כותרת:
תוכן:
סמיילים:	הצג

העבר לפורום:
סיבה: