כשיש להם זמן, מה להגיד ואם עקבת אחרי הכללים (בעצם ... בדיוק כמו פה )).
לא תראה נקודה txtfile זה txtfile בלבד, אם אינך מוצא בלי נקודה אולי מחקו לך אותו. מיזוג פירושו double click על קובץ ה-reg בסייר ואישור השאלה "האם ברצונך למזג את זה וזה ב-registry" (אילוסטרציה).
מה שאמור לקרות כעת הוא שכשתקליק על איזשהו קובץ טקסט הוא יפתח ב-notepad כמו שקרה לפני החטיפה ובתקווה שמבלי להריץ כל מיני סוכני חשאי שמבצעים כל מיני פעולות ברקע בלי ידיעתך. באשר להשפעת מיזוג sa.reg, הוא אמור להשפיע על חיפוש משורת הכתובת של הדפדפן. לפני שאני מנסה הייתי מריץ שוב את HJT, ובוחן את ה-log שלו. אם מופיעות שם התיחסויות ל-sp.html ולקובץ dll בעל שם עלום, שוב מסיר, שוב מוחק, שוב מאתחל ושוב בודק, ואת כל זה עושה מבלי ש-IE או כל תכנית מיותרת אחרת פועלים, ומבלי שאני מחובר לרשת. אחרי כל זה, פותח את לוח הבקרה > אפשרויות אינטרנט, עובר ללשונית "הגדרות אבטחה" ולוחץ על הכפתור "ברירת המחדל", עובר ללשונית "תכניות" ולוחץ "שחזר הגדרות", מסיים בלשונית Advanced שם לוחץ על "שחזר ברירת מחדל" ומאשר לסגירת הדיאלוג. עכשיו מתחבר לרשת ומכוון את הדפדפן להיות מעט יותר מאובטח מול האתר הזה. כל אלה רק פלסתרים ופעולות מנע, יכול מאוד להיות שהחטיפה תחזור על עצמה, לי זה נראה כמו וואריאציה חדשה של CWS שעדיין איננה מתועדת. מציע לעקוב באופן הדוק אחרי הדיונים שאליהם קישרתי, לעדכן את תכניות ההגנה שברשותך בתכיפות (Antivirus וכדומה) ולסרוק את המערכת (סריקה מלאה). ישנו גם הדיון שאליו הפניתי אותך שמרכז כמה המלצות לאמצעי הגנה ומניעה. לא יזיק לנסות ליישם, אפילו עכשיו.
Rany.
_______________________________________________ .Back when I was a boy, we carved our own ICs out of wood
טוב לאחר שהותקפתי שוב חזק ביותר. הייתי חייב להפעיל את התוכנות שברשותי
כדי שאוכל להמשיך לגלוש לפחות עד שזה יחזור
עכשיו, את עניין המיזוג שביצעתי זה היה בזמן ההתקפה זה משנה?
1. סגור את כל התכניות! גם את ה-good for nothing webwasher הזה.
2. בדוק שלא הוחלפו/נעלמו שוב שני העותקים של notepad.
3. בדוק שהשדה target של הקישור ל-notepad בהתחל > עזרים תקין, אם לא תקן.
4. עבור שוב על שני מפתחות ה-registry ושחזר כמו קודם.
5. בדוק ע"י הקלקה כפולה על קובץ שסיומתו TXT (לא log1) ש-notepad עובד כמו שצריך.
6. הרץ HJT ומחק כל התייחסות ל-sp.html ו-dll עלום כלשהו.
7. מזג שוב את sa.reg ב-registry.
עוד אין אינטרנט!
8. פתח את אפשרויות האינטרנט וכוון כפי שכתבתי בהודעה קודמת.
9. אתחל את המערכת, פתח IE, סגור אותו והרץ שוב HJT. אם כבר חזרו ההתייחסויות שהסרת אנחנו מבזבזים את הזמן.
10. תתחבר לרשת, לך ישר אל האתר הזה הרץ את הבדיקות וישם את כל ההמלצות.
אם לא תבצע בצורה מסודרת כפי שכתוב חבל על המאמצים של שנינו.
notepad אינו אחראי על פתיחת קבצים מסוג log1, ההודעה הזו אינה אומרת שמשהו לא בסדר, שנה את סיומתו ל-txt ואם אז לא יפתח ב-double click יהיה על מה לדבר.
Rany.
_______________________________________________ .Back when I was a boy, we carved our own ICs out of wood
צודק בטעות יצאה סיומת log1 זה היה אמור להיות hijackthis1
בכל מקרה שמרתי שוב לוג בשם S והוא לא נפתח ישירות בפנקס רשימות
אלא אם אני אשנה ל s.txt בדיוק כמו קודם, כשהמצב היה טוב כששמרתי קובץ לוג של HJT בשם S זה היה נפתח ישר בפנקס רשימות ולא הייתי צריך לשנות את הסיומת ל txt .
לגבי שאר הדברים , כרגע סיימתי סריקות וזה ניקה הכל ואין בעיות. גם אם אני אכבה את המחשב זה לא יחזור, זה חוזר כל שעתיים בערך..
אבל אני ינסה . רק שאלה קטנה אני מחובר ברשת ואין לי כפתור להתנתק זה לא מחשב ראשי , יש דרך להתנתק מהאינטרנט בלי להוציא את החוט?
כשהמצב היה טוב כששמרתי קובץ לוג של HJT בשם S זה היה נפתח ישר בפנקס רשימות ולא הייתי צריך לשנות את הסיומת ל txt.
סביר שזה היה לפני ששינית את "הסתר סיומות עבור סוגי קבצים רשומים", גם אז הסיומת שלו היתה txt רק לא ראו את זה. notepad, בברירת המחדל, מוגדר לפתוח קבצים שסיומתם txt, זה שסיומתם מוסתרת או לא לא משנה לעובדה הזו. לדעתי זה עובד כרגע כפי שצריך.
באשר להתנתקות, שליפת הכבל היא הדרך הפשוטה במצב שלך. אלטרנטיבית אתה יכול להקליק ימנית על צלמית שני המחשבים שליד השעון ולבחור ב-disable. כדי לאפשר מחדש תצטרך לגשת לעזרים > תקשורת > חיבורי רשת ולאפשר מחדש משם באותה הדרך.
ציטוט:
זה חוזר כל שעתיים בערך.
נסה לראות אם אתה מוצא קשר בין משהו שאתה עושה (מפעיל תכנית או פונקציה כלשהי) לבין חזרת התופעה. אגב את actmovie.exe שלך, עותקי notepad השונים ואת ה-dll החשוד שמופיע רנדומלית אתה יכול לסרוק למציאות וירוסים פה, כל פרט מידע נוסף שיתגלה עשוי לסייע.
Rany.
_______________________________________________ .Back when I was a boy, we carved our own ICs out of wood
טוב ניתקתי את החוט כבר
בצלמית אין אפשרות התנתקות.
עשיתי סריקה עם ad-aware הפעם הוא מצא 30
הקובץ dll החדש הפעם הוא ono.dll
בין התוצאות נמצא הרבה coolwwwsearch
עכשיו אני סורק עם סוויפר בינתיים הוא מצא coolwww
אגב ad-aware הודיע שיכול להיות שהוא לא יצליח למחוק את ono.dll
שמע זה קורה באמצע גלישה לא באמצע משהו מיוחד. פתאום קופצים פופאפים
ברקע יש רעש כזה כמו שמוחקים קבצי אינטרנט זמניים ואז משתנה דף הבית.
אז אם אתה אומר, את עניין הnotepad סגרנו .
עריכה: הפעלתי מחדש שוב את המחשב ad-aware התחיל סריקה אוטומט עוד לפני שהווינדוס עלה.
יכול גם להיות שזה סתם צירוף מקרים, אין שום בטחון שאפיזודת actmovie/notepad היא חלק אינטגרלי מה-CWS hijack הזה. בענין Ad-aware, אם תכשל אולי ב-safe mode תצליח יותר. notepad עובד בסדר לדעתי. בכל מקרה הייתי בודק גם את הקבצים האלה (כולל ono.dll, תעתיק לך אותו הצידה, לפני שיעלם), אם יש מישהו שיעלה על משהו זה קספרסקי.
Rany.
_______________________________________________ .Back when I was a boy, we carved our own ICs out of wood
אם כן הסיפור שלה שהקובץ נעלם (Ad-aware מחקה?) אך ההתייחסות אליו ב-Registry נשארה (Ad-aware שכחה?), אגב, אתה מבצע איתחולים אחרי סריקות/הסרות? למה לא?
אתחל ואם עדיין יהיה שם תקן עם HJT.
עריכה:
ציטוט:
רגע מה זה איך עושים שם סריקה?
לוחצים browse מנווטים אל מיקום הקובץ שרוצים לסרוק, בוחרים בו, לוחצים Open ואחריו Submit וממתינים לדו"ח תוצאת הסריקה. כך עבור כל קובץ וקובץ שאתה רוצה לסרוק.
Rany.
_______________________________________________ .Back when I was a boy, we carved our own ICs out of wood
)).
