וירוס במחשב לא ניתן להסיר

[יוליוס]

יש לי תוכנה שעולה כל הזמן. למרות שמבטל אותה ממשיכה לעלות בהפעלה מחדש.

[הדוד משה]

תעלה ב-Safe mode או מ-LiveCD של לינוקס ותמחק את קבצי הנוזקה ידנית (צריך לדעת איפה היא מותקנת).

[יוליוס]

דרך מנהל המשימות הגעתי שזה נמצא local temp למרות שמוחק את הקובץ הוא שוב עולה בהפעלה מחדש של המחשב

[הדוד משה]

התוכנה שומרת את עצמה כנראה בעוד מקומות. ניסית כבר לעלות במצב בטוח?

ובנוסף, תנסה להתקין תוכנה נגד נוזקות כמו hijackthis.

[יוליוס]

מה נותן לי מצב בטוח ? הרי גם במצב רגיל רואה איפה התוכנה נמצאת. מסיר וחוזרת שוב בהפעלה מחדש.

[הדוד משה]

במצב בטוח התוכנה לא תפתח את עצמה, ותוכל להסיר מבלי שהיא תשמור את עצמה במקום נוסף. ואם תפתח והיא שוב תעלה, תדע בוודאות שהיא שומרת את עצמה בכמה מקומות, ושזה הזמן להסרת נוזקות במחשב.

[יוליוס]

עשיתי מצב בטוח. התוכנה שוב עלתה. נכנסתי למנהל המשימות לראות היכן היא. מחקתי , ובהפעלה מחדש של המחשב היא שוב עולה. מה לעשות ?

[הדוד משה]

אם תפתח והיא שוב תעלה, תדע בוודאות שהיא שומרת את עצמה בכמה מקומות, ושזה הזמן להסרת נוזקות במחשב.

[יוליוס]

הפעלתי אנטי וירוס נורטון ולא עזר. איזו תוכנה מומלצת ?

[הדוד משה]

נסה את hijackthis. אם לא יעזור, יש עוד תוכנות חינמיות מעולות. אגב, האם הנורטון מעודכן בכלל?

[יוליוס]

כן נורטון מעודכן. ניסיתי גם עם התוכנה Malwarebytes Anti-Malware זה לא עוזר.אני מוחק את הקובץ ושוב עולה בהפעלה מחדש.

[multicore]

איך הצלחת להדביק את עצמך במשהו כזה? אני מאוד מקווה שזה לא היה במודע.

קצת חומר למידה בנושא:

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302

שום פתרון מוכן הוא לא פתרון קסם.

[gabriel6]

במקרה התקנת דרייבר GENIUS מפוקפק (ממקור עוד יותר מפוקפק)?

[יוליוס]

אז כיצד נפטרים מהצרה הזו ?פעם ראשונה נתקל בדבר כזה.

[smalul]

קודם כל יש לבדוק איך התוכנה הזו מפעילה את עצמה ואז לנסות להסיר אותה משם. הנה מה שאני הייתי עושה במקרה שלך:

1. סביר להניח שהתוכנה רשמה את עצמה ב registry, ולכן יש להסיר אותה משם.

אזהרה: אתה עלול לגרום נזק למערכת ההפעלה אם אתה מתעסק עם ה registry. אם אתה לא יודע או לא בטוח מה אתה עושה - אל תעשה את זה. רצוי גם לשמור גיבוי של ה registry ליתר ביטחון.

אני הייתי נכנס ל registry ע"י הפעלת הפקודה regedit (הפעלה->התחל או start->run או פשוט ללחוץ על מקש ה Windows במקלדת ועל המקש R ביחד). לאחר מכן הייתי מנווט למפתח הבא:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

שם אפשר לראות חלק מהתוכנות שמופעלות בזמן עליית המחשב. תחקור את כל הקובצים שמופיעים שם (מאיפה הם מופעלים, מה כתוב לגביהם באינטרנט וכד') ותראה אם יש שם משהו חשוד. אם אתה חושב שמצאת את התוכנה החשודה, תמחק את השורה שלה או תשנה את הערך של המפתח כך שהתוכנה לא תעלה אוטומטית.

2. תפעיל את הפקודה msconfig ובתגית ה startup תבדוק אילו תוכניות עולות. אם יש שם תוכנה/קובץ שמופעל ולא צריך להיות שם - תבטל אותו ע"י ביטול ה-V בתיבת הסימון.

חשוב לזכור מה עשית כדי שלא בטעות תבטל תוכנה שאתה מעוניין שתעלה אוטומטית.

3. מיקום נוסף שבו התוכנה הזו יכולה לשתול את עצמה הוא ב services (שירותים של מערכת ההפעלה). אתה יכול להשתמש ב msconfig גם כאן ולעבור לתגית ה services. שוב - יש לבדוק בדיוק מה זה כל שירות ומאיפה הוא מגיע, ואז לבטל את השירות שבו אתה חושד. אני באופן אישי מעדיף לבדוק את השירותים דרך הפקודה services.msc.

האזהרה הרגילה - אתה יכול לגרום נזק למערכת ההפעלה אם תבטל שירות הדרוש לעליית מערכת ההפעלה. חשוב לזכור אילו שירותים בדיוק אתה מבטל כדי שתוכל להפעיל אותם מאוחר יותר אם יש צורך בכך.

4. האפשרות הפחות סבירה, אבל עדיין אפשרית, היא שהתוכנה פשוט הכניסה את עצמה לתיקיה Startup שבתפריט ההתחל. כל התוכנות שמופיעות בתיקיה הזו מופעלות אוטומטית עם עליית המחשב. אם יש תוכנה שאתה לא רוצה שתרוץ, פשוט תוציא אותה משם (תגרור אותה למיקום אחר או תמחק אותה).

אלה הדברים הראשונים שאני הייתי עושה. בשלב הבא הייתי מנסה להפעיל תוכנות לזיהוי רוגלות וכד' במטרה למצוא את הבעיה. אני משתמש ב SUPERAntiSpyware Free Edition וב Malwarebytes Anti-Malware (יכול להיות וסביר להניח שיש תוכנות אחרות יותר מומלצות) בכדי לסרוק את המחשב ולהסיר תוכנות כאלה.

אני אחזור על האזהרות שלי: אתה עלול לגרום נזק למערכת ההפעלה ולגרום לכך שהיא לא תעבוד בכך שאתה מתעסק עם הגדרות הנ"ל. כל האחריות היא עליך בלבד. אם אתה לא בטוח במה שאתה עושה - אל תעשה אותו.