הכל התחיל שסרקתי את המחשב בתוכנה שנקראת : SpyRemover

התוכנה מצאה כמה SpyBots ואני הסרתי אותם. איך שיצאתי מהתוכנה החיבור שלי לאינטרנט נעצר (אני מחובר דרך ראוטר)

אני אמרתי לעצמי בוא נעשה ריסטרט זה בטח יסתדר...

עשיתי ריסטרט והוינדווס עלה נורא לאט,אני מתכוון ממש לאט!  המסך שאומר שהמערכת מכינה את עצמה לעלות  (משהו כזה) נשאר בערך דקה וחצי

ואז יש את המסך שאומר ברוך הבא וגם זה לקח בערך דקה-דקה וחצי

ואז הגעתי לדסקטופ...עד שהסמלים הופיעו לקחה דקה בערך וה-Bar שלמyה איפה שהvתחל והכל היה בעיצוב המקורי שלו...ללא ערכות הצבעים או משהו!

לאחר כ20 שניות בערך עולה ההודעה הבאה:

_____________________

כיבוי מערכת

מתבצע כיבוי של המערכת.

שמור את כל עבודותיך והתנתק מהמערכת.

הכיבוי הופעל על-ידי NT

Authority\System

הודעה

Windows must now restart because the Remote procedure call (RPC) service

terminated anexpectedly

_____________________

אני מתחנן לעזרה! אני לא יודע מה לעשות!

לא אכפת לי לפרמט אבל אני צריך איזה חצי שעה שאני יוכל לגבות הכל..כל מה שאני מבקש זה רק חצי שעה...

דרך אגב עשיתי שחזור לכל הדברים שמחקתי עם ה-SpyRemover.. אבל יש סיכוי טוב שזה בגלל זה! כי לפני זה המחשב עבד נהדר!

אני אודה מאוד למי שיענה!

בתודה

Anas-Nanas

אם זאת התופעה המוכרת שסופרת שניות לאחור ואז עושה ריסט, כנס למצב בטוח

במצב בטוח תכנס לשירותים (services) תחפש את ה RPC תעשה מאפייינים לשונית שניה או שלישית תבחר את שלושת האופציות בתור TAKE NO ACTION תעשה ריסט תחזור למצב רגיל הוא יבטל לך את הRPC שזה בעצם השירות שמקפיץ את החלון הזה

אם אתה לא רוצה להריץ את המערכת עם RPC סגור אחרי שעשית את זה תוריד מהאתר של סימנטק את הכלים להסיר את הוירוס בלאסטר וסאסר, תתקין פיירוואל ותחזור על הפעולה הראשונה במצב בטוח להחזיר למצב המקורי שהRPC פעיל

כל זה נכתב ברמה בסיסית פלוס ואני יוצא מנקודת הנחה שאתה כן יודע איך להגיע ל SERVICES אם אתה לא יודע רק תגיד ואני יסביר יותר לעומק

החלון של הRPC מופיע ככה:

אני מאוד אודה לך אם תכתוב את הדרך הכי מפורטת שאתה יכול!!!

אני יודע שכבר דיי מאוחר ובטח אין לך כוח...אבל אני מאוד מאוד אשמח ומאוד אודה לך אם תוכל לעשות את המאמץ הזה בשבילי

בתודה והערכה

Anas-Nanas

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

תוריד את הכלים האלה תריץ הם יעשו סריקה יחפשו את שתי הוירוסים (תולעים) הנפוצים שעושים את הבעיה הזאת

רצוי ואף מחייב להפעיל פיירוואל בזמן השימוש באינטרנט (אם זה בחייגן של 2000\XP ואם זה פיירוואל של סימנטק נורטון)

לכיבוי הRPC אתה עושה כפתור ימני על "המחשב שלי" ובחירה ב"ניהול" משם ל "שירותים וישומים" ו-"שירותים" כל זה לא קשה להבין באנגלית אז אין צורך לתרגם נכון?

ברשימה הענקית שקיבלת אתה מחפש REMOTE PRODURE CALL - RPC הראשון (יש שניים..) כפתור ימני עליו מאפיינים

כמו שאמרתי משם ללשונית שלישית בחירה בשלושת האופציות "ללא ביצוע פעולה" אישור וריסט

את הפעולה של הכיבוי RPC אפשר לעשות בצורה רגילה של הוינדוס אבל מומלץ דרך המצב בטוח בשביל שהמחשב לא יעשה ריסט בזמן הפעולה..

גם כשאני נכנס ב-Safe Mode המחשב עושה לי ריסטרט .

וחוץ מזה אני לא יכול להכנס למאפיינים....זה פשוט לא נותן לי!

כשאני לוחץ על מאפיינים זה לא מגיב!

אתה מגיע עד הרשימת שירותים בוחר את ה RPC והוא לא נכנס למאפיינים?

ניסית להוריד את שתי הקבצים שנתתי לך?

איזה מערכת הפעלה זאת?

בדיוק! אני מגיע עד לשם ואז הוא לא נותן לי להכנס למאפיינים...

אני לא יכול להוריד..משתי הסיבות העיקריות..

הראשונה אין לי כרגע רשת..אמרתי לך זה משום מה ניתק אותי מהרשת!

והסיבה השניה היא שלא נראה לי שב60 שניות שמוקצבות לי אני יספיק להכנס ללינק להוריד ולהריץ את הקבצים

המערכת הפעלה היא Win xp Pro

קודם כל בכדי להיפתר ממסך ה60 שניות לך ל:

Run--->shutdown -a

תודה רבה אור!!!

צעד ראשון נעשה...ההודעה לא מופיעה יותר!

מה עכשיו?

תשתדל להשתמש ב shutdown כמה שפחות, פעם אחת לניקוי התולעת אם צריך

פשוט זה סוגר לך המון המון שירותים וגורם לבעיות רבות

בכל מקרה, אתה צריך או להוריד את שני הקבצים בכל מקרה (הבנתי שאת התהליך הזה עשית?)

עכשיו או שתפעיל תמיד את האינטרנט עם פיירוואל מובנה \ נורטון, או שתבטל את ה RPC

ברגע שתשתמש תמיד בפיירוואל אין סיבה לחסום את ה RPC כי התולעת לא תכנס...

אם היית עושה חיפוש, היית רואה שדנו בתולעת הזאת עשרות פעמים בעבר.

בכל מקרה, כדי לעצור כיבוי שמתרחש כרגע אתה יכול לכתוב ב-Command Prompt את הפקודה shutdown -a. זה יתן לך מספיק זמן לעשות את מה שאתה צריך.

כשאני כותב את הפקודה Shutdown -a זה נותן לי בערך עוד 2-4 דקות עד שכל העסק מופיע עוד פעם...

בזמן הזה אני גם צריך להספיק ליצור את ההתקשרות שלי לרשת מחדש בגלל שכל מיקומי הרשת שלי נמחקו!

ואז אני צריך להכנס לאינטרנט להגיע ללינקים..להוריד את הקבצים ועוד להספיק להריץ אותם?! איך אני יכול להספיק את כל זה?

בא עוד פעם החלון ? תעשה עוד פעם shutdown -a

אבל אני לא מבין מה הבעיה אלה וירוסים ידועים שממזמן כבר כולם מוגנים מהם!

לך למחשב אחר תוריד את 2 תיקוני האבטחה של מייקרוסופט תגיע למחשב שלך אל תתחבר בכלל לאינטרנט תתקין את 2 התיקונים תעשה מה שאמרו לך בservices וזהו!!

תכתוב shutdown -a בקובץ טקסט ושתמור תחת השם worm.bat על שולחן העבודה

לך לWindows UPDATE ותוריד את כל העדכונים הקריטיים חוץ מ SERVICE PACK (במידה והוינדוס שלך צרוב זה לא יהיה חכם להתקין אותו..)

תעמוד על הסמל בשולחן העבודה וכל פעם שהחלון יקפוץ תלחץ עליו והחלון יסגר.. ככה תעשה עד שכל עדכוני האבטחה יותקנו

אוקיי...אני אנסה את כל מה שאמרתם!

עכשיו נכנסתי לאתר של סימנטק כדי להוריד את הקבצים..אבל אני לא יודע איך להוריד אותם...

כשאני נכנס יש לי רשימה של של וירוסים וכשאני לוחץ על אחד הוירוסים מהרימה זה מעביר אותי לדף אחר..ואני לא רואה שם שום לינק להורדה של משהו...

****עריכה****

מצאתי מאיפה להוריד את הקובץ של הבלאסטר...

אבל אני עדיין לו מוצא מאיפה להוריד את הקובץ של ה-Sasser