חשד לוירוס במחשב - עזרה

[pinkys brain1]

חשד לוירוס במחשב - עזרה

שלום לכולם (מקווה שזה הפורום הרלוונטי)
אתמול, במהלך צפייה בטלויזיה, שמתי לב בזוית העין שמתחילים להיפתח לי כל מיני חלוניות מוזרות (חלקן דפיאינטרנט וחלקן הודעות שגיאה של "התוכנה X הפסיקה לרוץ") במחשב הנייח. ישר ניתקתי את כבל האינטרנט והוא מנותק מאז (לא יודע אם זאת פעולה רלוונטית אבל שיהיה, לא מזיק)..
הסתכלתי ב-control panel וראיתי משהו כמו 4-5 תוכנות חדשות שהותקנו (לא על ידי) - הסרתי את כולן (לצערי לא רשמתי את השמות של התוכנות אז אני לא זוכר מה הן היו..)
עשיתי כיבוי והדלקה מחדש וראיתי שאין התקנה חדשה של תוכנות, אבל:

1. כל כמה שניות ה-chrome מנסה לפתוח דף אינטרנט כלשהוא
(הכותרת של הדף היא theb est off eri nthe web.com)
(אגב, הכותרת של הלינק היא רצופה"ההצעות הכי טובות ברשת", אבל עשיתי בכוונה רווחים כדי לנסות שזה לא ישלח כלינק ומישהו בטעות ילחץ על זה)
2. כשאני מסתכל על ה-task manager - יש שם כל מיני משימות תחת "user" שהשם שלהן נראה מוזר (רובן רצף אותיות, לחלקן יש בסוף עם סיומת של 32* - מצורפת תמונה)
3. ניסיתי להפעיל אתwindows defender ומתקבלת הודעת שגיאה כמו בתמונה המצורפת
4. אחת לכמה דקות מופיעה הודעה כמו בתמונה "3" -אני חושב שזאת אחת מ-4-5 התוכנות שהותקנו אתמול והסברתי דרך control panel.
5. לא יודע אם זה קשור, אבל מניח שכן - יש לי (נכון לכרגע לפחות) 2 תוכנות על המחשב (אחת מהן mathtype והשנייה ליצירת גרפים) הפסיקו לעבוד ולא ניתן לגשת אליהן (מתקבלת הודעה שהן הועברו או נמחקו)

רעיונות / הצעות מה אפשר לעשות? דרך כלשהיא לאיתור וטיפול בוירוסים? איזשהן משימות ב-task manager שאולי כדאי לנסות "לחסל"?

תודה מראש!

 

[pinkys brain1]

תמונה #3(לא צורפה משום מה להודעה המקורית)

 

[blzvi]

הדברים הסטנדרטיים

superantispyware
Malwarebytes

 

[pinkys brain1]

הי,

רק בשביל לוודא - כי אני לא כ"כ בקיא בתחום -
צריך לבחור אחד מהם?
צריך קודם את הראשון ואז את השני?
האם אלו תוכנות שרק מזהות וירוסים או גם יכולות להסיר אותן?
&nbsp
תודה על התשובה!

 

[blzvi]

שניהם

לא בדיוק וירוסים
אני לא משוכנע שיש אצלך וירוס

 

[pinkys brain1]

טוב, אלו הן ההתפתחויות

אני מריץ כבר בערך שעה את התוכנה הראשונה שציינת - נראה שהיא אכן מצאה הרבה דברים אבל בינתיים אני עדיין בשלב הריצה אז לא נתבקשתי לבצע איזשהיא פעולה
&nbsp
במקביל לכך, בערך לפני חצי שעה כל הקבצים במחשב שלי (או לפחות - כל הקבציםשיצא לי עד כה לראות) הפכו להיות עם סיומת .lalo, ראיי שבאינטרנט שזה וירוס כופרה כלשהוא,
ניסיתי להוריד גם את התוכנה השנייה (Malwarebytes) אבל בכל פעם שאני מנסה לבצע התקנה אז בערך אחרי 3/4 תהליך מתקבלת הודעת שגיאה
the installation failed. please restart your computer and try running the installer again.
(עוד לא ניסיתי לבצע הפעלה מחדש כי התוכנה הראשונה עדיין רצה....)
&nbsp
&nbsp

 

[pinkys brain1]

אגב, אני מנסה בינתיים לעקוב אחר ההוראות באתר הזה:

https://malwaretips.com/blogs/remove-lalo-virus/

האם ניתן לבצע את הפעולות במצב הרגיל, או שכדאי / עדיף לבצע אותן (אם זה אפשרי) דרך safe mood with networking?

שאלה 2: האם כדאי להוריד את התוכנות האלה ואז לבצע את כל השלבים כאשר כבל האינטרנט מנותק, או שזה לא משנה לתהליך?

 

[HelpSupport]

לפני הרצת תוכנות ...

צפה ועקוב אחרי ההוראות בסרטון.
https://www.youtube.com/watch?v=XaVsfoZsZ5A
&nbsp
הסרת הוירוס אינה הבעיה העיקרית שלך. הקבצים שהוצפנו הם הבעיה העיקרית שלך אם אין לך גיבוי במקום אחר. אין בנמצא כלי לשיחזור קבצים שהוצפנו עם סיומת lalo.

 

[pinkys brain1]

ניסיתי לקרוא כמה מאמרים בנושא וניסיתי שם את השיטות שכתובות

עברתי דרך תוכנת emsisoft ומספר אתרים נוספים הדנים בתחום של כופרה, לא הצלחתי בינתיים להגיע למצב שבו הקבצים מקודדים חזרה למקור

לצערו של ההאקר, אני מגבה את המחשב בערך אחת לחודש ככה שאני ממש לא מוטרד..

מה המלצתך לשלב הבא? לפרמט את המחשב או פשוט לעבור על הקבצים שיש כרגע במחשב עם סיומת LALO ופשוט למחוק אותם ולשחזר את הקבצים מהגיבוי שלי?
(לגבי פרמוט: אציין רק שכרגע יש לי מחשב שאמנם קצת ישן אבל עובד מצוין ואני ממש מרוצה ממנו, יש לו מערכת הפעלה וינדוס 7 שגם ממנה אני לגמרי מרוצה,אבל אני משער שאם המצב יביא לפרמוט אז לא יהיה מנוס ממערכת הפעלה חדשה, אה? מה שכן, אני לא לגמרי בטוח עדיין איך יבוצע הפרמוט הזה...עברו כמה שנים טובות מאז שהתעסקתי עם הדברים האלה ואני לא בטוח איך זה עובד בימים אלו, אבל כרגע הדיסק היחידי שמצאתי בבית הוא של וינדוס XP שאין לי מושג מאיפה יש לי אותו ולאיזה מחשב הוא היה קשור בעבר, אבל לא חושב שבא לי להתקין דווקא את זה

)

 

[HelpSupport]

אין צורך לפרמט ...

אני לא שולח קישור של סרטון מבלי לצפות בו מתחילתו עד סופו. מתבקש היה שלפחות אתה תצפה בו ותבצע את ההוראות.
&nbsp
אם מערכת ההפעלה הנוכחית היא חוקית ויש לך את קוד המפתח תוכל להתקין גם Win10 ללא צורך ברכישה נוספת. אין אפשרות של שידרוג (ניתן היה בזמנו), אלא התקנה חדשה עם הקוד של 7.
&nbsp

 

[pinkys brain1]

הי

לא כ"כ הבנתי מה הקשר בין הסרטון לבין "פעולות המשך" ("המשך" = לאחר הסרת וניקוי הוירוסים)

עברתי גם על הסרטון
הוא אומר שם "למחוק קבצים שנוספו לאחרונה" אך לא כתוב לי כל קובץ תאריך העדכון שלו אז איך ניתן לדעת איזה קובץ רלוונטי וצריך להשאיר ואיזה קובץ נוסף לאחרונה וצריך למחוק?
בנוסף, הוא מציין שיש קישור למאמר עם כל השלבים בצורהמפורטת, וכשנכנסים לקישור אז ההמלצה הראשונה היא "תורידו spyhunter"...אז אפשר פשוט להוריד את זה ולחסוך את השלבים שבסרטון?

 

[HelpSupport]

לא ...

אל תוריד את התוכנה. אין בסרטון שימוש בתוכנה.
בסרטון הוא מסביר שיש להפעיל את המערכת במצב בטוח.
לבדוק את הקובץ HOSTS - יש הסבר איך מגיעים אליו ואיך פותחים אותו.
לבדוק אילו תוכנות עולות ב- Startup ולמחוק מה שלא צריך.
לבדוק בקובץ הרישום - מוסבר להפליא איך ומה למחוק.

 

[pinkys brain1]

עקבתי אחר הנאמר שם

לגבי ה-HOSTS - לא הייתה בעיה. הגעתי בקלות לקובץ והוא נראה תקין (אין בו IP חשודים למחיקה)
&nbsp
לגבי תיקיית STARTUOP - התיקייה ריקה אז לא התעכבתי על זה מעבר לכך
&nbsp
לגבי הרישום - ראיתי, שוב, את הסרטון ויכול להיות שאני מפספס כאן משהו...
לא לגמרי ברורה לי הבקשה שלו למחוק קבצים ש"אולי יכולים להיות קשורים לכופרה"....מה בקובץ אמור להעיד לי שהוא "אולי" קשור לכופרה?
נראים" חשודים או שנוספו לאחרונה..איך אני יכול לדעת האם קובץ "נראה" חשוד או נוסף לאחרונה אם אין תאריך עדכון?
אני מדגיש את הנקודה הזאת כי מצד אחד, בהתחלה של הסעיף הזה מזהיר שיש לפעול בזהירות יתרה במחיקת קבצים מהתיקיות האלה כי זה יכול לגרום בעיות למערכת, ומצד שני עדיין לא לגמרי ברור לי איך אני יכול לדעת האם הקובץ הוא "נוסף לאחרונה" או "קשור לכופרה"?
&nbsp
לדוגמא, הוא מוחק שם (דקה 2:25) קובץ בשם tappiloc (משהו כזה) אך משאיר קובץ בשם VMware
מה מרמז לי שהקובץ הראשון הוא חשוד אך השני לא? כי הוא נמצא בתיקייה DataApp שהשם שלה נמצא ברשימה של צד ימין? האם זה אומר שאני יכול למחוק *כל* קובץ שנמצא בתיקיות האלה (DataApp, ProgramData וכו'?)
&nbsp
תודה רבה על העזרה והמענה!

 

[pinkys brain1]

לדוגמא, (במהשך להודעה הקודמת שלי)

מצורפת תמונה של קבצים שמופיעים בתיקייה run (התיקייה הראשונה שהוא מנווט אליה ב-regedit)

איך אני אמור לדעת ממה שיש כאן מה "חשוד" ומצריך מחיקה ומה לא? על פי מה?

 

[HelpSupport]

כל התוכנות שבתמונה הן תוכנות מוכרות ולגיטימיות ...

מה שהוא מחק קשור לוירוס הכופרה.
&nbsp
לידיעה VMware - תוכנה להפעלה וירטואלית של מערכות הפעלה למיניהן.
&nbsp
ב- %temp% טיפלת ? מחק את כל תוכן התיקיה.
&nbsp
יתכן והתוכנה הראשונה שהרצת טיפלה ומחקה מה שצריך כדי להפטר מהוירוס.

 

[pinkys brain1]

ב- %temp% אכן טיפלתי ומחקתי משם הכל

האם יש איזשהיא דרך לבדוק האם המחשב נוקה סופית מהוירוס הזה? האם תהליך ההצפנה שלו הוא משהו מחזורי, כלומר - אם לדוגמא אנסה להוריד קובץ מהאינטרנט או אשמור איזשהוא קובץ וורד על המחשב ואראה שהוא *לא* מוצפן, אוכל לדעת שהוירוס נוקה?
&nbsp

 

[pinkys brain1]

ב - %temp% טיפלתי ומחקתי משם הכל

האם יש איזשהיא דרך לבדוק האם המחשב נוקה סופית מהוירוס הזה? האם תהליך ההצפנה שלו הוא משהו מחזורי, כלומר - אם לדוגמא אנסה להוריד קובץ מהאינטרנט או אשמור איזשהוא קובץ וורד על המחשב ואראה שהוא *לא* מוצפן (ההצפנה צריכה להיות מידית או שאני צריך לחכות זמן כדי להיות בטוח?), אוכל לדעת שהוירוס נוקה?
&nbsp

 

[HelpSupport]

אין לי מושג איך הוירוס נדרך ומתי הוא מתחיל את ההצפנה ...

הצלחת להתקין MalwareBytes והאם סרקת איתו ?
&nbsp
נסה לסרוק את המחשב עם סריקה של ESET בשימוש חד-פעמי ->
https://www.eset.com/int/home/online-scanner/

 

[pinkys brain1]

אכן השתמשתי ב-2 התוכנות

בנוסף על התוכנה superantispyware שהומלצה בתגובה הראשונה
&nbsp
מה שמצחיק הוא שזה נראה כאילו כל אחת מהן מנסה "להוכיח" שהיא עובדת ותמיד מוצאת שגויים, כלומר -
הרצתי את התוכנה הראשונה (superantispyware) - היא מצאה X קבצים וטיפלה בהם,
לאחר מכן הרצתי אותה שוב על מנת לוודא והיא מצאה 0 "חריגים"..
מיד לאחר מכן הרצתי את MalWareBytes - היא מצאה Y קבצים וטיפל בהם, לאחר מכן הרצתי אותה שוב והיא מצאה 0 "חריגים"
&nbsp
לאחר מכן הרצתי את ESET - ואחרי ששתי הקודמות סיימו וניקו את המחשב, היא מצאה 700 (לטענתה) קבצים חשודים, שהיא כמובן ניקתה וטיפלה בהן..
&nbsp

&nbsp
כנראה שלעולם לא נקבל תשובה חד משמעית ו-100% אמינה "האם המחשב נקי לגמרי?"
&nbsp
&nbsp
בינתיים נראה שהמחשב עובד יותר טוב מאתמול, כבר לא מקפיץ של כמה שניות איזשהיא הודעה / דף אינטרנט / תוכנה, אבל מה שכן - הוא עובד הרבה יותר לאט...

 

[blzvi]

תנצל את ההזדמנות ובצע גיבויים לקבצים האישיים שלך

בסופו של דבר מה שתאלץ לבצע זה פירמוט והתקנה חדשה