עזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם

NRS

@מנצפך אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אני אנסה בל"נ בעז"ה להעלות ל GIT איזשהו קוד שעושה:

1. מוריד הרשאות גישה מהתיקיות הבעייתיות.

2. רץ ברקע ו:
   2.1) מוחק ווירוסים מוכרים מהדיסק און קי (או לפחות משנה סיומת).
   2.2) סוגר תהליכים של וירוסים מוכרים.
   2.3) מציג תיקיות מוסתרות. (לא כולל "system volume information").

עוד משהו?

כל מה שכתבתי פה ג"כ כדאי לעשות כמו להסיר מהאתחול את הפעלת הוירוס כי אף שאינו יכול לפעול בכל זאת מקבלים בכל הדלקה הודעת שגיאה

אם לך זמן וכח אכתוב גם את כל מה שטעון טיפול ותיקון באונקי נגוע

upsilon01

@yossiz זה לא מדויק
הקובץ streamer.exe הוא סקריפט autoit מקומפל

yossiz

@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@yossiz זה לא מדויק
הקובץ streamer.exe הוא סקריפט autoit מקומפל

אתה צודק, (כתבתי מזכרון שאין סקריפט אבל עכשיו שאני מסתכל אני רואה שיש) אבל נ"ל שהסקריפט לא עושה כלום, אמור להיות עוד קובץ בשם streamer.txt או משהו כזה ששם הסקריפט העיקרי.
חיפשתי במחשב ומצאתי סקריפט זה שקיבלתי מ-decompile של windows updater

WWW

@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@yossiz זה לא מדויק
הקובץ streamer.exe הוא סקריפט autoit מקומפל

streamer.exe באמת נמחק ע"י איסט, השני לא.

WWW

@yossiz אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

כן, כי זה לא וירוס. זה פשוט תוכנת Autoit. הוירוס זה הסקריפט שהוא מריץ. זה כמו שאם מישהו יכתוב וירוס ב-CMD אתה לא רוצה שהאנטי וירוס ימחוק cmd.exe.

חשבתי על זה.
אתה בטוח בזה?
מצורף הקובץ.
זהירות וירוס!
0_1546288264191_uwnnmdntrkxetinbiycmo.e xe

yossiz

@www אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אתה בטוח בזה?

די בטוח, אני הרצתי אותו במחשב שלי עכשיו בלי חשש, ולא קרה כלום. תיקון: זה לא autoit אלא autohotkey.

WWW

@yossiz אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אני הרצתי אותו במחשב שלי עכשיו בלי חשש,

אל תאשים אותי בכופר שנדבק לך במחשב
ח"ו

aiib

@www אא"כ חשבון הבנק להכניס את הכסף התברר כשלך...

upsilon01

קשה לפענח את הסקריפט

NRS

הואיל וידידינו @מנצפך כנראה יוכל להתעסק עם זה רק בעתיד (הקרוב מקווים). אולי מישהו מוכן לעשות את כל שהזכרתי בראש האשכול ב CMD לאפשר לרבים להחלץ מהוירוס הזה (גם מחשבים שאין להם חיבור)

Men770

אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?

NRS

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?

לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת

Men770

@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?

לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת

הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?

NRS

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?

לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת

הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?

גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעות

אז אעתיק הכל לפה עם התיקונים:

לסגור תהליכים:
wscript.exe
cscript.exe
streamer.exe
WinddowsUpdater.exe

להסיר הרשאות מתיקיות
c:\streamer
c:\streamerdata
c:\WinddowsUpdater
C:\WinddowsUpdateCheck
C:\fegmtdrhbkjzbhmbrodnh
C:\kufmrozaaytnhivmdxwbz

להסיר הרשאות מקבצים:
del "%userprofile%\AppData\Local\Temp*.vbs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Local\Temp*.wsf"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Local\Temp*.vfs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
C:*\IMG-512.wsf - אני לא זוכר כרגע את המיקום שלו

גם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

גם להפעיל את זה:
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f

reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f

Men770

@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?

לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת

הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?

גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעות

אז אעתיק הכל לפה עם התיקונים:

גם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

זה קצת מוזר. בדרך כלל לא מוחקים קבצי desktop.ini והם לא אמורים לעשות בעיות. הוירוס כנראה מגדיר שיפתחו אותם. אני בודק את זה עכשיו על vm

NRS

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?

לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת

הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?

גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעות

אז אעתיק הכל לפה עם התיקונים:

גם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

זה קצת מוזר. בדרך כלל לא מוחקים קבצי desktop.ini והם לא אמורים לעשות בעיות. הוירוס כנראה מגדיר שיפתחו אותם. אני בודק את זה עכשיו על vm

תראה אין פה הרבה מה לדון, אני אסביר אני לא יודע למה, אבל אחרי שהוירוס מחוק משום מה שהוא מעדכן את הקבצי INI והם פשוט נפתחים בכל הפעלה מחדש, זה לא מזיק אבל מעצבן על פעם שמדליקים את המחשב. והלכתי לבדוק מי גורם ומחקתי אותם ונושעתי (כל מה שכתבתי פה זה מנסיון של למעלה מ 15 מחשבים שקבלו את כל הוירוס הנ"ל מכל הזנים)

upsilon01

זה קצת בעייתי לסגור את cscript.exe ו wscript.exe
הם תהליכים לגיטימיים וסגירתם עלולה לפגוע בפעילות של תוכניות אחרות

upsilon01

@NRS

אתה יכול לשלוח לי מייל (בחתימה)

NRS

@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

זה קצת בעייתי לסגור את cscript.exe ו wscript.exe
הם תהליכים לגיטימיים וסגירתם עלולה לפגוע בפעילות של תוכניות אחרות

יש להבין למה בקשתי לסגור, פשוט כל זמן שהם לא סגורים אז הוירוס ממשיך להתקיף גם אם הסרת הרשאות של התיקיות הללו. לכן אני באמת לא צריך שאלו יהיו סגורים לעולם אלא שהתוכנה שתעשו רק תסגור אותם לרגע ובזה הוירוס יפסיק לעבוד, ובסיום כל הפקודות תפעיל אותם מחדש או ע"י פקודת הפעלה או הפעלה מחדש של המחשב - לא משנה.

NRS

@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:

@NRS

אתה יכול לשלוח לי מייל (בחתימה)

מה לשלוח? התוכנה עם ההגדרות של נעילת קבצי הוירוס?
אם יש לך כוונות לסייע בכל הסיפור אשמח