-
@מנצפך אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@nrs שמישהו יעשה רשימה של כל הקבצים שצריכים להימחק.
כל התהליכים שצריכים להיסגר.
וכל התיקיות שלשנות הרשאות.
ובעז"ה נעשה משהו.העניין הוא שירוץ כל הזמן?
לסגור תהליכים:
wscript.exe
cscript.exe
streamer.exe
WinddowsUpdater.exeלמחוק את תיקיות
c:\streamer
c:\streamerdata
c:\WinddowsUpdater
C:\WinddowsUpdateCheck
C:\fegmtdrhbkjzbhmbrodnh
C:\kufmrozaaytnhivmdxwbzלמחוק קבצים:
del "%userprofile%\AppData\Local\Temp*.vbs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Local\Temp*.wsf"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Local\Temp*.vfs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
C:*\IMG-512.wsf - אני לא זוכר כרגע את המיקום שלוגם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.iniגם להפעיל את זה:
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /freg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /fאחרי כל הסיפור הנ"ל של מחיקות צריכים לא להרשות לו לחזור ולכן שיהיה תוכנה שמעתיקה עצמה למערכת או משהו כזה שיושבת ונועלת (אחר הגעתה) את כל המיקומים הנ"ל גם אם הם לא נמצאים עדיין, אבל רק את הקבצים עם הסיומת שכתבנו כלומר שמיד עם בואו של תיקיית WinddowsUpdate הוא ינעל מיידי כי יוסרו ממנו כל ההרשאות כך הוא לא יכול להזיק (ואמת שגם לא תהיה אפשרות למחוק אותו אבל מה אכפת לי העיקר שלא מזיק)
וזה ההגדרה שעשיתי בתוכנה לנעילת קבצים וזה קובץ ההגדרות לתוכנה הנ"ל וכבר הובא למעלה וממנו תלמד מאיזה מיקומים להסיר הרשאות.תאמינו לי שכל הנ"ל עובד להפליא ע"י תוכנת נעילת התיקיות ואני אומר לכל אלה שעזרתי להם בעניין, שמבחינת וירוסי הקיצורי הדרך אתם לא צריכים לחשוש כלל ותוכל להכניס גם אונקי שידוע מראש שנגוע כי לכם זה לא יזיק.
@מנצפך תודה רבה
-
סתם כדרך אגב מחשב שהיה נגוע ונוקה ידנית לא ידבק מכונן נגוע שוב אלא אם כן מישהו ילחץ על אחד מקיצורי הדרך מנסיון של מאות נגנים ודיסקי און קי שניקיתי ומבדיקה איך מתבצעת הדבקה בעזרת מכונה וירטואלית
@aknvtchtk אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
סתם כדרך אגב מחשב שהיה נגוע ונוקה ידנית לא ידבק מכונן נגוע שוב אלא אם כן מישהו ילחץ על אחד מקיצורי הדרך מנסיון של מאות נגנים ודיסקי און קי שניקיתי ומבדיקה איך מתבצעת הדבקה בעזרת מכונה וירטואלית
ואם הוא נוקה לא ידנית? יידבק שוב?
זה אומר שבידני יש עדיין שארית של הוירוס שבעצם אומרת לו, המחשב הזה מודבק כבר, אל תבצע תהליך הדבקה... -
@aknvtchtk אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
סתם כדרך אגב מחשב שהיה נגוע ונוקה ידנית לא ידבק מכונן נגוע שוב אלא אם כן מישהו ילחץ על אחד מקיצורי הדרך מנסיון של מאות נגנים ודיסקי און קי שניקיתי ומבדיקה איך מתבצעת הדבקה בעזרת מכונה וירטואלית
ואם הוא נוקה לא ידנית? יידבק שוב?
זה אומר שבידני יש עדיין שארית של הוירוס שבעצם אומרת לו, המחשב הזה מודבק כבר, אל תבצע תהליך הדבקה...@avi_av גם לא ידבק רק שמי שמנקה את הוירוסים הללו זה רק איסט ולא בכל מחשב יש איסט וגם הוא בדרך כלל לא מנקה הכל לגמרי כיוון שיש בוירוס הזה גם קבצים שהם לא וירוסים כלל אלא כלי הפעלה אוטמטיים לכן אני בדרך כלל מנקה ידנית ע"י ניטרול התהליכים ומחיקת התיקיות ,קיצורי הדרך ומפתחות האיתחול
-
@מנצפך אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@nrs שמישהו יעשה רשימה של כל הקבצים שצריכים להימחק.
כל התהליכים שצריכים להיסגר.
וכל התיקיות שלשנות הרשאות.
ובעז"ה נעשה משהו.העניין הוא שירוץ כל הזמן?
לסגור תהליכים:
wscript.exe
cscript.exe
streamer.exe
WinddowsUpdater.exeלמחוק את תיקיות
c:\streamer
c:\streamerdata
c:\WinddowsUpdater
C:\WinddowsUpdateCheck
C:\fegmtdrhbkjzbhmbrodnh
C:\kufmrozaaytnhivmdxwbzלמחוק קבצים:
del "%userprofile%\AppData\Local\Temp*.vbs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Local\Temp*.wsf"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Local\Temp*.vfs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
C:*\IMG-512.wsf - אני לא זוכר כרגע את המיקום שלוגם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.iniגם להפעיל את זה:
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /freg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /fאחרי כל הסיפור הנ"ל של מחיקות צריכים לא להרשות לו לחזור ולכן שיהיה תוכנה שמעתיקה עצמה למערכת או משהו כזה שיושבת ונועלת (אחר הגעתה) את כל המיקומים הנ"ל גם אם הם לא נמצאים עדיין, אבל רק את הקבצים עם הסיומת שכתבנו כלומר שמיד עם בואו של תיקיית WinddowsUpdate הוא ינעל מיידי כי יוסרו ממנו כל ההרשאות כך הוא לא יכול להזיק (ואמת שגם לא תהיה אפשרות למחוק אותו אבל מה אכפת לי העיקר שלא מזיק)
וזה ההגדרה שעשיתי בתוכנה לנעילת קבצים וזה קובץ ההגדרות לתוכנה הנ"ל וכבר הובא למעלה וממנו תלמד מאיזה מיקומים להסיר הרשאות.תאמינו לי שכל הנ"ל עובד להפליא ע"י תוכנת נעילת התיקיות ואני אומר לכל אלה שעזרתי להם בעניין, שמבחינת וירוסי הקיצורי הדרך אתם לא צריכים לחשוש כלל ותוכל להכניס גם אונקי שידוע מראש שנגוע כי לכם זה לא יזיק.
@מנצפך תודה רבה
-
סתם כדרך אגב מחשב שהיה נגוע ונוקה ידנית לא ידבק מכונן נגוע שוב אלא אם כן מישהו ילחץ על אחד מקיצורי הדרך מנסיון של מאות נגנים ודיסקי און קי שניקיתי ומבדיקה איך מתבצעת הדבקה בעזרת מכונה וירטואלית
@aknvtchtk אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
ומבדיקה איך מתבצעת הדבקה בעזרת מכונה וירטואלית
בגרסאות ה VBS, פעם פתחתי את קוד המקור.
ברור שזה עובד כך, לא צריך שום בדיקה.
תוכל לראות את הנתיב של הקיצור דרך, ותבין הכל. -
יש לי רעיון שכבר ניסתיו על כמה וכמה מחשבים ועובד יופי. יש את הוירוס הידוע של קיצורי הדרך שרוב האברכים שאני מכיר שאין להם ESET באישזהו שלב נתקפים בזה ומשתגעים היאך להפטר מזה עד שנכנעים וקונים מנוי שנתי וכדו'.
אני צריך עזרה ב CMD
הרעיון הוא פשוט במקום להלחם להסיר את הוירוס אני רוצה דוקא לארח אותו במחשב אבל לכבול אותו במקום בלי אפשרות תזוזה. וכונתי להסיר ממנו את כל ההרשאות האפשרויות שאפי' המערכת לא תוכל לגשת לקבצים אלו פשוט אף אחד ואז מה שקורה שהמחשב ינסה להפעיל את הוירוס (כי הוא מועתק לתיקית הפעלה וכן חלקם מייצרים לעצמם במשימות - 'משימה' להפעיל את עצמו בכל הדלקה) לא תהיה לו גישה לעשות כן. ובעצם אני רוצה ע"י פקודות להסיר לו הרשאות כמו שאפשר באופן ידני בלשונית 'אבטחה'
איך מגדירים כזה דבר ב CMD?
למשל בא נתחיל עם תיקית C:\WinddowsUpdaterהייתי עושה את זה עם תוכנת FILELOCK
הרעיון הוא בעצם חיקוי של מה שקורה ב ESET (רק ששם הוירוס לא נמצא בתיקיות וינדוס רגילה)
עריכה:
קובץ האנטיוירוס הסופי להורדה
http://tchumim.com/assets/uploads/files/1547035329232-חסימת-וירוס-קיצורי-הדרך.rar
-
@nrs הכי פשוט ליצור את התיקיות באופן יזום ואז להוריד הרשאות.
השאלה היא איך התוכנה של הנעילה עובדת? היא מורידה הרשאות?
רוצה להעלות אותה לכאן?@מנצפך אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@nrs הכי פשוט ליצור את התיקיות באופן יזום ואז להוריד הרשאות.
השאלה היא איך התוכנה של הנעילה עובדת? היא מורידה הרשאות?
רוצה להעלות אותה לכאן?כן מורידה הרשאות, כל קובץ או תיקיה שאתה נועל כתוב שאין הרשאות להכנס אליהם. וכן בלשונית אבטחה זה מוכח.
למשל היה איזה חלונית של ESET שהיתה משגעת אותי לעדכן את התוכנה (אני משתמש בנוד 7) ופשוט החלטתי לנטרל אותה עם תוכנה זו וזה התוצאות
ובלשוניות אבטחה נראה כך
-
@nrs נראה לי שאם הוירוס הזה מצליח להכניס עותק ל-System Volume Information, הוא גם יצליח לעקוף את ה"נעילות" שתעשה ויותקן מחדש..
@אלישי אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@nrs נראה לי שאם הוירוס הזה מצליח להכניס עותק ל-System Volume Information, הוא גם יצליח לעקוף את ה"נעילות" שתעשה ויותקן מחדש..
אין חכם כבעל נסיון, עשיתי את השיטה הזאת על בערך 15 מחשבים בנתיים ואח"כ עשיתי בדיקות אינסופיות לראות אם האונקי שאכניס נדבק והם לא נדבקו
-
אני חושב שדרך טובה לתקוף את הבעיה תהיה לבטל איכשהו
כל הפעלה של autoit
כיוון שהוירוס הזה הוא פשוט סקריפט של autoit@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אני חושב שדרך טובה לתקוף את הבעיה תהיה לבטל איכשהו
כל הפעלה של autoit
כיוון שהוירוס הזה הוא פשוט סקריפט של autoitפעם @magicode העלה את זה אולי זה מה שהתכוונת
0_1545567735798_DisableAutorun.rar -
@מנצפך אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@nrs הכי פשוט ליצור את התיקיות באופן יזום ואז להוריד הרשאות.
השאלה היא איך התוכנה של הנעילה עובדת? היא מורידה הרשאות?
רוצה להעלות אותה לכאן?כן מורידה הרשאות, כל קובץ או תיקיה שאתה נועל כתוב שאין הרשאות להכנס אליהם. וכן בלשונית אבטחה זה מוכח.
למשל היה איזה חלונית של ESET שהיתה משגעת אותי לעדכן את התוכנה (אני משתמש בנוד 7) ופשוט החלטתי לנטרל אותה עם תוכנה זו וזה התוצאותובלשוניות אבטחה נראה כך
-
@www אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@nrs תתקין אנטי וירוס איסט, יעשה לך הכל...
אנטי וירוס של eset מונע כניסה למחשב של הוירוסים הנל אבל לא מצליח למחוק אותם לגמרי
-
@upsilon01
0_1546209927768_streamerdata.rar
0_1546209934518_hjxwtknxpegpruqisrzng.rarלא להפעיל את הקבצים האלו הם וירוסים - העלתי אותם לבקשת @upsilon01
