-
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
ניסיתי לעשות decompile לסקריפט
אבל לא כ"כ הצלחתיהוא לא העלה שום סקריפט מקומפל. בקובץ streamerdata.rar אין וירוס. הקובץ "hjxwtknxpegpruqisrzng.txt" הוא סקריפט autoit לא מקומפל. תפתח בעורך טקסט. קובץ "IMG-512.wsf" הוא vbscript תפתח בעורך טקסט.
-
@www אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@yossiz דרך אגב, יש גם יישום hjxwtknxpegpruqisrzng.exe או שם דומה.
שאיסט לא מוחק אותו, רק את הקבצי טקסט שלידו.כן, כי זה לא וירוס. זה פשוט תוכנת Autoit. הוירוס זה הסקריפט שהוא מריץ. זה כמו שאם מישהו יכתוב וירוס ב-CMD אתה לא רוצה שהאנטי וירוס ימחוק cmd.exe.
-
@איש-נחמד אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אם הקבצים המקוריים נעלמו לכם ובמקומם יש לכם רק קיצורי דרך, יש פתרון לגלות בחזרה את כל הקבצים 'שנעלמו'. העיקרון הוא פשוט, הקבצים לא נעלמו, הם פשוט מוגדרים כמוסתרים ו/או קבצי מערכת, הפיתרון הבא יגרום להם לחזור להיות קבצים רגילים באמצעות הסרת 2 המאפיינים 'מוסתר' ו'קובץ מערכת'.
- צרו קיצור דרך
- בשורת היעד העתיקו את השורה הבאה
C:\Windows\System32\cmd.exe - תנו שם לקיצור-הדרך, לאחמ"כ פתחו את מאפייני קיצור-הדרך ע"י לחיצה עם המקש הימני, מחקו את שורת 'התחל ב:', ולחצו על אישור.
- לאחמ"כ פתחו את קיצור-הדרך, יפתח חלון שחור של שורת הפקודה.
העתיקו את השורה הבאה (יש להחליף את *** בנתיב הרצוי, מופיע בתחילת השורה)
attrib -s -h [*] /d /s - לחצו על 'אנטר' וזהו...
זה בעצם הקובץ הזה שמסתובב
0_1546280612133_תיקון תקיות נסתרות.rar -
@מנצפך אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אני אנסה בל"נ בעז"ה להעלות ל GIT איזשהו קוד שעושה:
-
מוריד הרשאות גישה מהתיקיות הבעייתיות.
-
רץ ברקע ו:
2.1) מוחק ווירוסים מוכרים מהדיסק און קי (או לפחות משנה סיומת).
2.2) סוגר תהליכים של וירוסים מוכרים.
2.3) מציג תיקיות מוסתרות. (לא כולל "system volume information").
עוד משהו?
כל מה שכתבתי פה ג"כ כדאי לעשות כמו להסיר מהאתחול את הפעלת הוירוס כי אף שאינו יכול לפעול בכל זאת מקבלים בכל הדלקה הודעת שגיאה
אם לך זמן וכח אכתוב גם את כל מה שטעון טיפול ותיקון באונקי נגוע
-
-
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@yossiz זה לא מדויק
הקובץ streamer.exe הוא סקריפט autoit מקומפלאתה צודק, (כתבתי מזכרון שאין סקריפט אבל עכשיו שאני מסתכל אני רואה שיש) אבל נ"ל שהסקריפט לא עושה כלום, אמור להיות עוד קובץ בשם streamer.txt או משהו כזה ששם הסקריפט העיקרי.
חיפשתי במחשב ומצאתי סקריפט זה שקיבלתי מ-decompile של windows updater -
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@yossiz זה לא מדויק
הקובץ streamer.exe הוא סקריפט autoit מקומפלstreamer.exe באמת נמחק ע"י איסט, השני לא.
-
@yossiz אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
כן, כי זה לא וירוס. זה פשוט תוכנת Autoit. הוירוס זה הסקריפט שהוא מריץ. זה כמו שאם מישהו יכתוב וירוס ב-CMD אתה לא רוצה שהאנטי וירוס ימחוק cmd.exe.
חשבתי על זה.
אתה בטוח בזה?
מצורף הקובץ.
זהירות וירוס!
0_1546288264191_uwnnmdntrkxetinbiycmo.e xe -
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
-
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?
-
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?
גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעותאז אעתיק הכל לפה עם התיקונים:
לסגור תהליכים:
wscript.exe
cscript.exe
streamer.exe
WinddowsUpdater.exeלהסיר הרשאות מתיקיות
c:\streamer
c:\streamerdata
c:\WinddowsUpdater
C:\WinddowsUpdateCheck
C:\fegmtdrhbkjzbhmbrodnh
C:\kufmrozaaytnhivmdxwbzלהסיר הרשאות מקבצים:
del "%userprofile%\AppData\Local\Temp*.vbs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Local\Temp*.wsf"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Local\Temp*.vfs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
C:*\IMG-512.wsf - אני לא זוכר כרגע את המיקום שלוגם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.iniגם להפעיל את זה:
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /freg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f -
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?
גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעותאז אעתיק הכל לפה עם התיקונים:
גם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.iniזה קצת מוזר. בדרך כלל לא מוחקים קבצי desktop.ini והם לא אמורים לעשות בעיות. הוירוס כנראה מגדיר שיפתחו אותם. אני בודק את זה עכשיו על vm