לנסות אנטיוירוס מסוים-זה בטוח?

שעטנ"ז ג"ץ

בפרוג העלו סקריפט לנטרול וירוס שתיקון כללי10 לא מטפל. וזה נצרך גם לי.
האם זה בטוח להפעלה (גם מי שכתב את זה לא היה בטוח בעצמו) ???
זה הסקריפט

taskkill /f /IM wscript.exe
attrib -S -H -R d:\*.* /S /D
del d:\*.lnk
del /f /s /q/ Recycler\*.*
rd /s /q recycler
del /f /s /q/ $Recycle.bin\*.*
rd /s /q $Recycle.bin
attrib -S -H -R e:\*.* /S /D
del e:\*.lnk
attrib -S -H -R f:\*.* /S /D
del f:\*.lnk
attrib -S -H -R g:\*.* /S /D
del g:\*.lnk
attrib -S -H -R h:\*.* /S /D
del *.lnk
attrib -S -H -R i:\*.* /S /D
del h:\*.lnk
attrib -S -H -R j:\*.* /S /D
del j:\*.lnk
attrib -S -H -R k:\*.* /S /D
del k:\*.lnk
del D:\Manuel.doc
del e:\Manuel.doc
del f:\Manuel.doc
del g:\Manuel.doc
del h:\Manuel.doc
del i:\Manuel.doc
del j:\Manuel.doc
del j:\Manuel.doc

יאיר מן

@שעטנ-ז-ג-ץ אם מה שאתה רוצה זה להשבית את הדיפינדר יש דרכים יותר בטוחות

bbn

@שעטנ-ז-ג-ץ אולי תשתמש ב ESET להסיר אותו
זה אנטי וירוס ממולץ
ואם זה רק להסיר אותו יש לך גרסת נסיון לחודש בחינם

שעטנ"ז ג"ץ

@bbn אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ אולי תשתמש ב ESET להסיר אותו
זה אנטי וירוס ממולץ
ואם זה רק להסיר אותו יש לך גרסת נסיון לחודש בחינם

ואחרי ל' מה קורה איתי?

bbn

@שעטנ-ז-ג-ץ לא ניסיתי יש לי רשיון
אבל זה או שהוא ממשיך לסרוק אבל בלי עדכונים, או שלא עובד בכלל, צריך לבדוק
וכמובן אתה יכול להסיר אותו או להכניס רשיון

לחיל אומר

@שעטנ-ז-ג-ץ יותר פשוט לעשות סריקה אולנייןשל ESET

שעטנ"ז ג"ץ

נשאל שאלה יותר ממקודת. האם התוכנה הזו שהוא הורג היא תוכנה נצרכת לתפקוד המחשב?
@yossiz @clickone
@משחזר-מידע

clickone

@שעטנ-ז-ג-ץ הוא הורג אותה רק מריצה הרגע. (לא כמו שהורגים מישהו ח"ו שאז א"א להחזיר אותו) הכי הרבה יהיה רק להפעיל אתה מחשב מחדש

לא אמורה להיות בעייה עם הסקריפט הנ"ל.
הוא: (לפי פעולות ולא מספרי שורות בסקריפט)

1. הוג את המריץ סקריפטים.
2. משנה את כל הקבצים המוסתרים לכאלו שלא
3. מוחק את כל הקיצורי דרך בכונן
4. מוחק תיקייה שהיא כביכול הסל מיחזור
   אח"כ הוא מריץ את 1-4 על כמה כוננים
   ובסוף מוחק איזה קובץ וורד (שכנראה נגוע) מכל הכוננים האלו.

מקסימום תצטרך להפעיל את המחשב מחדש.

שעטנ"ז ג"ץ

@clickone אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ הוא הורג אותה רק מריצה הרגע. (לא כמו שהורגים מישהו ח"ו שאז א"א להחזיר אותו) הכי הרבה יהיה רק להפעיל אתה מחשב מחדש

לא אמורה להיות בעייה עם הסקריפט הנ"ל.
הוא: (לפי פעולות ולא מספרי שורות בסקריפט)

1. הוג את המריץ סקריפטים.
2. משנה את כל הקבצים המוסתרים לכאלו שלא
3. מוחק את כל הקיצורי דרך בכונן
4. מוחק תיקייה שהיא כביכול הסל מיחזור
   אח"כ הוא מריץ את 1-4 על כמה כוננים
   ובסוף מוחק איזה קובץ וורד (שכנראה נגוע) מכל הכוננים האלו.

מקסימום תצטרך להפעיל את המחשב מחדש.

אז שוב, האם חשוב תוכנת "מריץ סקריפטים"? והאם יש מצב שהתוכנה הזו 'מריץ סקריפטים' תפעיל את עצמה ע"י איזה תוכנה שמפעילה אותה, וממילא גם את הוירוס שמשתמש בו, ואז לא הועלנו כלום עם כל הסקריפט הנ"ל?

משחזר מידע

@bbn אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

אולי תשתמש ב ESET להסיר אותו

אפשר גם את קספרסקי און ליין

clickone

@שעטנ-ז-ג-ץ
הסקריפט הזה הוא להרצה חד פעמית כדי לנקות את הדיסקאונקי.
לא להגנה קבועה.
בד"כ משתמשים בו אחרי שהוירוס כבר לא עובד.

שעטנ"ז ג"ץ

@clickone אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ
הסקריפט הזה הוא להרצה חד פעמית כדי לנקות את הדיסקאונקי.
לא להגנה קבועה.
בד"כ משתמשים בו אחרי שהוירוס כבר לא עובד.

אבל אני רוצה לעשות כעצתו שם לשים אותו בתיקית הפעלה ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס

משחזר מידע

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס

צריך לטפל בו מהשרש
לא רק לכבות אותו חד פעמית

WWW

@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.

*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.

אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן.

שעטנ"ז ג"ץ

@משחזר-מידע אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס

צריך לטפל בו מהשרש
לא רק לכבות אותו חד פעמית

נכון אבל בנתיים למה זה לא טוב בשביל לגרום לו להיות מנוטרל בכל הפעלה מחדש למה זה לא מספיק

שעטנ"ז ג"ץ

@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.

*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.

אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן.

זה קיצור דרך שנמצא באונקי (זהירות הוא וירוס בעצם). הכנסתי אותו לתוך RAR ולא ה RAR בעצמו הוא וירוס
111.rar

WWW

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

ו

טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript.

שעטנ"ז ג"ץ

@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

ו

טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript.

זה בעיה כי זה לא במחשב שלי אלא של חבר שמשתמש (לא תאמינו) ב XP. המחשב לא אצלי
דוגמית של כמה קבצים שמרתי לי בצד
וכן את קובץ ה DOC

תוכל לבאר מה פי' קובץ VB מוצפן
אני מבין שבעצם הקיצורי דרך גורמים בידים להפעיל את הקובץ הוירוס שהקוד שלו מוטמע בקובץ ה DOC.
אבל באמת שהמחשב היה לפני עשיתי חיפוש עי EVERYTHNG ולא מצאתי שום קובץ DOC עם השם הזה אלא רק באונקי וכן בכל אונקי שההכנסתי מיד נהיו קיצורי דרך וכן נתוסף קובץ DOC
מה שאומר שהקובץ DOC לא מתחבא איפשהו במחשב ומועתק כל פעם לכל אונקי. אלא יש איזה וירוס שמייצר אותו באונקי אך לא נמצא במחשב. וצריכים להגיע למקור במחשב.

הורדת קובץ MANUEL.DOC (זהירות וירוס)

WWW

@שעטנ-ז-ג-ץ כנראה זה מוכנס למחשב תחת שם אחר.
אנסה לנתח את הקובץ.

מצאתי את כל מה שהקובץ עושה: https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-090807-0934-99
אמור להיות קבצים:

%Temp%\SysinfY2X.db
%Temp%\SysinfYhX.db

שצריך גם אותם למחוק.
תריץ חיפוש עם השמות הנ"ל (לאחר הסלש) ותמחק אותם.
או שתצליח לגלות מוסתרים, ותכנס לתיקיית %Temp%, ותמחק את שני הקבצים.

yossiz

@WWW למעשה (עריכה: נכון לעכשיו) הוירוס לא עושה כלום חוץ מלפרות ולרבות (עריכה: זה עדיין מסוכן, וחייבים לנקות את המחשב במידה ויש נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת‏ (Command and Control Center) בכתובת realy.mooo.com.
כרגע הכתובת מפנה ל-127.0.0.2. (מן הסתם הדומיין הוחרם בגלל תלונות)
(גם רואים שזה נכתב על ידי script kiddy וזה רק התאמה של משהו שאחרים יצרו. וירוסים אלו מסתובבים כבר הרבה זמן)

WWW

@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@WWW למעשה הוירוס לא עושה כלום חוץ מלפרות ולרבות

אתה בטוח?
לפני דקה פיענחתי את הסקריפט... עוד לא הספקתי לעבור על הכל.
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב, כמובן שבנטפרי החשש נמוך יותר.
מצורף הוירוס מפוענח:
Manuel.וירוס

yossiz

@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

אתה בטוח?

פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב

התכוונתי שכרגע זה לא עושה כלום מכיון שהדומיין שהוא מתקשר לו מפנה ל-localhost
אני ניחשתי שהדומיין הושבת בגלל תלונות שהתקבלו
ייתכן שזה עדיין תחת שליטת יוצר הוירוס והוא יחליט ביום מן הימים להפנות אותו ל-IP אמיתי. ואם כן, זה וירוס מסוכן מאוד מכיון שיש שם יכולות שליטה על המחשב.

ברור שמי שמשתמש בנטפרי מוגן (בגדול)

WWW

@yossiz אם כו, אל תכתוב שזה לא מסוכן, כי אנשים שלא מבינים בזה, חושבים שבאמת זה לא מסוכן.
הסיבה שבדקתי בזמנו את הוירוס, זה בגלל שחברים שלי טענו שזה רק משכפל את עצמו ואני אמרתי לעצמי שזה לא ייתכן כי מה האינטרס, ואז בדקתי וראיתי באמת מה זה עושה.

וד"א בד"כ הכתובת משתנה כל הזמן, ובמחשב שיש אינטרנט (פתוח), הוירוס אמור להתעדכן אוטומטית.

yossiz

@WWW צודק, ערכתי

שעטנ"ז ג"ץ

@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת‏ (Command and Control Center) בכתובת

אני לא לגמרי מבין את כל הדו שיח שלכם מה שבטוח שהוא עושה קיצורי דרך וזה היה על מחשב שמנותק לחלוטין מהרשת, וזה כלעצמו דבר מעצבן מאד ובפרט שגם אם עושים שיהיו קבצים מוסתרים גלוים, רגע אח"כ הוא משנה בחזרה שיהיו מוסתרים, כך שקשה (למי שלא מבין) לגשת לחומר.

שעטנ"ז ג"ץ

אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?

WWW

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?

אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:

%Temp%\SysinfY2X.db
%Temp%\SysinfYhX.db

ואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...

שעטנ"ז ג"ץ

@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?

אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:

%Temp%\SysinfY2X.db
%Temp%\SysinfYhX.db

ואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...

א"כ אפשר בפשטות להוסיף את זה על הסקריפט דלעיל ככה. זה טוב?

taskkill /f /IM wscript.exe

del %Temp%\SysinfY2X.db
del %Temp%\SysinfYhX.db 

attrib -S -H -R d:\*.* /S /D
del d:\*.lnk
del /f /s /q/ Recycler\*.*
rd /s /q recycler
del /f /s /q/ $Recycle.bin\*.*
rd /s /q $Recycle.bin
attrib -S -H -R e:\*.* /S /D
del e:\*.lnk
attrib -S -H -R f:\*.* /S /D
del f:\*.lnk
attrib -S -H -R g:\*.* /S /D
del g:\*.lnk
attrib -S -H -R h:\*.* /S /D
del *.lnk
attrib -S -H -R i:\*.* /S /D
del h:\*.lnk
attrib -S -H -R j:\*.* /S /D
del j:\*.lnk
attrib -S -H -R k:\*.* /S /D
del k:\*.lnk
del D:\Manuel.doc
del e:\Manuel.doc
del f:\Manuel.doc
del g:\Manuel.doc
del h:\Manuel.doc
del i:\Manuel.doc
del j:\Manuel.doc
del j:\Manuel.doc

yosi44

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:

אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?

אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:

%Temp%\SysinfY2X.db
%Temp%\SysinfYhX.db

ואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...

א"כ אפשר בפשטות להוסיף את זה על הסקריפט דלעיל ככה. זה טוב?

taskkill /f /IM wscript.exe

del %Temp%\SysinfY2X.db
del %Temp%\SysinfYhX.db 

attrib -S -H -R d:\*.* /S /D
del d:\*.lnk
del /f /s /q/ Recycler\*.*
rd /s /q recycler
del /f /s /q/ $Recycle.bin\*.*
rd /s /q $Recycle.bin
attrib -S -H -R e:\*.* /S /D
del e:\*.lnk
attrib -S -H -R f:\*.* /S /D
del f:\*.lnk
attrib -S -H -R g:\*.* /S /D
del g:\*.lnk
attrib -S -H -R h:\*.* /S /D
del *.lnk
attrib -S -H -R i:\*.* /S /D
del h:\*.lnk
attrib -S -H -R j:\*.* /S /D
del j:\*.lnk
attrib -S -H -R k:\*.* /S /D
del k:\*.lnk
del D:\Manuel.doc
del e:\Manuel.doc
del f:\Manuel.doc
del g:\Manuel.doc
del h:\Manuel.doc
del i:\Manuel.doc
del j:\Manuel.doc
del j:\Manuel.doc

ומה יגן שהוירוס לא יחזור. יש פתרון שונה, במקום למחוק אותם, לנעול אותם! הם יהיו במחשב אבל כמו בהסגר של ESET ודומיו
להריץ את זה במקום המחיקה שלהם

icacls "%Temp%\SysinfY2X.db" /deny Everyone:(OI)(CI)(DE,DC,WD,GR) 
icacls "%Temp%\SysinfYhX.db" /deny Everyone:(OI)(CI)(DE,DC,WD,GR)