לנסות אנטיוירוס מסוים-זה בטוח?
-
בפרוג העלו סקריפט לנטרול וירוס שתיקון כללי10 לא מטפל. וזה נצרך גם לי.
האם זה בטוח להפעלה (גם מי שכתב את זה לא היה בטוח בעצמו) ???
זה הסקריפטtaskkill /f /IM wscript.exe attrib -S -H -R d:\*.* /S /D del d:\*.lnk del /f /s /q/ Recycler\*.* rd /s /q recycler del /f /s /q/ $Recycle.bin\*.* rd /s /q $Recycle.bin attrib -S -H -R e:\*.* /S /D del e:\*.lnk attrib -S -H -R f:\*.* /S /D del f:\*.lnk attrib -S -H -R g:\*.* /S /D del g:\*.lnk attrib -S -H -R h:\*.* /S /D del *.lnk attrib -S -H -R i:\*.* /S /D del h:\*.lnk attrib -S -H -R j:\*.* /S /D del j:\*.lnk attrib -S -H -R k:\*.* /S /D del k:\*.lnk del D:\Manuel.doc del e:\Manuel.doc del f:\Manuel.doc del g:\Manuel.doc del h:\Manuel.doc del i:\Manuel.doc del j:\Manuel.doc del j:\Manuel.doc
-
@שעטנ-ז-ג-ץ אם מה שאתה רוצה זה להשבית את הדיפינדר יש דרכים יותר בטוחות
-
@שעטנ-ז-ג-ץ אולי תשתמש ב ESET להסיר אותו
זה אנטי וירוס ממולץ
ואם זה רק להסיר אותו יש לך גרסת נסיון לחודש בחינם -
@bbn אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אולי תשתמש ב ESET להסיר אותו
זה אנטי וירוס ממולץ
ואם זה רק להסיר אותו יש לך גרסת נסיון לחודש בחינםואחרי ל' מה קורה איתי?
-
@שעטנ-ז-ג-ץ לא ניסיתי יש לי רשיון
אבל זה או שהוא ממשיך לסרוק אבל בלי עדכונים, או שלא עובד בכלל, צריך לבדוק
וכמובן אתה יכול להסיר אותו או להכניס רשיון -
@שעטנ-ז-ג-ץ יותר פשוט לעשות סריקה אולנייןשל ESET
-
נשאל שאלה יותר ממקודת. האם התוכנה הזו שהוא הורג היא תוכנה נצרכת לתפקוד המחשב?
@yossiz @clickone
@משחזר-מידע -
@שעטנ-ז-ג-ץ הוא הורג אותה רק מריצה הרגע. (לא כמו שהורגים מישהו ח"ו שאז א"א להחזיר אותו) הכי הרבה יהיה רק להפעיל אתה מחשב מחדש
לא אמורה להיות בעייה עם הסקריפט הנ"ל.
הוא: (לפי פעולות ולא מספרי שורות בסקריפט)- הוג את המריץ סקריפטים.
- משנה את כל הקבצים המוסתרים לכאלו שלא
- מוחק את כל הקיצורי דרך בכונן
- מוחק תיקייה שהיא כביכול הסל מיחזור
אח"כ הוא מריץ את 1-4 על כמה כוננים
ובסוף מוחק איזה קובץ וורד (שכנראה נגוע) מכל הכוננים האלו.
מקסימום תצטרך להפעיל את המחשב מחדש.
-
@clickone אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ הוא הורג אותה רק מריצה הרגע. (לא כמו שהורגים מישהו ח"ו שאז א"א להחזיר אותו) הכי הרבה יהיה רק להפעיל אתה מחשב מחדש
לא אמורה להיות בעייה עם הסקריפט הנ"ל.
הוא: (לפי פעולות ולא מספרי שורות בסקריפט)- הוג את המריץ סקריפטים.
- משנה את כל הקבצים המוסתרים לכאלו שלא
- מוחק את כל הקיצורי דרך בכונן
- מוחק תיקייה שהיא כביכול הסל מיחזור
אח"כ הוא מריץ את 1-4 על כמה כוננים
ובסוף מוחק איזה קובץ וורד (שכנראה נגוע) מכל הכוננים האלו.
מקסימום תצטרך להפעיל את המחשב מחדש.
אז שוב, האם חשוב תוכנת "מריץ סקריפטים"? והאם יש מצב שהתוכנה הזו 'מריץ סקריפטים' תפעיל את עצמה ע"י איזה תוכנה שמפעילה אותה, וממילא גם את הוירוס שמשתמש בו, ואז לא הועלנו כלום עם כל הסקריפט הנ"ל?
-
-
@שעטנ-ז-ג-ץ
הסקריפט הזה הוא להרצה חד פעמית כדי לנקות את הדיסקאונקי.
לא להגנה קבועה.
בד"כ משתמשים בו אחרי שהוירוס כבר לא עובד. -
@clickone אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ
הסקריפט הזה הוא להרצה חד פעמית כדי לנקות את הדיסקאונקי.
לא להגנה קבועה.
בד"כ משתמשים בו אחרי שהוירוס כבר לא עובד.אבל אני רוצה לעשות כעצתו שם לשים אותו בתיקית הפעלה ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס
-
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס
צריך לטפל בו מהשרש
לא רק לכבות אותו חד פעמית -
@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.
*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן. -
@משחזר-מידע אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס
צריך לטפל בו מהשרש
לא רק לכבות אותו חד פעמיתנכון אבל בנתיים למה זה לא טוב בשביל לגרום לו להיות מנוטרל בכל הפעלה מחדש למה זה לא מספיק
-
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.
*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן.זה קיצור דרך שנמצא באונקי (זהירות הוא וירוס בעצם). הכנסתי אותו לתוך RAR ולא ה RAR בעצמו הוא וירוס
111.rar -
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ו
טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript. -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ו
טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript.זה בעיה כי זה לא במחשב שלי אלא של חבר שמשתמש (לא תאמינו) ב XP. המחשב לא אצלי
דוגמית של כמה קבצים שמרתי לי בצד
וכן את קובץ ה DOCתוכל לבאר מה פי' קובץ VB מוצפן
אני מבין שבעצם הקיצורי דרך גורמים בידים להפעיל את הקובץ הוירוס שהקוד שלו מוטמע בקובץ ה DOC.
אבל באמת שהמחשב היה לפני עשיתי חיפוש עי EVERYTHNG ולא מצאתי שום קובץ DOC עם השם הזה אלא רק באונקי וכן בכל אונקי שההכנסתי מיד נהיו קיצורי דרך וכן נתוסף קובץ DOC
מה שאומר שהקובץ DOC לא מתחבא איפשהו במחשב ומועתק כל פעם לכל אונקי. אלא יש איזה וירוס שמייצר אותו באונקי אך לא נמצא במחשב. וצריכים להגיע למקור במחשב. -
@שעטנ-ז-ג-ץ כנראה זה מוכנס למחשב תחת שם אחר.
אנסה לנתח את הקובץ.מצאתי את כל מה שהקובץ עושה: https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-090807-0934-99
אמור להיות קבצים:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.db
שצריך גם אותם למחוק.
תריץ חיפוש עם השמות הנ"ל (לאחר הסלש) ותמחק אותם.
או שתצליח לגלות מוסתרים, ותכנס לתיקיית %Temp%, ותמחק את שני הקבצים. -
@WWW למעשה (עריכה: נכון לעכשיו) הוירוס לא עושה כלום חוץ מלפרות ולרבות (עריכה: זה עדיין מסוכן, וחייבים לנקות את המחשב במידה ויש נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת (Command and Control Center) בכתובתrealy.mooo.com
.
כרגע הכתובת מפנה ל-127.0.0.2. (מן הסתם הדומיין הוחרם בגלל תלונות)
(גם רואים שזה נכתב על ידי script kiddy וזה רק התאמה של משהו שאחרים יצרו. וירוסים אלו מסתובבים כבר הרבה זמן)