לנסות אנטיוירוס מסוים-זה בטוח?
-
@bbn אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אולי תשתמש ב ESET להסיר אותו
זה אנטי וירוס ממולץ
ואם זה רק להסיר אותו יש לך גרסת נסיון לחודש בחינםואחרי ל' מה קורה איתי?
-
@שעטנ-ז-ג-ץ לא ניסיתי יש לי רשיון
אבל זה או שהוא ממשיך לסרוק אבל בלי עדכונים, או שלא עובד בכלל, צריך לבדוק
וכמובן אתה יכול להסיר אותו או להכניס רשיון -
@שעטנ-ז-ג-ץ יותר פשוט לעשות סריקה אולנייןשל ESET
-
נשאל שאלה יותר ממקודת. האם התוכנה הזו שהוא הורג היא תוכנה נצרכת לתפקוד המחשב?
@yossiz @clickone
@משחזר-מידע -
@שעטנ-ז-ג-ץ הוא הורג אותה רק מריצה הרגע. (לא כמו שהורגים מישהו ח"ו שאז א"א להחזיר אותו) הכי הרבה יהיה רק להפעיל אתה מחשב מחדש
לא אמורה להיות בעייה עם הסקריפט הנ"ל.
הוא: (לפי פעולות ולא מספרי שורות בסקריפט)- הוג את המריץ סקריפטים.
- משנה את כל הקבצים המוסתרים לכאלו שלא
- מוחק את כל הקיצורי דרך בכונן
- מוחק תיקייה שהיא כביכול הסל מיחזור
אח"כ הוא מריץ את 1-4 על כמה כוננים
ובסוף מוחק איזה קובץ וורד (שכנראה נגוע) מכל הכוננים האלו.
מקסימום תצטרך להפעיל את המחשב מחדש.
-
@clickone אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ הוא הורג אותה רק מריצה הרגע. (לא כמו שהורגים מישהו ח"ו שאז א"א להחזיר אותו) הכי הרבה יהיה רק להפעיל אתה מחשב מחדש
לא אמורה להיות בעייה עם הסקריפט הנ"ל.
הוא: (לפי פעולות ולא מספרי שורות בסקריפט)- הוג את המריץ סקריפטים.
- משנה את כל הקבצים המוסתרים לכאלו שלא
- מוחק את כל הקיצורי דרך בכונן
- מוחק תיקייה שהיא כביכול הסל מיחזור
אח"כ הוא מריץ את 1-4 על כמה כוננים
ובסוף מוחק איזה קובץ וורד (שכנראה נגוע) מכל הכוננים האלו.
מקסימום תצטרך להפעיל את המחשב מחדש.
אז שוב, האם חשוב תוכנת "מריץ סקריפטים"? והאם יש מצב שהתוכנה הזו 'מריץ סקריפטים' תפעיל את עצמה ע"י איזה תוכנה שמפעילה אותה, וממילא גם את הוירוס שמשתמש בו, ואז לא הועלנו כלום עם כל הסקריפט הנ"ל?
-
-
@שעטנ-ז-ג-ץ
הסקריפט הזה הוא להרצה חד פעמית כדי לנקות את הדיסקאונקי.
לא להגנה קבועה.
בד"כ משתמשים בו אחרי שהוירוס כבר לא עובד. -
@clickone אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ
הסקריפט הזה הוא להרצה חד פעמית כדי לנקות את הדיסקאונקי.
לא להגנה קבועה.
בד"כ משתמשים בו אחרי שהוירוס כבר לא עובד.אבל אני רוצה לעשות כעצתו שם לשים אותו בתיקית הפעלה ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס
-
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס
צריך לטפל בו מהשרש
לא רק לכבות אותו חד פעמית -
@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.
*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן. -
@משחזר-מידע אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ככה בכל הפעלה הוא פשוט "מכבה" את הוירוס
צריך לטפל בו מהשרש
לא רק לכבות אותו חד פעמיתנכון אבל בנתיים למה זה לא טוב בשביל לגרום לו להיות מנוטרל בכל הפעלה מחדש למה זה לא מספיק
-
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.
*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן.זה קיצור דרך שנמצא באונקי (זהירות הוא וירוס בעצם). הכנסתי אותו לתוך RAR ולא ה RAR בעצמו הוא וירוס
111.rar -
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ו
טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript. -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ו
טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript.זה בעיה כי זה לא במחשב שלי אלא של חבר שמשתמש (לא תאמינו) ב XP. המחשב לא אצלי
דוגמית של כמה קבצים שמרתי לי בצד
וכן את קובץ ה DOCתוכל לבאר מה פי' קובץ VB מוצפן
אני מבין שבעצם הקיצורי דרך גורמים בידים להפעיל את הקובץ הוירוס שהקוד שלו מוטמע בקובץ ה DOC.
אבל באמת שהמחשב היה לפני עשיתי חיפוש עי EVERYTHNG ולא מצאתי שום קובץ DOC עם השם הזה אלא רק באונקי וכן בכל אונקי שההכנסתי מיד נהיו קיצורי דרך וכן נתוסף קובץ DOC
מה שאומר שהקובץ DOC לא מתחבא איפשהו במחשב ומועתק כל פעם לכל אונקי. אלא יש איזה וירוס שמייצר אותו באונקי אך לא נמצא במחשב. וצריכים להגיע למקור במחשב. -
@שעטנ-ז-ג-ץ כנראה זה מוכנס למחשב תחת שם אחר.
אנסה לנתח את הקובץ.מצאתי את כל מה שהקובץ עושה: https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-090807-0934-99
אמור להיות קבצים:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.db
שצריך גם אותם למחוק.
תריץ חיפוש עם השמות הנ"ל (לאחר הסלש) ותמחק אותם.
או שתצליח לגלות מוסתרים, ותכנס לתיקיית %Temp%, ותמחק את שני הקבצים. -
@WWW למעשה (עריכה: נכון לעכשיו) הוירוס לא עושה כלום חוץ מלפרות ולרבות (עריכה: זה עדיין מסוכן, וחייבים לנקות את המחשב במידה ויש נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת (Command and Control Center) בכתובתrealy.mooo.com
.
כרגע הכתובת מפנה ל-127.0.0.2. (מן הסתם הדומיין הוחרם בגלל תלונות)
(גם רואים שזה נכתב על ידי script kiddy וזה רק התאמה של משהו שאחרים יצרו. וירוסים אלו מסתובבים כבר הרבה זמן) -
@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@WWW למעשה הוירוס לא עושה כלום חוץ מלפרות ולרבות
אתה בטוח?
לפני דקה פיענחתי את הסקריפט... עוד לא הספקתי לעבור על הכל.
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב, כמובן שבנטפרי החשש נמוך יותר.
מצורף הוירוס מפוענח:
Manuel.וירוס -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אתה בטוח?
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב
התכוונתי שכרגע זה לא עושה כלום מכיון שהדומיין שהוא מתקשר לו מפנה ל-localhost
אני ניחשתי שהדומיין הושבת בגלל תלונות שהתקבלו
ייתכן שזה עדיין תחת שליטת יוצר הוירוס והוא יחליט ביום מן הימים להפנות אותו ל-IP אמיתי. ואם כן, זה וירוס מסוכן מאוד מכיון שיש שם יכולות שליטה על המחשב.ברור שמי שמשתמש בנטפרי מוגן (בגדול)
-
@yossiz אם כו, אל תכתוב שזה לא מסוכן, כי אנשים שלא מבינים בזה, חושבים שבאמת זה לא מסוכן.
הסיבה שבדקתי בזמנו את הוירוס, זה בגלל שחברים שלי טענו שזה רק משכפל את עצמו ואני אמרתי לעצמי שזה לא ייתכן כי מה האינטרס, ואז בדקתי וראיתי באמת מה זה עושה.וד"א בד"כ הכתובת משתנה כל הזמן, ובמחשב שיש אינטרנט (פתוח), הוירוס אמור להתעדכן אוטומטית.