N
בנתיים עשיתי את זה אבל עדיין חסר:
@upsilon01 @yossiz
איך אני מסיר הרשאות מקבצים (לא תיקיה) הנמצא בתיקיה מסוימת אבל רק כשיש לו סיומת שאבחר. אני ניסתי את זה וזה לא עבד
icacls "C:/ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/*.vbs" /deny Everyone:(OI)(CI)(DE,DC,WD,GR)
שמתי בתיקיה שנמצא בקוד קובץ 11111111111.vbs הפעלתי רק את השורה שלמעלה. ורואים שהמחשב מצא לבד את הקובץ אך כותב כאילו איננו כמו ראה תמונה למטה
@yossiz @upsilon01
מצוין עכשיו שלב הבא זה שאם אין את התיקיות האלו בכלל ב C, אז לייצר אותם באופן יזום.
תביאו בבקשה פקודה שתייצר אותם, למשל תיקית c:/streamer
(הפקודה שתביאו כמובן תבוא לפני פקודת הסרת השראות).
מצאתי מוסיפים GR ואז גם אין אפשרות למערכת לקרוא או להפעיל שם כלום
ככה
icacls "c:/streamer" /deny Everyone:(OI)(CI)(DE,DC,WD,GR)
@yossiz
ובאמת רואים את זה בתמונה שצרפת שכתוב בשלישי שקריאת דטה מותרת. איך מסירים את ההרשאה הזו?
@yossiz אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS מה רע בפקודה הראשונה שכתב @upsilon01 (אחרי התיקון). זה עובד מצויין. הכלל הוא שהרשאות Deny גוברים על Allow. מכיון שכולם חברים בקבוצת Everyone זה חוסם כולם מליצור קבצים בתיקייה.
צודק לא בדקתי לעומק את ההשפעות של הפעולה הזו רק ראיתי שהתיקיה נפתחת אז הבנתי של EVERYONE חסום אבל אם הרשאות "מותר" מפורשות ל SYSTEM או יוסרים אז זה עוקף את הגדרת חסימה של EVERYONE
אבל בכל זאת מה שכן ראיתי שזה שאמנם א"א לצרף או לייצור קבצים חדשים בתוך התיקיה הזו אך כן ניתן להפעיל קבצים שכבר היו שם וזה עדיין בעייתי עם הוירוס הזה כי מה קורה אם הוא כבר נמצא במחשב. אני רוצה שיהיה נעול על מקומו.
לכן איך אנו מוסיפים על הפקודה הנ"ל גם הסרת הפעלת קבצים?
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS
אפשר גם קבוצותicacls test2 /deny BUILTIN\Administrators:(OI)(CI)(DE,DC,WD)
משום מה לא עובד כאילו מראה הכל בסדר אבל למעשה לא מסיר הרשאות רק מ EVERYONE
icacls "c:/streamer" /deny BUILTIN\Administrators:(OI)(CI)(DE,DC,WD)
icacls "c:/streamer" /deny SYSTEM:(OI)(CI)(DE,DC,WD)
icacls "c:/streamer" /deny BUILTIN\USERS:(OI)(CI)(DE,DC,WD)
icacls "c:/streamer" /deny Everyone:(OI)(CI)(DE,DC,WD)
@upsilon01
זה עשיתי באופן ידני. אבל חייב להיות פקודה דומה למה שעשית אבל שמסיר מכולם הרשאות
אולי משהו כזה
icacls "c:/streamer" /deny *:(OI)(CI)(DE,DC,WD)
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS
תקנתי
למעשה זה התחלה טובה אבל לא מספיק כי כל מה שבעצם הוא עשה זה ייצר משתמש everyone והסיר ממנו את כל ההרשאות אבל SYSTEM וכן כל היוסרים עדיין יכולים לגשת לתיקיה וכן הצלחתי לפתוח אותו רגיל. צריכים להגיע למצב שרואים בתמונה שלשום משתמש לא יהיו הרשאות כלל
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
icacls "c:\streamer" /deny Everyone:(OI)(CI)(DE,DC,N)
יש לי כזו תיקיה (יצרתיו לצורך העניין) וזה מה שקבלתי
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אני יכול לכתוב תוכנה שתעשה את זה
אבל הכי פשוט יהיה לעשות את זה ב batch
זה פעולות פשוטות מאד:
icacls test /deny Everyone:(OI)(CI)(DE,DC,N) // זה משנה את ההרשאות לתיקיה
תן דוגמא מושלמת לפקודה הנ"ל למשל איך כותבים אותו לגבי תיקית c:\streamer
@לחיל-אומר אמר בטלפון LG כשר, זה מכשיר טוב ?:
@WWW אמר בטלפון LG כשר, זה מכשיר טוב ?:
@יאיר לא ממליץ.
תן לי להעריך שאתה לא ממליץ בגלל החוזק שלו?
אבל בסך הכל הוא פלאפון די טוב עם איכות שמיעה מעולה, ותפריט נוח.
יש לו גם חיסרון קטן שהבטריה לא כזאת טובה.
גם אם נופל כמה פעמים הולך, אבל מה לעשות שאני מרוצה מכל שאר המעלות שלו כמו שאתה כותב . אבל איפה קונים בפחות מ 280 בלי לנייד קו
@יאיר אמר בטלפון LG כשר, זה מכשיר טוב ?:
@מעמד up tec
ב200
אני בדיוק צריך לקנות, איפה מוכרים ב 200 (בלי ניוד קווים וכדו')
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אתה יכול לשלוח לי מייל (בחתימה)
מה לשלוח? התוכנה עם ההגדרות של נעילת קבצי הוירוס?
אם יש לך כוונות לסייע בכל הסיפור אשמח
@upsilon01 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
זה קצת בעייתי לסגור את cscript.exe ו wscript.exe
הם תהליכים לגיטימיים וסגירתם עלולה לפגוע בפעילות של תוכניות אחרות
יש להבין למה בקשתי לסגור, פשוט כל זמן שהם לא סגורים אז הוירוס ממשיך להתקיף גם אם הסרת הרשאות של התיקיות הללו. לכן אני באמת לא צריך שאלו יהיו סגורים לעולם אלא שהתוכנה שתעשו רק תסגור אותם לרגע ובזה הוירוס יפסיק לעבוד, ובסיום כל הפקודות תפעיל אותם מחדש או ע"י פקודת הפעלה או הפעלה מחדש של המחשב - לא משנה.
@NRS אמר באנטיוירוס אוף-ליין:
@בערל אמר באנטיוירוס אוף-ליין:
טוב.......
לאחר סריקה מלאה של קספרסקי על המחשב ועל הכונן.
הוא מחק את כל הוירוסים!אחרי זה הרצתי על הכונן סריקה של eset nod 32 , ולא מצא כלום.
@aiib , לתשומת ליבך...מקווה שזה אכן ניקה טוב גם את המחשב...
לילה טוב, ושבת שלום!!
ותודה רבה רבה לכל העוזרים!!אני בכלל לא מבין מה הסיפור, תיקון אונקי סה"כ יש לעשות גילוי קבצים מוסתרים>לפתוח תוכנת EVERYTHING>לעשות חיפוש רק בכונן הזה (ע"י לחיצה ימינית על הכונן וללחוץ על search everything> לחפש ולמחוק כל מה שמתחיל עם STREAM וכן WIDDOWS
ואז לחפש LNK שזה ימצא את כל הקיצורי דרך>בחר הכל>מחק
לחפש את שלושתם בחיפוש ניתן לרשום בתיבת החיפוש ככה stream|Winddows|lnk
בחר הכל>מחק
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?
גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעותאז אעתיק הכל לפה עם התיקונים:
גם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.iniזה קצת מוזר. בדרך כלל לא מוחקים קבצי desktop.ini והם לא אמורים לעשות בעיות. הוירוס כנראה מגדיר שיפתחו אותם. אני בודק את זה עכשיו על vm
תראה אין פה הרבה מה לדון, אני אסביר אני לא יודע למה, אבל אחרי שהוירוס מחוק משום מה שהוא מעדכן את הקבצי INI והם פשוט נפתחים בכל הפעלה מחדש, זה לא מזיק אבל מעצבן על פעם שמדליקים את המחשב. והלכתי לבדוק מי גורם ומחקתי אותם ונושעתי (כל מה שכתבתי פה זה מנסיון של למעלה מ 15 מחשבים שקבלו את כל הוירוס הנ"ל מכל הזנים)
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@NRS אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
הבנתי. תוכל לסכם לי כאן בבת אחת את כל הפעולות שצריך לעשות?
גם @מנצפך שאל בדיוק כמוך וזה מה שהשבתי
אבל עכשיו אני רואה שיש שם טעות
אז אעתיק הכל לפה עם התיקונים:
לסגור תהליכים:
wscript.exe
cscript.exe
streamer.exe
WinddowsUpdater.exe
להסיר הרשאות מתיקיות
c:\streamer
c:\streamerdata
c:\WinddowsUpdater
C:\WinddowsUpdateCheck
C:\fegmtdrhbkjzbhmbrodnh
C:\kufmrozaaytnhivmdxwbz
להסיר הרשאות מקבצים:
del "%userprofile%\AppData\Local\Temp*.vbs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vbs"
del "%userprofile%\AppData\Local\Temp*.wsf"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.wsf"
del "%userprofile%\AppData\Local\Temp*.vfs"
del "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
del "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.vfs"
C:*\IMG-512.wsf - אני לא זוכר כרגע את המיקום שלו
גם את שתי אלו יש למחוק שאם לא אז בהפעלה מחדש הוא פותח חלונות של מסמך טקסט וזה סתם מעצבן וזה מגיע משאריות של הוירוס אע"פ שזה קבצי מערכת שלא אמורים להיות קשורים:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\desktop.ini
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
גם להפעיל את זה:
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdater" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "WinddowsUpdate" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "streamer" /f
@בערל אמר באנטיוירוס אוף-ליין:
טוב.......
לאחר סריקה מלאה של קספרסקי על המחשב ועל הכונן.
הוא מחק את כל הוירוסים!אחרי זה הרצתי על הכונן סריקה של eset nod 32 , ולא מצא כלום.
@aiib , לתשומת ליבך...מקווה שזה אכן ניקה טוב גם את המחשב...
לילה טוב, ושבת שלום!!
ותודה רבה רבה לכל העוזרים!!
אני בכלל לא מבין מה הסיפור, תיקון אונקי סה"כ יש לעשות גילוי קבצים מוסתרים>לפתוח תוכנת EVERYTHING>לעשות חיפוש רק בכונן הזה (ע"י לחיצה ימינית על הכונן וללחוץ על search everything> לחפש ולמחוק כל מה שמתחיל עם STREAM וכן WIDDOWS
ואז לחפש LNK שזה ימצא את כל הקיצורי דרך>בחר הכל>מחק
@Men770 אמר בעזרה בתכנות להלחם בוירוס קיצורי הדרך חד ולתמיד - בחינם לכולם:
אולי אני אוכל לעשות זאת בc#.
מה בעצם אתם רוצים לעשות, למחוק את הוירוס אבל להשאיר את התיקיות ריקות ולעשות הרשאות שלא יתנו לוירוס לחזור?
לא אכפת לי שהוירוס גם ישאר במחשב, כל זמן שהוא נעול בבית כלא של חוסר הרשאות הוא לא מאיים! אבל סה"כ מה שכתבת זה נכון והוכח שזה עובד ע"י תוכנה אחרת
הואיל וידידינו @מנצפך כנראה יוכל להתעסק עם זה רק בעתיד (הקרוב מקווים). אולי מישהו מוכן לעשות את כל שהזכרתי בראש האשכול ב CMD לאפשר לרבים להחלץ מהוירוס הזה (גם מחשבים שאין להם חיבור)