בקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי

cfopuser

עריכה: הפתרון ש@מישהו12 הביא עושה עבודה יסודית ומנקה גם כוננים מחוברים,

Spoiler

(אם כי הוא מצפה למצוא שמות ידועים של וירוסים,
ואת שלך לדוג' (hrxxryydxo.vbs) הוא לא ימצא,
אבל עדיין אמור לטפל בבעיה כי הוא מטפל בstartup).

מתכנת חובב

@cfopuser הוא לא יטפל בזה
עברתי על הקוד ולא מצאתי משהו שיכול לעזור לזה ספציפית
מה- startup הוא מנקה רק את אלו

for %%F in ("IMG-512.wsf","WinddowsUpdater.lnk","WinddowsUpdateCheck.lnk","winddowsupdate.lnk") do (
    if exist "%%~P\%%~F" attrib -s -h -r "%%~P\%%~F" && del "%%~P\%%~F" /f /q

כנ"ל מהרגיסטרי

::Clean Registry / Startup
For /f "usebackq tokens=2 delims=\" %%U in (`reg.exe query "HKU"`) do (
	for %%P in ("HKU\%%U\SOFTWARE\Microsoft\Windows\CurrentVersion\Run") do (
		for %%F in ("flaterem","strdat","WinddowsUpdater","WinddowsUpdate","img-512","BrowserUpdater","BrowserUpdate","cpuulover") do (
			reg delete %%~P /v "%%~F" /f && if "%%~F"=="img-512" if "!stccomp!"=="" set "stccomp=1" & echo Your computer has been cleaned from the ''old shortcuts'' virus.
			)
		for /f "tokens=1* delims=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ-_. " %%A in ('reg query %%~P /s ^|findstr /xr "[a-z].........[a-z].........[a-z]"') do (
			reg delete %%~P /v "%%~A" /f		
			)
		reg query %%~P /s
		)
	)
for %%P in ("HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run","HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run") do (
	for %%F in ("flaterem","strdat","WinddowsUpdater","WinddowsUpdate","img-512") do (
		reg delete %%~P /v "%%~F" /f && if "%%~F"=="img-512" if "!stccomp!"=="" set "stccomp=1" & echo Your computer has been cleaned from the ''old shortcuts'' virus.
	)
	for /f "tokens=1* delims=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ-_. " %%A in ('reg query %%~P /s ^|findstr /xr "[a-z].........[a-z].........[a-z]"') do (
		reg delete %%~P /v "%%~A" /f
		)
	reg query %%~P /s
	)

וכנ"ל מכוננים פנימיים (ובדומה גם לחיצוניים) - כאן יש גם בדיקה של תבנית regex ספציפית שלא תואמת לוירוס הנ"ל

::internal drives
for /f "tokens=2 delims==" %%G in ('WMIC logicaldisk where "DriveType=3" get DeviceID /value 2^>NUL ^| find "="') do for /f "delims=" %%X in ("%%G") do (
	for /f "tokens=* delims=" %%D in ('dir %%X\ /b /as') do (
		if "%%D"=="streamer" attrib -s -h -r %%X\streamer
		if "%%D"=="streamerdata" attrib -s -h -r %%X\streamerdata
		if "%%D"=="WinddowsUpdater" attrib -s -h -r %%X\WinddowsUpdater
		if "%%D"=="WinddowsUpdateCheck" attrib -s -h -r %%X\WinddowsUpdateCheck
		if "%%D"=="BrowserUpdater" attrib -s -h -r %%X\BrowserUpdater
		if "%%D"=="BrowserUpdateCheck" attrib -s -h -r %%X\BrowserUpdateCheck
		if "%%D"=="IMG-512.wsf" attrib -s -h -r %%X\IMG-512.wsf & del %%X\IMG-512.wsf && echo The virus ''old shortcuts'' has been removed from drive %%X.
		)
	for /f "tokens=1* delims=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ-_. " %%A in ('dir c:\ /b /ad ^|findstr /xr "[a-z].........[a-z].........[a-z]"') do (
		attrib -s -h -r "%%X\%%A"
		rd /s /q "%%X\%%A" & if "!AutoHK.NAPd!"=="" (set "AutoHK.NAPd=1" & echo The virus ''AutoHK.NAP'' has been removed from drive %%X.)
		)
	for /f "delims=" %%D in ('dir %%X\ /b /ad') do (
		for %%F in ("My Downloads","My Videos","My Pictures","Downloads","Games") do (
			if exist "%%X\%%D\%%~F.lnk" del "%%X\%%D\%%~F.lnk"
			)
		for /f "usebackq tokens=1* delims=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ-_. " %%A in (`dir /b /ads "%%X\%%D\" ^|findstr /xr "[a-z].........[a-z].........[a-z]"`) do (
			attrib -s -h -r "%%X\%%D\%%A"
			rd /s /q "%%X\%%D\%%A" & if "!AutoHK.NAPd!"=="" (set "AutoHK.NAPd=1" & echo The virus ''AutoHK.NAP'' has been removed from drive %%X.)
			)
		if exist "%%X\%%D\%%D copy*.lnk" del "%%X\%%D\%%D copy*.lnk"  
		if exist "%%X\%%D\%%D.lnk" del "%%X\%%D\%%D.lnk"
		if exist "%%X\%%D\streamerdata" attrib -s -h -r "%%X\%%D\streamerdata" & rd "%%X\%%D\streamerdata" /s /q
		if /i "%%D"=="streamer" rd /s /q %%X\streamer && echo The virus ''%%D'' has been removed from drive %%X.
		if /i "%%D"=="streamerdata" rd /s /q %%X\streamerdata
		if /i "%%D"=="WinddowsUpdater" rd /s /q %%X\WinddowsUpdater && echo The virus ''%%D'' has been removed from drive %%X.
		if /i "%%D"=="WinddowsUpdateCheck" rd /s /q %%X\WinddowsUpdateCheck
		if /i "%%D"=="BrowserUpdater" rd /s /q %%X\BrowserUpdater && echo The virus ''%%D'' has been removed from drive %%X.
		if /i "%%D"=="BrowserUpdateCheck" rd /s /q %%X\BrowserUpdateCheck
		)
	set "AutoHK.NAPd="
	)

המלצתי היא פשוט להריץ את התיקון הזה רק כדי לסגור את wscript (או פשוט להריץ taskkill /f /im wscript.exe משורת הפקודה כמנהל) וכדי למנוע עליה של הוירוס בהפעלה הבאה של המחשב אפשר לחפש ולמחוק אותו מהמחשב (הוא אמור להיות ב temp וב startup ויש לו גם רישומים ברגיסטרי) וכדאי גם למחוק את הכניסות עצמם - אפשר לעשות את זה עם autoruns

cfopuser

@מתכנת-חובב כתב בבקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי:

המלצתי היא פשוט להריץ את התיקון הזה רק כדי לסגור את wscript (או פשוט להריץ taskkill /f /im wscript.exe משורת הפקודה כמנהל) וכדי למנוע עליה של הוירוס בהפעלה הבאה של המחשב אפשר לחפש ולמחוק אותו מהמחשב (הוא אמור להיות ב temp וב startup ויש לו גם רישומים ברגיסטרי) וכדאי גם למחוק את הכניסות עצמם - אפשר לעשות את זה עם autoruns

או לכבות vbs דרך הריג'יסטרי.

מתכנת חובב

@cfopuser בשביל מה?
אם יש אנטי וירוס נורמלי וזה לא מחשב שיושבים עליו נתונים פרטיים לא צריך ללכת רחוק כל כך

cfopuser

@מתכנת-חובב כתב בבקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי:

@cfopuser בשביל מה?

לחסום הדבקות פעם נוספת, האנטי וירוס לא הועיל כפי שכבר הוכח.

מתכנת חובב

@רנדומלי בקשה פשוטה מג'מיני בצירף הקוד של הוירוס הניבה סקריפט PS שמטפל בזה

$vName = "hrxxryydxo"
$vFile = "$vName.vbs"

Write-Host "--- מתחיל בניקוי המחשב ---" -ForegroundColor Cyan

# 1. עצירת התהליך החי במחשב
Get-CimInstance Win32_Process -Filter "Name = 'wscript.exe'" | 
    Where-Object CommandLine -match $vName | 
    Invoke-CimMethod -MethodName Terminate | Out-Null
Write-Host "[+] תהליך הווירוס בזיכרון נעצר." -ForegroundColor Green

# 2. עקירת שורשי ההפעלה מהרגיסטרי (Registry) במחשב
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name $vName -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" -Name $vName -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\Software\$vName" -Recurse -ErrorAction SilentlyContinue
Write-Host "[+] ערכי הרישום וההפעלה האוטומטית נוקו." -ForegroundColor Green

# 3. מחיקת הקבצים הפיזיים מהמחשב (מתיקיות Temp ו-Startup)
$tempDir = [System.IO.Path]::GetTempPath()
$startupDir = [Environment]::GetFolderPath('Startup')
Remove-Item -Path "$tempDir\$vFile" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$startupDir\$vFile" -Force -ErrorAction SilentlyContinue
Write-Host "[+] קבצי הווירוס נמחקו מהמחשב (Temp, Startup)." -ForegroundColor Green


Write-Host "--- מתחיל בסריקת כוננים חיצוניים ---" -ForegroundColor Cyan

# 4. ניקוי כל הכוננים החיצוניים המחוברים ושחזור קבצים
$usbDrives = Get-CimInstance Win32_LogicalDisk -Filter "DriveType = 2"

if ($usbDrives.Count -eq 0) {
    Write-Host "[-] לא זוהו כונני USB מחוברים." -ForegroundColor Yellow
} else {
    foreach ($drive in $usbDrives) {
        $driveLetter = $drive.DeviceID + "\" 
        Write-Host "סורק כונן $driveLetter..." -ForegroundColor Cyan

        # מחיקת קיצורי הדרך המזויפים וקובץ הווירוס מהכונן
        Remove-Item -Path "$driveLetter*.lnk" -Force -ErrorAction SilentlyContinue
        Remove-Item -Path "$driveLetter$vFile" -Force -ErrorAction SilentlyContinue

        # פעולת התיקון הלוגית: ביטול דגלי ההסתרה והמערכת
        Get-ChildItem -Path $driveLetter -Force | ForEach-Object {
            if (($_.Attributes -band [System.IO.FileAttributes]::Hidden) -or ($_.Attributes -band [System.IO.FileAttributes]::System)) {
                $_.Attributes = $_.Attributes -band -bnot [System.IO.FileAttributes]::Hidden
                $_.Attributes = $_.Attributes -band -bnot [System.IO.FileAttributes]::System
            }
        }
        Write-Host "[+] כונן $driveLetter נוקה והקבצים המקוריים שוחזרו." -ForegroundColor Green
    }
}

Write-Host "--- הניקוי הושלם במלואו! ---" -ForegroundColor Green

לשמור את זה עם הסיומת ps1 ולהריץ כמנהל

מתכנת חובב

@cfopuser הוא לא כתב איזה אנטי וירוס יש שם אבל אנטי וירוס נורמלי שמוגדר בצורה נורמלית ומחשב עם בקרת UAC נורמלית לא אמורים להידבק בוירוסים האלו
זה וירוס קל מאוד לזיהוי (אפשר לראות בקוד חתימה ברורה וכל מנוע יוריסטי יזהה את הפעילות שלו)
עריכה: אפילו בניתוח סטטי הוא מזוהה על ידי 47 מתוך 62 בוירוס טוטאל

cfopuser

@רנדומלי כתב בבקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי:

לצערי הרב, אחד הכוננים האלו הדביק מחשב אוצר החכמה שנמצא בבית הכנסת, למרות שהמחשב מוגן באמצעות אנטי וירוס מעודכן.

נראה שלא הועיל,
לא יודע איך המחשב שלהם מוגדר אבל ניחוש שלי שמישהו פשוט השבית את האנטי וירוס כדי שהוא יוכל ללחוץ על הקיצור דרך החשוב שלו...

מתכנת חובב

@cfopuser האנטי וירוס היה אמור למחוק את מנגנון ההתפשטות של זה עוד לפני שהמשתמש השבית וכך זה לא היה עובר למחשב מלכתחילה

רנדומלי

השאלה אם גם אנטיוירוס שהוא אופליין היה מזהה אותו.
מלבד זאת, אין על המחשב הזה עוד אנטיוירוס חוץ מדיפנדר (אבל אני מקפיד לעדכן אותו כל הזמן).

מה שעשיתי כרגע הוא להשבית את wcscript באמצעות מנהל המשימות, ולמחוק אותו ידנית מכל מפתחות הרג'יסטרי שמופיעים בקוד.

גם חיפשתי את שם הקובץ ב־everything ומחקתי את כל המופעים של הקובץ במחשב.

@cfopuser האם כשמשביתים אנטיוירוס ומפעילים תוכנה כלשהי, האם תוכנה זו לא תזוהה שוב כזדונית לנצח?

cfopuser

@רנדומלי היא כן.

תלמידהון

@רנדומלי יש לך מה להפסיד מאיפוס מלא של המחשב?

מתכנת חובב

@רנדומלי כתב בבקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי:

האם תוכנה זו לא תזוהה שוב כזדונית לנצח?

היא עלולה לבצע דברים - החל מהחרגות ועד לזיהום של קבצי מערכת שימנעו זיהוי עתידי שלה

רנדומלי

@מתכנת-חובב
השאלה היא אם הקוד הנוכחי אכן עושה זאת.
כי המחשב הזה לא היה מחובר לרשת מאז שהוא נדבק, ועל כן לא סביר שתוקף הריץ קוד נוסף שלא גלוי לנו.

@תלמידהון
כנראה שלא. אבל השאלה היא אם זה שווה את המאמץ או שבעוד שבועיים זה יקרה שוב.

תלמידהון

@רנדומלי כתב בבקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי:

השאלה היא אם זה שווה את המאמץ או שבעוד שבועיים זה יקרה שוב.

אם יש לך אנטי וירוס מעודכן זה לא אמור לחזור

מתכנת חובב

@רנדומלי כתב בבקשה | מחשב של אוצה"ח הפך לבור ברשות הרבים עקב הידבקותו בווירוס נוראי:

השאלה היא אם הקוד הנוכחי אכן עושה זאת.

בזה ספציפית לא אבל כמובן שאם המחשב היה מחובר לאינטרנט אז אין לדעת
לכאורה סריקה עם אנטי וירוס טוב ועיקור של הוירוס יספיקו
תריץ את מה ששלחתי לך וזה יסיר אותו ואולי באמת להבא תשבית את wscript אבל לא יודע מה זה עלול לשבש במחשב הזה (קצת מוזר שהאנטי וירוס לא עלה על זה אם ב VT הוא כן מזהה אותו)

רנדומלי

@מתכנת-חובב
תהיה מוכן להסביר לי איך אני מכבה VBS?

זה אכן יועיל לווירוס הספציפי הזה, אבל מה אם יבוא מחר ווירוס שמבוסס על CMD או PowerShell, או סתם EXE?

מתכנת חובב

@רנדומלי תריץ את זה כמנהל

reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_DWORD /d 0 /f