Autorun virüslerine karşı .vbs ile önlem

[Asri]

Merhaba,

Flash disk lerden ve diğer sürücülerin autorun.inf lerini kullanarak bulşan virüsleri engellemek için bir kaç script ten derleme yaparak aşağıdaki script i oluşturdum.

Scriptin yapabildikleri,

1- Tüm sürücüler ve paylaşım dizinlerindeki autorun.inf dosyalarını siler.
2- Tüm sürücüler ve paylaşım dizinlerine autorun.inf dizini açar.
3- Tüm sürücüler ve paylaşım dizinlerindeki tanımlı autorun virüslerini siler.
4- Tüm sürücülerin autorun özelliklerini kapatır.

Not: Script paylaşım amaçlıdır. Doğabilecek sorunlar için sorumluluk kabul edilmez.

iyi çalışmalar.

 

[BG]

Sayın asri

Merhaba,

Flash disk lerden ve diğer sürücülerin autorun.inf lerini kullanarak bulşan virüsleri engellemek için bir kaç script ten derleme yaparak aşağıdaki script i oluşturdum.

Scriptin yapabildikleri,

1- Tüm sürücüler ve paylaşım dizinlerindeki autorun.inf dosyalarını siler.
2- Tüm sürücüler ve paylaşım dizinlerine autorun.inf dizini açar.
3- Tüm sürücüler ve paylaşım dizinlerindeki tanımlı autorun virüslerini siler.
4- Tüm sürücülerin autorun özelliklerini kapatır.

Not: Script paylaşım amaçlıdır. Doğabilecek sorunlar için sorumluluk kabul edilmez.

iyi çalışmalar.

Flash diskete bulunan autorun virüsü için etkili oldu, emeğiniz ve paylaşımınız için teşekkürler.

 

[S.Yiğit]

Merhaba,,

Paylaşım için teşekkürler. Flash diskette işe yaraması güzel.

 

[şahrapçi]

Teşekkürler Paylaşımlarınız İçin Devamını Bekleriz virüs isimleri özellikleri autorun.inf başlığı altında gelişen virüs sayıları günümzde artmakta işe yarar.güncel tutsan ii olur

 

[Asri]

Flash diskete bulunan autorun virüsü için etkili oldu, emeğiniz ve paylaşımınız için teşekkürler.

Merhaba,

İşe yaramasına sevindim.

Güncel tutmaya çalışırım.

iyi çalışmalar.

 

[BKCAN]

emeginiz için teşekkür ederim güzel bir paylaşım

 

[1Al2Ver]

Merhaba,

Flash disk lerden ve diğer sürücülerin autorun.inf lerini kullanarak bulşan virüsleri engellemek için bir kaç script ten derleme yaparak aşağıdaki script i oluşturdum.

Scriptin yapabildikleri,

1- Tüm sürücüler ve paylaşım dizinlerindeki autorun.inf dosyalarını siler.
2- Tüm sürücüler ve paylaşım dizinlerine autorun.inf dizini açar.
3- Tüm sürücüler ve paylaşım dizinlerindeki tanımlı autorun virüslerini siler.
4- Tüm sürücülerin autorun özelliklerini kapatır.

Not: Script paylaşım amaçlıdır. Doğabilecek sorunlar için sorumluluk kabul edilmez.

iyi çalışmalar.

Merhaba sayın asri,

Elinize sağlık, ben de uyguladım ve netice de aldım,

Bir sorum olacaktı, sitemizden indirdiğim Pop-up calendar programı çalışmamaya başladı, acaba script bu programa etki etmiş olabilir mi ?

Pop-up calendar'ı www.office-kit.com'dan tekrar yükledim ama yine sonuç değişmedi ?

Bu konuda bilginiz varsa paylaşırsanız memnun olurum.

Teşekkür ederim.

 

[Asri]

Merhaba sayın asri,

Elinize sağlık, ben de uyguladım ve netice de aldım,

Bir sorum olacaktı, sitemizden indirdiğim Pop-up calendar programı çalışmamaya başladı, acaba script bu programa etki etmiş olabilir mi ?

Pop-up calendar'ı www.office-kit.com'dan tekrar yükledim ama yine sonuç değişmedi ?

Bu konuda bilginiz varsa paylaşırsanız memnun olurum.

Teşekkür ederim.

Merhaba,

sitesinden Pop-Up calendar'ı indirip kurdum. Çalıştığını gördüm.
Script'i çalıştırım ve bittikten sonra tekrar Pop-Up calendar'a baktım çalışmasında sorun görünmedi.

Script açık kodlu, konuu hakkında bilgili arkadaşlar inceleyebilir. Script içinde tanımlı dosyalar. Ana dizinler ve paylaşımlarda aranarak siliniyor ve tekrar bulaşma olmaması için, her bir sürücü ve paylaşım dizinine autorun.inf dizini oluşturuluyor. Bir de registry de autorun ve folder optionları ayarlıyor.

iyi çalışmalar.

 

[1Al2Ver]

Merhaba,

sitesinden Pop-Up calendar'ı indirip kurdum. Çalıştığını gördüm.
Script'i çalıştırım ve bittikten sonra tekrar Pop-Up calendar'a baktım çalışmasında sorun görünmedi.

Script açık kodlu, konuu hakkında bilgili arkadaşlar inceleyebilir. Script içinde tanımlı dosyalar. Ana dizinler ve paylaşımlarda aranarak siliniyor ve tekrar bulaşma olmaması için, her bir sürücü ve paylaşım dizinine autorun.inf dizini oluşturuluyor. Bir de registry de autorun ve folder optionları ayarlıyor.

iyi çalışmalar.

Sayın asri merhaba,

Açıklamalar için teşekkür ederim, saygılarımla.

 

[Tarkan VURAL]

Paylaşım için teşekkürler. Sanırım bu scriptin orjinali ispanyollar tarafından yazılmıştı. Geekside.com sitesinden yayılma bir script. Ahnrpta.exe ve Olhwref.exe dosyalarını imha etmeyi henüz bulamadılar mı acaba çünkü bunlar yine geri geliyor. Bu dosyalar tehlikeli dosyalar. Ahnrpta.exe c:\windows altında çalışıyor ve görev yöneticisinden baktığınızda çalışıyor görünüyor. Olhwref.exe de system32 içerisinde ve gizli dosya. Msconfig içine baktığınızda kendini açılışa eklemiş görüyorsunuz. Sil sil geri geliyorlar. İnternet bağlantınızı yavaşlatıyor ve tüm sürücülerde istenmeyen dosyalar oluşturmaya devam ediyorlar.
Bunun halen çözümünü arıyorum.

Orjinal hali :

on Error Resume Next
Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i
Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ec t.com","j*.bat","m*.com","d*.com","copy.exe","host .exe",_
"a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.e xe","qd*.cmd")

Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives

Wscript.Echo "Software provided by Windows XP Tricks & Tweaks to remove malicious software amvo, avpo, n1detect y variants"
Wscript.Echo "Proccess of search and removing can take some seconds. Please be patient."

i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&": \autorun.inf",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close
End If
Next

Set objRegex = new RegExp
objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd )"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)

i=0
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Proceeding to remove file of virus :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Clean drive: " & objDrive.DriveLetter
nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
End If
Next
i = i + 1
Next

Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing
nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)

nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)

WScript.Echo "Proceeding to restore registry to see Hidden Files"
nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ /v amva /f",0,TRUE)
nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ /v avpo /f",0,TRUE)
nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ /v avpa /f",0,TRUE)

nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \ /v CheckedValue /f",0,TRUE)
nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)
nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)

nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)

nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)

nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)

For Each objDrive in colDrives
If objDrive.IsReady = True Then
For X=0 to UBound(Lista)
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE )
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
Next
End If
Next
WScript.Echo "Congratulations! Your computer is disinfected of amvo virus and variants"
WScript.Echo "www.Geekside.com"

WScript. Quit(0)

Scripti incelediğinizde , içerisinde bahsettiğim dosyalar ile ilgili her hangi bir çözüm yok. Halbuki hepsi ortak çalışan dosyalar. Autorun.inf , ur0.com, cv22.cmd vs..vs Bir sürü dosya ile birlikte hareket ediyorlar.

 

[Asri]

Paylaşım için teşekkürler. Sanırım bu scriptin orjinali ispanyollar tarafından yazılmıştı. Geekside.com sitesinden yayılma bir script. Ahnrpta.exe ve Olhwref.exe dosyalarını imha etmeyi henüz bulamadılar mı acaba çünkü bunlar yine geri geliyor. Bu dosyalar tehlikeli dosyalar. Ahnrpta.exe c:\windows altında çalışıyor ve görev yöneticisinden baktığınızda çalışıyor görünüyor. Olhwref.exe de system32 içerisinde ve gizli dosya. Msconfig içine baktığınızda kendini açılışa eklemiş görüyorsunuz. Sil sil geri geliyorlar. İnternet bağlantınızı yavaşlatıyor ve tüm sürücülerde istenmeyen dosyalar oluşturmaya devam ediyorlar.
Bunun halen çözümünü arıyorum.

Merhaba,

mesajımda özellikle belirttiğim gibi, kodun tamamı bana ait değil. Özellikle bir kaç script ten derleme olduğunu belirttim.

Script e, ana dizin ve paylaşım dizinlerine autorun.inf dizini oluşturmayı ekledim. Bu özelliği ile bunu çalıştırdıktan sonra, autorun.inf ile bulaşan bir virüs var ise bir daha bulaşamıyor. copy.exe ve host.exe virüsü için test edilmiştir.

 

[firat_ozkok]

paylaşım için teşekkür ederim