НОВОЕ В БЛОГАХ
rmm
Все относительно
rmm - 5 Ноября
rmm
О пребывании в психиатрической больнице N1
rmm - 5 Ноября
Sana
Back up!
Sana - 9 Августа
rmm
"Я стар и беден, и я груб
rmm - 26 Июня
rmm
У Вятки, или же Перми
rmm - 26 Июня
мирт
ДЕНЬ РОССИИ
мирт - 12 Июня
мирт
Рита Ельцова
мирт - 8 Июня
Pa-ha
Нейросети
Pa-ha - 7 Июня
мирт
Встречи
мирт - 5 Июня
мирт
день победы
мирт - 10 Мая

Убить Змея trojan.bat.killfiles

Warmarine
Старый
Рейтинг:
594
Сообщений:
1,800
Пользователь:
3,846
На сайте с:
Мар 2007
27 Апреля 2012, 15:42 | Оценка: нет оценки
Требуется совет в поимке "Змея", под названием trojan.bat.killfiles.
При запуски различных антивирусных утилит парень просто сворачивает свою работу, при этом KIS его тут же пасет, типа ловит, убивает, все проверяет перезагружаем, все нормально. Запускаем к примеру Kaspersky Virus Removal Tool, опа опять тажа картина.
Загрузочные диски тоже не помогают, его при скане просто не видят.
При запуске размножается в C:\Windows\Temp
Я конечно еще погуглю, ну может все таки кто то уже сталкивался?
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
Себастиан_торговец
статус статусный
Рейтинг:
3721
Сообщений:
11,152
Пользователь:
128
На сайте с:
Дек 2004
27 Апреля 2012, 15:44 | Оценка: нет оценки
Ищи файл с которго он запускает, AVZ тебе в помощь.
Саяногорск Инфо - t2.png, Скачано: 119117
Warmarine
Старый
Рейтинг:
594
Сообщений:
1,800
Пользователь:
3,846
На сайте с:
Мар 2007
27 Апреля 2012, 15:47 | Оценка: нет оценки
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:44)
Ищи файл с которго он запускает, AVZ тебе в помощь.

Благодарствую добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.
Сообщение отредактировал macOX - 27 Апреля 2012, 15:50
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
Себастиан_торговец
статус статусный
Рейтинг:
3721
Сообщений:
11,152
Пользователь:
128
На сайте с:
Дек 2004
27 Апреля 2012, 15:51 | Оценка: нет оценки
ЦИТАТА (macOX @ 27 апреля 2012, 16:47)
Благодарствую  добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.

Этой прогой просмотреть запущенные процесс, автозапуск. Потом ручками удалить с винта файл, а с реестра запись.
Саяногорск Инфо - t2.png, Скачано: 119117
Себастиан_торговец
статус статусный
Рейтинг:
3721
Сообщений:
11,152
Пользователь:
128
На сайте с:
Дек 2004
27 Апреля 2012, 15:55 | Оценка: нет оценки
КОД
Trojan.BAT. KillFiles.db 08 ноября, 2007 Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Имеет размер 294 байта. Деструктивная активность При запуске троянец удаляет все файлы с расширением «.exe» из следующего каталога: C:\Windows\Temp После этого работа вредоносной программы завершается.
securitylab

Оно?
Саяногорск Инфо - t2.png, Скачано: 119117
Себастиан_торговец
статус статусный
Рейтинг:
3721
Сообщений:
11,152
Пользователь:
128
На сайте с:
Дек 2004
27 Апреля 2012, 15:57 | Оценка: нет оценки
Вот это попробуй сделать
Саяногорск Инфо - t2.png, Скачано: 119117
Warmarine
Старый
Рейтинг:
594
Сообщений:
1,800
Пользователь:
3,846
На сайте с:
Мар 2007
27 Апреля 2012, 15:57 | Оценка: нет оценки
немного не то, модификация trojan.bat.killfiles.pf
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
Себастиан_торговец
статус статусный
Рейтинг:
3721
Сообщений:
11,152
Пользователь:
128
На сайте с:
Дек 2004
27 Апреля 2012, 15:59 | Оценка: нет оценки
macOX, Неважно, основной принцип борьбы тот же.
Саяногорск Инфо - t2.png, Скачано: 119117
Warmarine
Старый
Рейтинг:
594
Сообщений:
1,800
Пользователь:
3,846
На сайте с:
Мар 2007
27 Апреля 2012, 16:02 | Оценка: нет оценки
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:59)
macOX, Неважно, основной принцип борьбы тот же.

Я это все прекрасно понимаю, по нему и иду. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.
Сообщение отредактировал macOX - 27 Апреля 2012, 16:02
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
Себастиан_торговец
статус статусный
Рейтинг:
3721
Сообщений:
11,152
Пользователь:
128
На сайте с:
Дек 2004
27 Апреля 2012, 16:04 | Оценка: нет оценки
ЦИТАТА (macOX @ 27 апреля 2012, 17:02)
Я это все прекрасно понимаю. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.

Ну значит AVZ с включеной защитой, просмотреть автозапуск и запущенные процессы, при необходимости убить процесс файл запись в реестре.
При невозможности, записать все, загрузиться под лайфСД и грохнуть файл и запись реестра оттуда.
Саяногорск Инфо - t2.png, Скачано: 119117
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)