[ Печать ]https://sayanogorsk.info/board/topics/27366-ubit-zmeya-trojanbatkillfiles/

Убить Змея trojan.bat.killfiles

Warmarine
Warmarine
27 Апреля 2012, 15:42
Требуется совет в поимке "Змея", под названием trojan.bat.killfiles.
При запуски различных антивирусных утилит парень просто сворачивает свою работу, при этом KIS его тут же пасет, типа ловит, убивает, все проверяет перезагружаем, все нормально. Запускаем к примеру Kaspersky Virus Removal Tool, опа опять тажа картина.
Загрузочные диски тоже не помогают, его при скане просто не видят.
При запуске размножается в C:\Windows\Temp
Я конечно еще погуглю, ну может все таки кто то уже сталкивался?
Себастиан_торговец
Себастиан_торговец
27 Апреля 2012, 15:44
Ищи файл с которго он запускает, AVZ тебе в помощь.
Warmarine
Warmarine
27 Апреля 2012, 15:47
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:44)
Ищи файл с которго он запускает, AVZ тебе в помощь.

Благодарствую добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.
Себастиан_торговец
Себастиан_торговец
27 Апреля 2012, 15:51
ЦИТАТА (macOX @ 27 апреля 2012, 16:47)
Благодарствую  добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.

Этой прогой просмотреть запущенные процесс, автозапуск. Потом ручками удалить с винта файл, а с реестра запись.
Себастиан_торговец
Себастиан_торговец
27 Апреля 2012, 15:55
КОД
Trojan.BAT. KillFiles.db 08 ноября, 2007 Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Имеет размер 294 байта. Деструктивная активность При запуске троянец удаляет все файлы с расширением «.exe» из следующего каталога: C:\Windows\Temp После этого работа вредоносной программы завершается.
securitylab

Оно?
Себастиан_торговец
Себастиан_торговец
27 Апреля 2012, 15:57
Вот это попробуй сделать
Warmarine
Warmarine
27 Апреля 2012, 15:57
немного не то, модификация trojan.bat.killfiles.pf
Себастиан_торговец
Себастиан_торговец
27 Апреля 2012, 15:59
macOX, Неважно, основной принцип борьбы тот же.
Warmarine
Warmarine
27 Апреля 2012, 16:02
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:59)
macOX, Неважно, основной принцип борьбы тот же.

Я это все прекрасно понимаю, по нему и иду. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.
Себастиан_торговец
Себастиан_торговец
27 Апреля 2012, 16:04
ЦИТАТА (macOX @ 27 апреля 2012, 17:02)
Я это все прекрасно понимаю. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.

Ну значит AVZ с включеной защитой, просмотреть автозапуск и запущенные процессы, при необходимости убить процесс файл запись в реестре.
При невозможности, записать все, загрузиться под лайфСД и грохнуть файл и запись реестра оттуда.
При использовании материалов гиперссылка обязательна.