[ Печать ]Убить Змея trojan.bat.killfiles > АйТи форум
https://sayanogorsk.info/board/topics/27366-ubit-zmeya-trojanbatkillfiles/
Автор: Warmarine - 27 Апреля 2012, 15:42
Требуется совет в поимке "Змея", под названием trojan.bat.killfiles.
При запуски различных антивирусных утилит парень просто сворачивает свою работу, при этом KIS его тут же пасет, типа ловит, убивает, все проверяет перезагружаем, все нормально. Запускаем к примеру Kaspersky Virus Removal Tool, опа опять тажа картина.
Загрузочные диски тоже не помогают, его при скане просто не видят.
При запуске размножается в C:\Windows\Temp
Я конечно еще погуглю, ну может все таки кто то уже сталкивался?
Автор: Себастиан_торговец - 27 Апреля 2012, 15:44
Ищи файл с которго он запускает, AVZ тебе в помощь.
Автор: Warmarine - 27 Апреля 2012, 15:47
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:44)
Ищи файл с которго он запускает, AVZ тебе в помощь.

Благодарствую добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.
Автор: Себастиан_торговец - 27 Апреля 2012, 15:51
ЦИТАТА (macOX @ 27 апреля 2012, 16:47)
Благодарствую  добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.

Этой прогой просмотреть запущенные процесс, автозапуск. Потом ручками удалить с винта файл, а с реестра запись.
Автор: Себастиан_торговец - 27 Апреля 2012, 15:55
КОД
Trojan.BAT. KillFiles.db 08 ноября, 2007 Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Имеет размер 294 байта. Деструктивная активность При запуске троянец удаляет все файлы с расширением «.exe» из следующего каталога: C:\Windows\Temp После этого работа вредоносной программы завершается.
securitylab

Оно?
Автор: Себастиан_торговец - 27 Апреля 2012, 15:57
Вот это попробуй сделать
Автор: Warmarine - 27 Апреля 2012, 15:57
немного не то, модификация trojan.bat.killfiles.pf
Автор: Себастиан_торговец - 27 Апреля 2012, 15:59
macOX, Неважно, основной принцип борьбы тот же.
Автор: Warmarine - 27 Апреля 2012, 16:02
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:59)
macOX, Неважно, основной принцип борьбы тот же.

Я это все прекрасно понимаю, по нему и иду. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.
Автор: Себастиан_торговец - 27 Апреля 2012, 16:04
ЦИТАТА (macOX @ 27 апреля 2012, 17:02)
Я это все прекрасно понимаю. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.

Ну значит AVZ с включеной защитой, просмотреть автозапуск и запущенные процессы, при необходимости убить процесс файл запись в реестре.
При невозможности, записать все, загрузиться под лайфСД и грохнуть файл и запись реестра оттуда.