НОВОЕ В БЛОГАХ
  • продам
    юляха - 09 дек.
  • Росгосстрах
    юляха - 09 дек.
  • И опять ПОЛИЦИЯ!!!
    Yurianna - 08 дек.
  • Poli. Gons
    E-moll - 07 дек.
  • Мошенники жгут
    Dezz13 - 07 дек.
  • Баян
    Max - 07 дек.
  • ПРЕДНОВОГОДНЯЯ АКЦИЯ! Временная
    Жанна Викторовна - 07 дек.
  • Оригинальный мужской подарок.
    Машуня - 05 дек.
  • Штаб Деда Мороза , мини студия.
    Светлая - 05 дек.
  • Твой новогодний образ - какой он? Петух? Курица?
    Жанна Викторовна - 03 дек.

Убить Змея trojan.bat.killfiles

Старый
Рейтинг:
594
Сообщений:
1,788
На сайте с:
13.03.2007
Пользователь №:
3,846
Требуется совет в поимке "Змея", под названием trojan.bat.killfiles.
При запуски различных антивирусных утилит парень просто сворачивает свою работу, при этом KIS его тут же пасет, типа ловит, убивает, все проверяет перезагружаем, все нормально. Запускаем к примеру Kaspersky Virus Removal Tool, опа опять тажа картина.
Загрузочные диски тоже не помогают, его при скане просто не видят.
При запуске размножается в C:\Windows\Temp
Я конечно еще погуглю, ну может все таки кто то уже сталкивался?
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
статус статусный
Рейтинг:
3689
Сообщений:
11,152
На сайте с:
27.12.2004
Пользователь №:
128
Ищи файл с которго он запускает, AVZ тебе в помощь.
[IMG]

Старый
Рейтинг:
594
Сообщений:
1,788
На сайте с:
13.03.2007
Пользователь №:
3,846
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:44)
Ищи файл с которго он запускает, AVZ тебе в помощь.

Благодарствую добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.

Сообщение отредактировал macOX - 27 апреля 2012, 15:50
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
статус статусный
Рейтинг:
3689
Сообщений:
11,152
На сайте с:
27.12.2004
Пользователь №:
128
ЦИТАТА (macOX @ 27 апреля 2012, 16:47)
Благодарствую  добрый человек. Знаю такую прогу запускал в полет, не ловит она его однако. Нужен наверно отдельный скрипт. Я еще конечно AVZ помучу, может и изловлю, гада.

Этой прогой просмотреть запущенные процесс, автозапуск. Потом ручками удалить с винта файл, а с реестра запись.
[IMG]

статус статусный
Рейтинг:
3689
Сообщений:
11,152
На сайте с:
27.12.2004
Пользователь №:
128
КОД
Trojan.BAT. KillFiles.db 08 ноября, 2007 Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Имеет размер 294 байта. Деструктивная активность При запуске троянец удаляет все файлы с расширением «.exe» из следующего каталога: C:\Windows\Temp После этого работа вредоносной программы завершается.

securitylab

Оно?
[IMG]

статус статусный
Рейтинг:
3689
Сообщений:
11,152
На сайте с:
27.12.2004
Пользователь №:
128
Вот это попробуй сделать
[IMG]

Старый
Рейтинг:
594
Сообщений:
1,788
На сайте с:
13.03.2007
Пользователь №:
3,846
немного не то, модификация trojan.bat.killfiles.pf
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
статус статусный
Рейтинг:
3689
Сообщений:
11,152
На сайте с:
27.12.2004
Пользователь №:
128
macOX, Неважно, основной принцип борьбы тот же.
[IMG]

Старый
Рейтинг:
594
Сообщений:
1,788
На сайте с:
13.03.2007
Пользователь №:
3,846
ЦИТАТА (Себастиан_торговец @ 27 апреля 2012, 15:59)
macOX, Неважно, основной принцип борьбы тот же.

Я это все прекрасно понимаю, по нему и иду. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.

Сообщение отредактировал macOX - 27 апреля 2012, 16:02
Уже 2014 год до 41 тысячелетия осталось 38 986 лет.
Another World - все только начинается.
статус статусный
Рейтинг:
3689
Сообщений:
11,152
На сайте с:
27.12.2004
Пользователь №:
128
ЦИТАТА (macOX @ 27 апреля 2012, 17:02)
Я это все прекрасно понимаю. Но в данном случае параметр в ключе реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"parche.bat" = "C:\Windows\System32\parche.bat"
Имеет место отсутствовать.

Ну значит AVZ с включеной защитой, просмотреть автозапуск и запущенные процессы, при необходимости убить процесс+файл+запись в реестре.
При невозможности, записать все, загрузиться под лайфСД и грохнуть файл и запись реестра оттуда.
[IMG]

1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)

наверх