Jump to content
BBOYMIG

Скрипт лечения Kryptik (fswagz.exe,samoidi.exe )

Recommended Posts

Сформировал скрипт лечения для проблемного компьютера:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 //Отправить файлы на карантин 
 QuarantineFile('C:\Documents and Settings\WalterUser.POWER\fswagz.exe','');
 QuarantineFile('C:\Documents and Settings\1634\fswagz.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\3SRTE.SYS','');
 QuarantineFile('F:\zivotdalje\samoidi.exe','32');
 QuarantineFile('F:\promaja\nazebem.exe','32');
 //Удалить файлы
 DeleteFile('C:\Documents and Settings\1634\fswagz.exe','32');
 DeleteFile('C:\Documents and Settings\WalterUser.POWER\fswagz.exe','32');
 DeleteFile('F:\autorun.inf','32');
 DeleteFile('F:\zivotdalje\samoidi.exe','32');
 DeleteFile('F:\promaja\nazebem.exe','32');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 //Перезагрузить устройство
 RebootWindows(true);
end.

Можно этот скрипт сделать универсальным в плане:

а) Мы знаем, что исполняемый файл хранится в папке

Documents and Settings\Имя пользователя\ с именем fswagz.exe .

Написать маску, чтобы у всех пользователь был удален данный файл.

б) Удалить на всех подключенных носителях файлы:

autorun.inf

zivotdalje\samoidi.exe

promaja\nazebem.exe

в) Через скрипт AVZ изменить параметр реестра:

Цитата

 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

Спасибо

 

Share this post


Link to post

BBOYMIG , для отключения автозапуска с флешек

begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

По поводу остального в теории конечно можно (хотя определение буквы флешки немного проблемно), но я не советую этого делать.

1) autorun.inf - порой бывают и полезные, не стоит так неглядя их все удалять.

2) Указанный вами вирус имеет свойство менять имена файлов. Так что то что файлы на одной системе назывались так, не факт, что на другой будут называться также.

3) Как понимаю запускать скрипт в любом случае вы собираетесь через KSC ? В таком случае не надо извращаться с AVZ, это должно быть удалено антвирусом. Если по какой-то причине он ещё это не детектирует, то послать в вирлаб, чтобы добавили детект.

Share this post


Link to post

1) Согласен.

2) Данный вирус живет на компьютере под управлением Windows XP.  Антивируса на нем нет. Будем, тогда каждую станцию индивидуально проверять. В двух случаях пути совпали.

3) Данные станции не в сети.

Share this post


Link to post

а. Можно в имени файла применять макросы http://z-oleg.com/secur/avz_doc/script_filenamemacros.htm - это решит часть проблемы, но не решить ее полностью, так как имя зловреда может меняться. Если мы точно знаем, какой зловред ищется, и KES поставить невозможно, чтобы пролечиться, можно (и более правильно) изничтожить зловреда по MD5 его файлов. Универсальная методика и соответствующий скрипт описаны тут - http://z-oleg.com/secur/avz_doc/scr_demo_scanner.htm , в указанном примере база MD5 берется из внешнего файла, после удаления файлов производится зачитка следов в реестре и зачистка системы BootCleaner с перезагрузкой.

в. Поменять параметр реестра через скрипт AVZ можно без проблем, см.http://z-oleg.com/secur/avz_doc/script_regkeystrparamwrite.htm и http://z-oleg.com/secur/avz_doc/script_regkeyintparamwrite.htm

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.