-
Junior Member
- Вес репутации
- 54
Проблема с dllcache.exe
В сети большое количество машин. На многих появился dllcache.exe и в папке system32 куча хх.scr файлов. Занимались самолечением путем удаления из реестра ключей этих зловредов с последующей перезагрузкой и удалением dllcache.exe.
Выслать логи не имею права, начальство не поймет такой вольности. В чем собственно вопрос - как правильно написать скрипты, которые удаляли бы по маске файлы хх.scr?
Почитав форум и мануал наваял примерно следующее
PHP код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\system32\?.scr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Тут меня интересуют несколько моментов. Насчет файлов типа .scr - в system32 лежат виндовские скринсейверы, которые, по идее, будут удалены, если использовать маску ?. Есть ли возможность удалять файлы, например, по маске, которая задает количество символов в названии файла, дабы измежать удаления скринсейверов? Например ??.scr или ???.scr.
Еще интересует такой момент. Большинство машин находятся вне физического контакта. Взаимодействие происходит посредством Radmin. Так вот хотелось бы написать скрипт, который бы делал удаление вышеописанных файлов и чистку реестра.
По всем правилам лечения нужно отключать машину от сети, выключать файервол и антивирус. Возникает вопрос - можно ли использовать предоставленый выше скрипт с включенным NOD32, сетью и работающим Radmin'ом? Или такой фокус может не получиться? Зачем такие грабли - юзеры на той стороне не в состоянии выполнить действия с avz должным образом.
Надеюсь на понимание и помощь в решении проблемы.
P.S. При выявлении проблемы NOD32 ни как не риагировал. Через некоторое время (базы поднаполнились, наверно, инфой об этой напасти.) и он начал рубить dllcache.exe, в свою очередь оставляя хх.scr нетронутыми.
Добавлено через 1 час 28 минут
Как я понимаю, модераторы будут рассматривать мою тему в последнюю очередь из-за невыполнения правила насчет предоставления логов сканирования.
Но, я бы и не создавал тему, если бы не увидел в посте http://virusinfo.info/showthread.php?t=49083 Helper'а PavelA сообщения по
Если часто занимаетесь лечением, то обучайтесь сами писать скрипты.
На нашем сайте мы это делаем, в смысле обучаем, совершенно бесплатно.
Так что надеюсь на вашу помощь
Последний раз редактировалось brabys; 03.07.2009 в 13:26.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
brabys
Почитав форум и мануал наваял примерно следующее...
В первую очередь следовало прочесть правила и наваять логи .
I am not young enough to know everything...
-