Перейти к содержимому






Фотография

Набор утилит (antimalware by LK)

Написано Roman_Five , 03 Апрель 2010 · 483 Просмотров

Случилось мне недавно "разгребать" последствия вовремя не установленного антивирусного ПО на компьютерах медиацентра на работе...

Для справки: "...учебный компьютерный медиацентр создается на базе компьютерной лаборатории и является центром накопления электронных материалов, медиаконтента, программного обеспечения по заранее определенному учебному и научному направлению".

На тот момент на большинстве компов стоял тандем USB Disk Security + ESET NOD 32 4 версии. На одной машине был только USB Disk Security (админы поздно спохватились - за попытку установки любого "антивирусника" кто-то :D сильно бил по рукам и всё это дело пресекал на корню). Стал замечать, что студенты после посещения медиацентра стали чаще притаскивать флешки со скрытыми папками и одноимёнными экзешниками в корне (с иконкой как у папки). Виновник - Trojan-Downloader.Win32.FlyStudio.? (вкратце писал в теме про преимущества/недостатки USB Disk Security.

На мой вопрос инженеру медиацентра "доколе будем мы терпеть разгул всякой нечисти на компах? :D " внятного ответа не получил, поэтому во время очередной пары в данной компьютерном классе решил сам сделать зачистку. Начал с самого проблемного компа, где местные сисадмины не смогли поставить ни "симантека", ни "нода".

Спокойно вставленная в USB-разъём флеша подверглась множественному надругательству, а именно (как потом показало "вскрытие"): часть папок получило атрибут "скрытый", в корне "нарисовалось" такое же количество *.exe; появилась левая папка корзины с вложенным файлом *.vmx; экзешники в папке с софтом "потяжелели". Итого, были выявлены три зверька: FlyStudio, Kido и Sality.

Обычный AVZ "прибивался" через 2 секунды после запуска... Диспетчер задач, редактор реестра, безопасный режим - заблокированы.

От 2 и 3 заразы комп лечил с помощью соответствующих фирменных утилит by LK. FlyStudio "прибивал" с помощью AVZ.

После этого решил сделать командный файл для поэтапного запуска различных утилит Лаборатории Касперского, чтобы экономить время при работе с несколькими компьютерами. Из всего перечня выбрал почти все небольшие по размеру утилиты, за исключением KL Anti-FunLove и Anti-Nimda, т.к. они "заточены" на довольно старые малвари.

Практически у всех утилит есть дополнительные параметры для работы в интерактивном режиме, т.е. с минимальным участием пользователя (ключи /y или -y). Используя утилиты с такими ключами, можно пакетно запустить поочерёдное выполнение практически всех утилит без нажатия дополнительных клавиш.

Пример cmd-файла:
@echo off
SalityKiller.exe -y
KK.exe -y
CLRAV.COM /y /nr /rpt=crrav.txt
klwk.com /y /nr /rd /rpt=klwk.txt
ZBotKiller.exe -y
kateskiller.exe -y
virutkiller.exe -y
antiboot.exe
digita_cure.exe -y
PMaxKiller.exe
TDSSKiller.exe

Две утилиты, которые требуют нажатия любой клавиши, поставил в конце - времени на их работу (при отсутствии специфического заражения) требуется до 5 секунд.

В одну папку поместил все утилиты и cmd-файл, создал из них самораспаковывающийся rar-архив, в параметрах которого выбрал запрет на изменение, распаковку во временную папку и запуск после распаковки cmd-шника.

Прикрепленное изображение Прикрепленное изображение

В итоге имеем exe-файл размером 1,3 МБ, способный "побороться" с приличным количеством разношёрстных "зверьков". Вся процедура проверки на средних машинках проходит минут за 20. Чтобы не тратить время, все остальные машины в медиацентре были проверены ею, а затем уже были подготовлены отчёты AVZ для лечения FlyStudio.


  • 0



Сентябрь 2018

П В С Ч П С В
     12
3456789
10111213141516
17181920 21 2223
24252627282930

Последние комментарии

пользователей просматривает

0 пользователей, 0 гостей, 0 анонимных

Поиск по блогу

Последние посетители

  • Фотография
    Sandor
    30 мая 2017 - 11:34
  • Фотография
    Vob
    11 дек. 2014 - 19:37
  • Фотография
    Roman_SO
    16 дек. 2013 - 11:50
  • Фотография
    mike 1
    23 нояб. 2013 - 23:56
  • Фотография
    bobro-dvas
    22 нояб. 2013 - 10:05