none
Скрипт на удаление файла при перезагрузке в домене RRS feed

  • Вопрос

  • Устал бороться с вирусом, который пропускается НОДом и 50% другими антивирусами

    вот пример

    вирус один и тот же svchost.exe только в директории C:\windows а не в System32

     

    Помогите написать скрипт для домена, чтоб при загрузке компьютера проверялось нахождение файла svchost.exe в директории windows, в случае нахождения оного удалялся ключ из реестра где он прописан в атозагрузку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" файл помечался на удаление при перезагрузке, т.к. интерактивно удалить его нельзя - он запущен и операция удаления блокирована, и машина перегружалась с выдачей сообщения пользователю.

     

    Спасибо!

    14 июля 2008 г. 3:03

Ответы

  • А на чем скрипт планируете писать?

    1. Вот, например, для cmd строчка для удаления записи на локальном компе:

    REG DELETE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <имя записи, которую надо удалить>

    2. Не поняла Вас. Просто удаление файла подойдет?
    22 июля 2008 г. 11:53
  • Попробуйте запретить исполнение приложения через политики ограниченного использования программ и удаляйте.

    Хотя как вариант startup/shutdown скрипт.

    В shutdown скрипте, наверное (не знаю), можно и taskkill /f /im svchost.exe выполлнить.

     

    23 июля 2008 г. 9:26

Все ответы

  •  

    Что тишина Sad

    Скрипт я знаю как сделать процентов на 60

    у меня в принцепе 2 главных вопроса:

    1. Как будет выглядеть команда на удаление строки из реестра

    2. Можно ли стандартными виндовыми средствами помететь файл на удаление при загрузке.

     

    Прошу ответить!

    16 июля 2008 г. 1:34
  • А на чем скрипт планируете писать?

    1. Вот, например, для cmd строчка для удаления записи на локальном компе:

    REG DELETE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <имя записи, которую надо удалить>

    2. Не поняла Вас. Просто удаление файла подойдет?
    22 июля 2008 г. 11:53
  • Спасибо за ответ Smile

    да имено bat скрипт

    по реестру все понятно.


    Нет, просто удаление файла не подойдет, точнее он не удалится, так как занят системой и к нему доступен, поэтому необходимо его удалить именно при перезагрузке

    23 июля 2008 г. 1:57
  • как вариант, задайте удаление файла в GPO в Shutdown-скрипте. Если повезет, то скрипт отработает после того, как остановитс яприложение.

    Ну, или в logon-скрипт - вдруг отработает раньше, чем запустится вредоносный процесс.

    Пробовать надо

    23 июля 2008 г. 8:18
  • Попробуйте запретить исполнение приложения через политики ограниченного использования программ и удаляйте.

    Хотя как вариант startup/shutdown скрипт.

    В shutdown скрипте, наверное (не знаю), можно и taskkill /f /im svchost.exe выполлнить.

     

    23 июля 2008 г. 9:26