Social bookmarking
Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking
Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking
Estatísticas
Temos 14807 usuários registradosO último membro registrado é Costa24
Os nossos membros postaram um total de 36044 mensagens em 3685 assuntos
Quem está conectado?
Há 19 usuários online :: 0 registrados, 0 invisíveis e 19 visitantes Nenhum
O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
Top dos mais postadores
Power Max | ||||
joram | ||||
Wings [In Memoriam] | ||||
caedurodrigues | ||||
Amigo Brasileiro | ||||
luizvilarinho | ||||
Danii | ||||
Admin | ||||
Danilo Marsaro | ||||
Andreata |
Scripts de MS-DOS, para remoção de Malwares e Spywares.
Página 1 de 1
Scripts de MS-DOS, para remoção de Malwares e Spywares.
O Script de MS-DOS, "Prompt de Comando" do Windows pode servir de diversas maneiras.
Aqui você verá como utilizar este recurso para a realização de várias ações importantes em seu PC.
Vamos supor que encontrei um Trojan em execução no relatório do Hijackthis ou outra ferramenta de analise qualquer, e quero remove-lo rapidamente.
Exemplo:
Vamos lá!!C:\Documents and Settings\User\kravo.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1)
Comando Attrib <-- Exibe ou altera os atributos de arquivo, ou caso um arquivo esteja oculto poderá deixá-lo visível.
Exemplo:
- Código:
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
2)
Comando Move <-- para mover um arquivo.
Exemplo:
- Código:
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
No final explicarei para que serve.
3)
Comando Shutdown <-- Para desligar um computador ou reiniciar.
Exemplo:
- Código:
shutdown -r -t 00
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Agora Montando o Script
Ficará dessa forma a sequência:
- Código:
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
shutdown -r -t 00
Um Exemplo: -> Script.bat
Script pronto!
Ao executar o script acima o arquivo malicioso kravo.exe será movido para o Desktop e o computador será reiniciado, pois é necessário...., o programa malicioso ainda estará em execução nos processos, o arquivo foi renomeado para kravo.exe.vi para deixá-lo inativo (morto) assim evitando que ocorra um acidente ao executá-lo manualmente.
Caso a remoção não surta efeito e o trojan continue em execução, é recomendável fazer o procedimento em (Modo de Segurança).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Uma observação:
Confira o caminho do trojan mostrado no exemplo abaixo:
"C:\Documents and Settings\User\kravo.exe"
Como podem observar eu utilizei os sinais Aspas -> ".........."
isso serve para nome de diretórios (Pastas) com caminhos longos, (Com espaço), caso não tenha as Aspas "..." em diretórios com espaço o comando não funcionará..
Exemplo:
"C:\Documents and Settings"
"C:\Arquivos de Programas"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
E com diretórios que possuem nomes inteiros sem espaço, não é necessário por as aspas.
Exemplo de diretórios que não precisam de aspas:
C:\Recycler
C:\Windows
C:\Windows\system
C:\Windows\system32
C:\Windows\system32\drivers e assim vai...
Esse é o básico de um Script MS-DOS, para remoção de um Malware.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Parte 2
Operação REG [lista de parâmetros]
Operação [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ] | FLAGS ]
Código de retorno: (Exceto REG COMPARE)
0 - bem-sucedido
1 - falha
Para obter ajuda sobre um tipo específico de operação:
Operação REG /?
Exemplos:
REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?
REG FLAGS /?
Removendo entradas de registro.
Reg--> comando utilizado para acesso ao registro do windows via Prompt de Comando.
/f --> Força a remoção ou adicionar uma entrada sem questionar pela remoção.
/v--> especifica o valor de registro a ser removido.
Reg delete --> serve para deletar um entrada de registro Valor ou um chavekey.
Exemplo:
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\run" /f /v "malware" <-- remove um entrada de valor na chave "Run"
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Malware" /f <-- remove uma chave maliciosa do registro.
Última edição por Brando lee em Ter 26 Nov 2013, 21:26, editado 4 vez(es)
Convidado- Convidado
Re: Scripts de MS-DOS, para remoção de Malwares e Spywares.
Dá para usar o "echo" para escrever o progresso do script (juntamente com "@echo off", para evitar de exibir o comando executado), e "title" para colocar um título da janela:
Todo o texto que for colocado após "title ", será o novo título da janela.
Todo o texto que for colocado após "echo ", será exibido no console. Para escrever os seguintes símbolos corretamente na tela,
[*]
"echo." serve para pular uma linha.
- Código:
@echo off
title Remoção de Malware
echo [!] Modificando atributos de "C:\Documents and Settings\User\kravo.exe"...
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
echo [!] Copiando "C:\Documents and Settings\User\kravo.exe" para a pasta atual como "kravo.exe.vi"...
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
echo [*] Reiniciando...
shutdown -r -t 00
Todo o texto que for colocado após "title ", será o novo título da janela.
Todo o texto que for colocado após "echo ", será exibido no console. Para escrever os seguintes símbolos corretamente na tela,
- Código:
| & < >
- Código:
echo [*] Remoção ^& Limpeza . . .
[*]
"echo." serve para pular uma linha.
- Código:
echo [*] Remoção ^& Limpeza . . .
echo.
echo.
echo.
echo [!] Terminando tudo...
Meyer!- Iniciante
- Mensagens : 7
Reputação : 6
Data de inscrição : 01/10/2013
Idade : 25
Localização : Por aí...
Re: Scripts de MS-DOS, para remoção de Malwares e Spywares.
Muito bom Meyer!!
Seu Script ficou bem caprichado muito bom.., mas não acho necessário tudo isso.., pois dará muito trabalho ao criar o script, do jeito que fiz é para simplificar e cria-lo mais rápido.
Essa sintaxe "echo" é bom para ferramenta de analise em MS-DOS como o Combofix, para não mostrar as linhas de comandos correndo.
No Script, que montei acima no exemplo, tem de outra forma acrescentando um outro comando no topo. -> taskkill /f /im explorer.exe
Ficando dessa forma:
Seu Script ficou bem caprichado muito bom.., mas não acho necessário tudo isso.., pois dará muito trabalho ao criar o script, do jeito que fiz é para simplificar e cria-lo mais rápido.
Essa sintaxe "echo" é bom para ferramenta de analise em MS-DOS como o Combofix, para não mostrar as linhas de comandos correndo.
No Script, que montei acima no exemplo, tem de outra forma acrescentando um outro comando no topo. -> taskkill /f /im explorer.exe
Ficando dessa forma:
É bom também antes finalizar o processo "Explorer.exe" para facilitar na remoção do Malware.taskkill /f /im explorer.exe
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
shutdown -r -t 00
Convidado- Convidado
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|