Fórum PC Brasil
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
Flux RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Social bookmarking

Social bookmarking reddit      

Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking

Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking

Estatísticas
Temos 14807 usuários registrados
O último membro registrado é Costa24

Os nossos membros postaram um total de 36044 mensagens em 3685 assuntos
Últimos assuntos
» Problema no disco rígido do Windows 11
por Costa24 Hoje à(s) 10:19

Quem está conectado?
19 usuários online :: 0 registrados, 0 invisíveis e 19 visitantes

Nenhum

O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
 
 

Resultados por:
 


Rechercher Pesquisa avançada

março 2024
SegTerQuaQuiSexSábDom
    123
45678910
11121314151617
18192021222324
25262728293031

Calendário Calendário


Scripts de MS-DOS, para remoção de Malwares e Spywares.

Ir para baixo

Scripts de MS-DOS, para remoção de Malwares e Spywares. Empty Scripts de MS-DOS, para remoção de Malwares e Spywares.

Mensagem por Convidado Sex 11 Out 2013, 22:00


O Script de MS-DOS, "Prompt de Comando" do Windows pode servir de diversas maneiras.
Aqui você verá como utilizar este recurso para a realização de várias ações importantes em seu PC.

Vamos supor que encontrei um Trojan em execução no relatório do Hijackthis ou outra ferramenta de analise qualquer, e quero remove-lo rapidamente.
Exemplo:
C:\Documents and Settings\User\kravo.exe
Vamos lá!!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

1)
Comando Attrib <-- Exibe ou altera os atributos de arquivo, ou caso um arquivo esteja oculto poderá deixá-lo visível.

Exemplo:
Código:
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
OBS: necessário fazer o comando attrib para poder desativar o arquivo oculto, assim poderá ser movido..


2)

Comando Move <-- para mover um arquivo.
Exemplo:
Código:
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
*Como podem observar eu repeti e renomeei o nome no arquivo kravo.exe para -> kravo.exe.vi

No final explicarei para que serve.

3)
Comando Shutdown <-- Para desligar um computador ou reiniciar.
Exemplo:
Código:
shutdown -r -t 00
Reinicia o computador rapidamente.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Agora Montando o Script

Ficará dessa forma a sequência:
Código:
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
shutdown -r -t 00
Copie essa sequência de script no Bloco de notas, e salve com qualquer nome que desejar no Desktop (Área de Trabalho), mas tem que acrescentar a extensão *.BAT

Um Exemplo: -> Script.bat

Script pronto!

Ao executar o script acima o arquivo malicioso kravo.exe será movido para o Desktop e o computador será reiniciado, pois é necessário...., o programa malicioso ainda estará em execução nos processos, o arquivo foi renomeado para kravo.exe.vi para deixá-lo inativo (morto) assim evitando que ocorra um acidente ao executá-lo manualmente.
Caso a remoção não surta efeito e o trojan continue em execução, é recomendável fazer o procedimento em (Modo de Segurança).

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Uma observação:
Confira o caminho do trojan mostrado no exemplo abaixo:
"C:\Documents and Settings\User\kravo.exe"

Como podem observar eu utilizei os sinais Aspas -> ".........."

isso serve para  nome de diretórios (Pastas) com caminhos longos, (Com espaço), caso não tenha as Aspas "..." em diretórios com espaço o comando não funcionará..

Exemplo:
"C:\Documents and Settings"
"C:\Arquivos de Programas"

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

E com diretórios que possuem nomes inteiros sem espaço, não é necessário por as aspas.

Exemplo de diretórios que não precisam de aspas:
C:\Recycler
C:\Windows
C:\Windows\system
C:\Windows\system32
C:\Windows\system32\drivers
e assim vai...

Esse é o básico de um Script MS-DOS, para remoção de um Malware.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Parte 2

Operação REG [lista de parâmetros]

 Operação  [ QUERY   | ADD    | DELETE  | COPY    |
             SAVE    | LOAD   | UNLOAD  | RESTORE |
             COMPARE | EXPORT | IMPORT ]  | FLAGS ]

Código de retorno: (Exceto REG COMPARE)

 0 - bem-sucedido
 1 - falha

Para obter ajuda sobre um tipo específico de operação:

 Operação REG /?

Exemplos:

 REG QUERY /?
 REG ADD /?
 REG DELETE /?
 REG COPY /?
 REG SAVE /?
 REG RESTORE /?
 REG LOAD /?
 REG UNLOAD /?
 REG COMPARE /?
 REG EXPORT /?
 REG IMPORT /?
 REG FLAGS /?
Removendo entradas de registro.

Reg--> comando utilizado para acesso ao registro do windows via Prompt de Comando.
/f --> Força a remoção ou adicionar uma entrada sem questionar pela remoção.
/v--> especifica o valor de registro a ser removido.

Reg delete --> serve para deletar um entrada de registro Valor ou um chavekey.

Exemplo:
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\run" /f /v "malware" <-- remove um entrada de valor na chave "Run"

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Malware" /f   <-- remove uma chave maliciosa do registro.


Última edição por Brando lee em Ter 26 Nov 2013, 21:26, editado 4 vez(es)
avatar
Convidado
Convidado


Ir para o topo Ir para baixo

Scripts de MS-DOS, para remoção de Malwares e Spywares. Empty Re: Scripts de MS-DOS, para remoção de Malwares e Spywares.

Mensagem por Meyer! Sáb 12 Out 2013, 12:03

Dá para usar o "echo" para escrever o progresso do script (juntamente com "@echo off", para evitar de exibir o comando executado), e "title" para colocar um título da janela:

Código:

@echo off
title Remoção de Malware
echo [!] Modificando atributos de "C:\Documents and Settings\User\kravo.exe"...
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
echo [!] Copiando "C:\Documents and Settings\User\kravo.exe" para a pasta atual como "kravo.exe.vi"...
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
echo [*] Reiniciando...
shutdown -r -t 00
[*]

Todo o texto que for colocado após "title ", será o novo título da janela.
Todo o texto que for colocado após "echo ", será exibido no console. Para escrever os seguintes símbolos corretamente na tela,


Código:
| & < >
[*], deve se colocar um "^" antes.


Código:
echo [*] Remoção ^& Limpeza . . .
[*]


[*]
"echo." serve para pular uma linha.


Código:
echo [*] Remoção ^& Limpeza . . .
echo.
echo.
echo.
echo [!] Terminando tudo...
[*][*][*]
Meyer!
Meyer!
Iniciante
Iniciante

Mensagens : 7
Reputação : 6
Data de inscrição : 01/10/2013
Idade : 25
Localização : Por aí...

Ir para o topo Ir para baixo

Scripts de MS-DOS, para remoção de Malwares e Spywares. Empty Re: Scripts de MS-DOS, para remoção de Malwares e Spywares.

Mensagem por Convidado Sáb 12 Out 2013, 12:18

Muito bom Meyer!!

Seu Script ficou bem caprichado muito bom.., mas não acho necessário tudo isso.., pois dará muito trabalho ao criar o script, do jeito que fiz é para simplificar e cria-lo mais rápido.
Essa sintaxe "echo" é bom para ferramenta de analise em MS-DOS como o Combofix, para não mostrar as linhas de comandos correndo.


No Script, que montei acima no exemplo, tem de outra forma acrescentando um outro comando no topo. -> taskkill /f /im explorer.exe

Ficando dessa forma:
taskkill /f /im explorer.exe
Attrib -h -s "C:\Documents and Settings\User\kravo.exe"
Move "C:\Documents and Settings\User\kravo.exe" kravo.exe.vi
shutdown -r -t 00
É bom também antes finalizar o processo "Explorer.exe" para facilitar na remoção do Malware.





avatar
Convidado
Convidado


Ir para o topo Ir para baixo

Scripts de MS-DOS, para remoção de Malwares e Spywares. Empty Re: Scripts de MS-DOS, para remoção de Malwares e Spywares.

Mensagem por Conteúdo patrocinado


Conteúdo patrocinado


Ir para o topo Ir para baixo

Ir para o topo


 
Permissões neste sub-fórum
Não podes responder a tópicos