Новости

01.10.2010

СКРИПТ ДЛЯ УДАЛЕНИЯ ПРОГРАММЫ-ВЫМОГАТЕЛЯ (БАННЕРА) ИЗ ОПЕРАТИВНОЙ ПАМЯТИ

Баннеры-вымогатели, требующие отправку смс - это одна из самых частых причин обращения в нашу компанию.

Приведем простейшего BAT-файла, с помощью которого наши сотрудники ведут борьбу с данными троянами.

BAT-файл, прекращает все, не перечисленные в нем, процессы.

Для чего это нужно? Например, появился баннер и закрыл большую часть экрана. Если удастся, запустить данный BAT-файл, то он может прекратить процесс, отображающий баннер, разумеется, это не излечит систему полностью, так как баннер изменил реестр, отключив некоторые функции и поставил себя в автозагрузку. Но без выгрузки трояна из оперативной памяти реестр изменять не стоит.

Данный код надо сохранить в "Блокноте" с расширением .bat или .cmd и выполнить на зараженной машине.

Код приведен исключительно в качестве примера. Крайне не рекомендуется использовать его неспециалистам. Предназначен для Windows 7. Не является "панацеей" и помогает только в простейших случаях.

REM Оставляет в оперативной памяти для WIN 7 минимум процессов

@echo off

for /f "tokens=1 delims=. skip=5 usebackq" %%i in (`tasklist`) do (

IF /I NOT %%i==EXPLORER (

IF /I NOT %%i==CSRSS (

IF /I NOT %%i==LSASS (

IF /I NOT %%i==SMSS (

IF /I NOT %%i==SPOOLSV (

IF /I NOT %%i==SVCHOST (

IF /I NOT %%i==SERVICES (

IF /I NOT %%i==WINLOGON (

IF /I NOT %%i==WINMGMT (

IF /I NOT %%i==WININIT (

IF /I NOT %%i==LSM (

IF /I NOT %%i==DWM (

IF /I NOT %%i==CMD (

IF /I NOT %%i==SYSTEM (

IF /I NOT %%i==WMPNETWK (

IF /I NOT %%i==TASKLIST (

IF /I NOT %%i==WmiPrvSE (

IF /I NOT %%i==DLLHOST (

IF /I NOT %%i==CONHOST (

TASKKILL /F /im %%i.EXE

PAUSE

rem echo %%i

)

echo __________

echo OK

PAUSE

REM Конец скрипта