Savana Removal Tool, Funziona solo in caso di INFEZIONE PARZIALE!!

« Older Newer »

FrontBack

Posted on 6/1/2011, 19:38

Ciao a tutti,
dato l'aumento improvviso di utenti lamerozzi che nascondono il loro virus spesso all'interno di un include, per il virus che ho battezzato Savana ho progettato una utility di rimozione.

NB: il tool funziona solo in caso di INFEZIONE PARZIALE, infatti altrimenti i file di Windows verrebbero cancellati e l'unica soluzione sarebbe reinstallare l'OS.

Comunque, mettete dove volete questo script e create un collegamento al desktop con una scorciatoia da tastiera, così da avviarlo all'inizio dell'infezione, aumentando le probabilità di disinfezione.

Il codice non è dannoso e se lo sembra, non preoccupatevi, i file e le chiavi di registro che cancella sono solo legate al virus, quindi non c'è nessun rischio.

NB²: non mi assumo nessuna responsabilità in caso di eventuali danni al computer legati all'utilizzo di questo script.
Non ho avuto modo di testarlo perchè non ero infetto, anche perchè sennò non sarei qui a scrivere! XD

Comunque sia, eccovi il codice:

SPOILER (click to view)

CODICE

#include <Process.au3>

; Savana Removal Tool (only in partial infection!)
If ProcessExists("signature.exe") Then
ProcessClose("signature.exe")
EndIf
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\shost")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dllhost")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\suchost.exe")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\signature")
FileDelete(@MyDocumentsDir&"\shost.exe")
FileDelete(@AppDataDir&"\dllhost.exe")
FileDelete("C:\Windows\suchost.exe")
FileDelete(@TempDir&"\Signature.exe")
FileDelete(@TempDir&"\firefox.rcxd")
FileDelete(@TempDir&"\ha.jpg")
SplashOff()
If ProcessExists("pers.exe") Then
ProcessClose("pers.exe")
EndIf
If ProcessExists("v_1.exe") Then
ProcessClose("v_1.exe")
EndIf
If ProcessExists("v2.exe") Then
ProcessClose("v2.exe")
EndIf
If ProcessExists("v3.exe") Then
ProcessClose("v3.exe")
EndIf
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pers")
DirRemove("C:\ntldr", 1)
FileDelete(@TempDir&"\v_1.exe")
FileDelete(@TempDir&"\v2.exe")
FileDelete(@TempDir&"\v3.exe")
FileDelete(@TempDir&"\pers.exe")
_RunDOS("@start explorer.exe")
MsgBox(0, "Savana Removal Tool", "Operazione completata! Alcuni file di Windows non potrebbero più esserci, quindi per rimediare a ciò puoi fare un Ripristino Configurazione di Sistema per tornare indietro poco prima dell'infezione."&@CRLF&"Inoltre devi cambiare manualmente lo sfondo del desktop, la procedura automatica non può intervenire in questi casi.")

Ripeto: non garantisco la completa disinfezione dal virus in quanto non è testato per evitare di recare eventuali danni inutili al mio PC.

Usatelo a vostro rischio e pericolo!

Se non dovesse avviarsi con la scorciatoia da tastiera, provare ad avviarlo in modalità provvisoria. Come fare?
1) riavviate il computer
2) premete il tasto F8 prima che appaia il logo di Windows
3) tra le varie voci scegliete "Modalità provvisoria"
4) attendete il caricamento del sistema (appariranno delle scritte veloci sul monitor, dont'worry, è normale)
5) aprite lo script
6) riavviate il computer ed incrociate le dita!

Se questo metodo non dovesse funzionare e il computer è ancora "vivo", seguite queste istruzioni:
1) riavviate il computer
2) premete il tasto F8 prima che appaia il logo di Windows
3) tra le varie voci scegliete "Ripristina il computer"
4) selezionate la lingua (se possibile) e cercate tra i layout di tastiera quella italiana
5) Scegliete (se inglese) "System Restore" o (se in italiano) "Ripristino configurazione di sistema"
6) Aspettate il caricamento della utility (per la lingua inglese, se non è quello dovrebbe essere il secondo della lista, ha un'icona a forma di orologio)
7) scegliete il punto di ripristino più vicino al punto in cui avete erroneamente avviato il virus
8) attendete e NON FATE NIENT'ALTRO fino alla fine dell'operazione
9) quando ha finito premete su "Riavvia" o "Restart"
10) aspettate il normale avvio del computer e dovrebbe essere tornato tutto come prima

Marduk

Posted on 6/1/2011, 20:03

una domanda... quando e come si avvia lo script?? prima dell'avvio di windows, o all'avvio con l'esecuzione automatica tramite reg?

FrontBack

Posted on 6/1/2011, 20:05

il mio lo devi avviare tu, il virus si avvia all'inizio con un eseguibile incriminato, poi con una chiave di registro

ienag3™

Posted on 6/1/2011, 20:10

scusa ma come fa a cancellarli se sono ankora in esecuzione ? xD

FrontBack

Posted on 6/1/2011, 20:13

se hai notato prima termina i processi e se sei in modalità provvisoria non si avvia il virus quasi sicuramente

ienag3™

Posted on 6/1/2011, 20:21

si scusa ho notato ora che si ripete

, cmq dove posso reperire un buon decompiler ?

FrontBack

Posted on 6/1/2011, 20:22

te lo do per pm, è troppo pericoloso darlo qui iin pubblico

ienag3™

Posted on 6/1/2011, 20:24

ok xD, mi sono sempre domandato se esistessero davvero xD

hai skype ?

FrontBack

Posted on 6/1/2011, 20:26

3ad_Pr0grammer

Posted on 6/1/2011, 20:27

Bene =)

ienag3™

Posted on 6/1/2011, 20:36

scusa se rompo ankora ma io devo trascinare l'eseguibile dentro poi ? xD

FrontBack

Posted on 6/1/2011, 20:37

salvi lo script, ci fai un collegamento al desktop e ci assegni una scorciatoia da tastiera nelle proprietà del collegamento

ienag3™

Posted on 6/1/2011, 20:39

mi butta fuori sta roba :/

SPOILER (click to view)

================================================================================
myAut2Exe >The Open Source AutoIT/AutoHotKey script decompiler< 2.1 build(64)
================================================================================
Unpacking: C:\Users\IENA\Desktop\Storia_Estrazione.exe
AlternativeSigScan for 'FILE'-signature in au3-body...
Modified Script Type 3.2.5+ found.
00045055 -> SrcFile_FileInst: >>>AUTOIT SCRIPT<<<
Seeking back to script start position...
AU3_Signature: A3 48 4B BE 98 6C 4A A9 99 4C 53 0A 86 D6 48 7D £HK¾˜lJ©™LS
†ÖH}
00045013 -> SubType: 0x41 AU3!
~ Note: The following offset values are were the data ends (and not were it starts) ~
00045017 -> New AutoIt Script Found. - Type2 = EA06
Script is password protected!
00045027 -> Password/MD5PassphraseHash: 721BA291C2C44092034E5596EF0CBC1C
r¢‘ÂÄ@’NU–ï¼
MD5PassphraseHash_ByteSum: 00000000 '+ 2477' => decryption key!
------------ Processing Body -------------
=== > Processing FILE: #1
0004502B -> ResType: FILE
00045055 -> SrcFile_FileInst: >>>AUTOIT SCRIPT<<<
000450B1 -> CompiledPathName: C:\Users\IENA\AppData\Local\Temp\aut3B60.tmp
000450B2 -> IsCompressed: True (01)
000450B6 -> ScriptSize Compressed: 000121B0 Decimal:74160
000450BA -> ScriptSize UnCompressed(used to seek to next file): 00058B84 Decimal:363396
000450BE -> ADLER32 CRC of unencrypted script data: CA27CA99
000450CE -> FileTime (number of 100-nanosecond intervals since January 1, 1601)
pCreationTime: 01CBAD0B0455B48C 5.1.2011 19:1:53 [916]
pLastWrite : 01CBAD0B046740FE 5.1.2011 19:1:54 [31]
000450CE -> Begin of script data
Decrypting script data...
Calculating ADLER32 checksum from decrypted scriptdata
OK.
JB LZSS Signature:EA06
Compressed scriptdata written to C:\Users\IENA\Desktop\Storia_Estrazione.pak
Expanding script data to "Storia_Estrazione.tok" at C:\Users\IENA\Desktop\
Can't open C:\Users\IENA\Desktop\Storia_Estrazione.tok for read/write access. File not found

Saving Logdata to : C:\Users\IENA\Desktop\_myExeToAut.log

FrontBack

Posted on 6/1/2011, 20:43

ma dillo che ti riferivi al decompilatore! XD
lo trascini e lo script ti appare nel percorso dell'exe

usalo con attenzione, perchè se qualcuno non vuole che i suoi exe non vengano decompilati e ti becca, rischi non poco!

ienag3™

Posted on 6/1/2011, 20:47

sarò un impedito xD ma a me continua a venir fuori solo il .log,
cmq come fa a sapere qnd un decripta il suo prog ? o,O

22 replies since 6/1/2011, 19:38 513 views