Batch Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Répondre au sujet Page 1 sur 1
Supprimer une association de fichier depuis un batch
Auteur Message
Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Bonjour,

Dans le cadre de la construction de mon premier outil en batch, j'aimerai savoir comment faire pour supprimer des associations de fichiers depuis un batch? En effet, beaucoup de logiciels malveillants utilisent les associations de fichier afin de se régénérer. Dans mon cas, lors de l'ouverture de n'importe quel exécutable, le rogue se relance. J'aimerai pouvoir supprimer cette association afin de terminer la suppression de ce rogue.

Ah oui aussi.... Petite demande d'info!

Si je met, dans le batch, ceci:

Code:


REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System \v ["DisableRegedit"=1]

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System \v ["DisableTaskMgr"=1]
["DisableRegistryTools"=1]



Est ce que cela va fonctionner? Je ne suis pas sur de cette commande, j'aimerai aussi dans la mesure du possible quelques précisions Very Happy

Merci beaucoup d'avance pour l'aide apportée

Cordialement

Juju666



Message Publicité 
PublicitéSupprimer les publicités ?


Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Bonjour
il faut surtout connaitre le mécanisme de ton rogue afin tout de chose.

Pour réparer les associations de fichiers : http://www.libellules.ch/associations.php

Pour connaitre la syntaxe d'une commande tape dans une invite de commande : reg delete /?

la syntaxe de ton code est erronée.


Code:

::code qui doit supprimer la clé DisableRegedit
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit


et encore tout dépend de ce que tu veux faire exactement....

Tu dois d'abords t'assurer que la clé existe ou lire la valeur de la clé (REG QUERY) et agir en fonction du résultat




______________________________________________________
Faites paraitre votre batch sur BatchClipboard
Visiter le site web du posteur
Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Bonjour Laddy!

Merci pour la réponse, je vais tester et ensuite je te dirais si ça fonctionne Very Happy

Encore merci en tout cas!

Cordialement Juju



Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Salut Laddy!

Tout d'abord, encore merci de ton aide

Pour la commande que tu m'as donnée, malheureusement je n'ai pas su l'appliquer.

Je l'avais tapée et à la suite, mis REG DELETE HKCurrentUser(...) mais il me disait qu'il y avait trop de paramètres.

J'ai aussi essayé en faisant un "if exist" mais ça ne fonctionnait pas :/

Alors, il me reste deux bugs:

Le premier, il m'indique "Le chemin d'accès spécifié est introuvable."

Le second, "Erreur : paramètres de ligne de commande non valides"

Concernant l'établissement du log, encore quelques choses à améliorer, du style:

Au lieu de mettre "Opération réussie" mettre "Le processus a été arrêté correctement"
Concernant l'effacement des lignes du registre, mettre le nom de la ligne et ensuite "delete!"

Voilà, je te donne le code source (pas très élaboré certes mais j'espère qu'on va l'améliorer Wink

Code:


@echo off

mode con: cols=90 lines=26&color F0

title ######  Destuct "XP Security Tool" By Juju666   ######

set Rapport=%HOMEDRIVE%\destructxp.txt
REM définition du répertoire du log

if exist %Rapport% del /F /Q %Rapport%
REM destruction de l'ancien log s'il existe

:Menu

mode con: cols=80 lines=20& color 0F

echo Faites votre choix et validez par Entr,e

Echo q: quitter
Echo 1: detruire
Echo 2: Lancer RSIT

set /p ChoixMenu=%sChoice% (1,q,Q) :


if '%ChoixMenu%'=='q' goto exit
if '%ChoixMenu%'=='Q' goto exit
if '%ChoixMenu%'=='1' goto destroy


goto Menu

:destroy
REM Destruction  du rogue

(echo. destroy XP Security Tool by Juju666
echo Merci a Laddy pour l'aide apport,e
echo Run by %USERNAME% of %DATE% %TIME%

taskkill /f /im ave.exe


del /a /f /s /q %appdata%\ave.exe
 

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System [/v DisableRegedit] /f

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
) >> %Rapport%

call xp_exe.reg

start %Rapport%
pause

goto :exit


:exit
eof




Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Que fait les crochets dans cette ligne ?? ton erreur ne serait pas là car les autres lignes sont exactes

Code:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System [/v DisableRegedit] /f

ça le fait sur toutes les lignes ? la clé existe ?


Citation:
Au lieu de mettre "Opération réussie" mettre "Le processus a été arrêté correctement"

Qui quoi ?? merci d'être plus précis....

Pour cacher le résultat d'une commande utilise 2>nul ou >nul ou 2>nul >nul
Suivie d'un ECHO Le processus est stoppé
ensuite


Code:

:Menu
Echo q: quitter
Echo 1: detruire
Echo 2: Lancer RSIT

set /p ChoixMenu=%sChoice% (1,q,Q) :


if '%ChoixMenu%'=='q' goto exit
if '%ChoixMenu%'=='Q' goto exit
if '%ChoixMenu%'=='1' goto destroy

Il y a des incohérences et des erreurs.
En batch, on utilise des doubles guillements : "%variable%

Code corrigé :

Citation:
:Menu

::Juste de la la logique pour le menu
ECHO 1. Supprimer
ECHO 2. Lancer RSIT
ECHO Q. Quitter

set /p ChoixMenu=(1,2,Q) :

if "%ChoixMenu%"==1 goto destroy
if "%ChoixMenu%"==2 goto RSITLaunch

:: /i permet de ne pas différencier les minusucles et les majuscules tu peux donc taper : q ou Q le batch est executé

if /i "%ChoixMenu%"==Q goto exit

::if not defined permet de vérifier si la variable est définie si elle ne l'est pas, elle reboucle vers le menu
if not defined %ChoixMenu% goto Menu


Code:
del /a /f /s /q %appdata%\ave.exe

Que veux tu faire exactement ??
un simple
DEL /Q /F %appdata%\ave.exe suffit.




______________________________________________________
Faites paraitre votre batch sur BatchClipboard
Visiter le site web du posteur
Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Laddy a écrit:
Que fait les crochets dans cette ligne ?? ton erreur ne serait pas là car les autres lignes sont exactes

Code:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System [/v DisableRegedit] /f

ça le fait sur toutes les lignes ? la clé existe ?


En effet, petite erreur de ma part là... Oui la ligne existe, je m'étais déjà corrigé mais il dit ne pas la trouver... Étrange. USBFix lui la trouve, et la delete mais après reboot.

Citation:

Citation:
Au lieu de mettre "Opération réussie" mettre "Le processus a été arrêté correctement"

Qui quoi ?? merci d'être plus précis....

Pour cacher le résultat d'une commande utilise 2>nul ou >nul ou 2>nul >nul
Suivie d'un ECHO Le processus est stoppé


Bien vu, je n'y avait pas pensé. Et je ne connaissait pas 2>nul>nul
Citation:

ensuite


Code:

:Menu
Echo q: quitter
Echo 1: detruire
Echo 2: Lancer RSIT

set /p ChoixMenu=%sChoice% (1,q,Q) :


if '%ChoixMenu%'=='q' goto exit
if '%ChoixMenu%'=='Q' goto exit
if '%ChoixMenu%'=='1' goto destroy

Il y a des incohérences et des erreurs.
En batch, on utilise des doubles guillements : "%variable%

Code corrigé :

Citation:
:Menu

::Juste de la la logique pour le menu
ECHO 1. Supprimer
ECHO 2. Lancer RSIT
ECHO Q. Quitter

set /p ChoixMenu=(1,2,Q) :

if "%ChoixMenu%"==1 goto destroy
if "%ChoixMenu%"==2 goto RSITLaunch

:: /i permet de ne pas différencier les minusucles et les majuscules tu peux donc taper : q ou Q le batch est executé

if /i "%ChoixMenu%"==Q goto exit

::if not defined permet de vérifier si la variable est définie si elle ne l'est pas, elle reboucle vers le menu
if not defined %ChoixMenu% goto Menu


Merci pour la correction. Oui l'argument /i sera pratique dans ce cas. Par contre pour les doubles guillemets je ne savais pas.
Citation:

Code:
del /a /f /s /q %appdata%\ave.exe

Que veux tu faire exactement ??
un simple
DEL /Q /F %appdata%\ave.exe suffit.


Je voulais le supprimer.... Le problème, c'est que le rogue se fait passer pour un fichier système. Le batch n'arrive pas à le supprimer; par contre en le faisant manuellement ça marche Exclamation

De là; j'ai encore une question.

Comment faire automatique la fusion du .reg sans demander l'avis de l'utilisateur Question

Bon, bien sur ça ne sera jamais un tool qui sera employé (du mojns je ne crosi pas) mais j'ai un bon prétexte pour bien apprendre la batch Very Happy



Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Citation:
En effet, petite erreur de ma part là... Oui la ligne existe, je m'étais déjà corrigé mais il dit ne pas la trouver... Étrange. USBFix lui la trouve, et la delete mais après reboot.

Montre moi le rapport de Usbfix, es tu sûr du chemin vers ta clé de registre ?

cette ligne est correcte.
Code:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /f


Citation:
Je voulais le supprimer.... Le problème, c'est que le rogue se fait passer pour un fichier système. Le batch n'arrive pas à le supprimer; par contre en le faisant manuellement ça marche

Essaie ceci :

Code:
ATTRIB -H -S -A -R "%appdata%\ave.exe"
DEL /Q /F "%appdata%\ave.exe"

Dis moi si cela fonctionne.


Citation:
Comment faire automatique la fusion du .reg sans demander l'avis de l'utilisateur



Remplace call tonfichier.reg par regedit tonfichier.reg /s

Lire : http://support.microsoft.com/kb/82821/fr




______________________________________________________
Faites paraitre votre batch sur BatchClipboard
Visiter le site web du posteur
Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Laddy a écrit:
Citation:
En effet, petite erreur de ma part là... Oui la ligne existe, je m'étais déjà corrigé mais il dit ne pas la trouver... Étrange. USBFix lui la trouve, et la delete mais après reboot.

Montre moi le rapport de Usbfix, es tu sûr du chemin vers ta clé de registre ?


Désolé, je n'ai plus le rapport USBFix (ni même ce rogue) car j'ai formaté la VM: l'accès au registre était interdit; les .exe inutilisables; donc même internet je n'arrivais plus à le lancer. Et je ne retrouve pas ce fichu rogue!

Citation:

cette ligne est correcte.
Code:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /f


C'est bien ce qu'il me semble. Mais USBFix en est venu à bout après reboot du pc.
Citation:

Citation:
Je voulais le supprimer.... Le problème, c'est que le rogue se fait passer pour un fichier système. Le batch n'arrive pas à le supprimer; par contre en le faisant manuellement ça marche

Essaie ceci :

Code:
ATTRIB -H -S -A -R "%appdata%\ave.exe"
DEL /Q /F "%appdata%\ave.exe"

Dis moi si cela fonctionne.

Je ne saurais pas... mais je vais télécharger un autre rogue sur ma VM et je testerais. Merci du conseil.

Citation:

Citation:
Comment faire automatique la fusion du .reg sans demander l'avis de l'utilisateur



Remplace call tonfichier.reg par regedit tonfichier.reg /s

Lire : http://support.microsoft.com/kb/82821/fr



Merci du conseil avisé. On ne cherche jamais assez......

En tout cas, je te remercie pour tout. Je vais modifier, grâce à ton aide précieuse, mon batch pour qu'il fonctionne sur une autre infection. Je te tiendrai au courant, et n'hésiterai pas à poster le code ainsi que l'exécutable. Il sera sûrement utile (s'il fonctionne lol)

J'aimerai bien aussi avoir une formation plus complète; sur les boucles FOR et les find/findstr car ça je ne maîtrise pas encore bien. Penses-tu que malgré qu'il n'y a plus de place, je peux déjà faire la demande?

Encore un énorme merci pour tout!

Cordialement Juju



Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Pour la formation ce n'est pas qu'il n'ait plus de place c'est surtout que je manque de temps en ce moment.

Mais je pense que tu devrais lire et essayer les exos demandés dans les formations déjà terminées. Il y a déjà des explications. Ensuite si tu n'as pas compris j'essaie de t'expliquer.
Pour comprendre une boucle for il faut partir d'un projet.




______________________________________________________
Faites paraitre votre batch sur BatchClipboard
Visiter le site web du posteur
Répondre en citant
Message Supprimer une association de fichier depuis un batch 
Hello Laddy,

Oui j'ai remarqué que tu étais seule.

Je vais suivre ce que tu m'as dis et lire les formations en cours/archivées

Merci d'avoir pris la patience de m'aider.

Cordialement Juju



Message Supprimer une association de fichier depuis un batch 


Montrer les messages depuis:
Répondre au sujet Page 1 sur 1
  



Index | créer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Copyright 2008 - 2016 // Batch