reg.exe. Он выполняет различные запросы и удаляет ключи реестра. Вот подробное описание процесса:batch
for /f "delims= %%i in ('reg.exe query "regedit2%" ^ find /i "regedit.exe"') do (reg.exe delete "Sregedit2%" /v "%%i" /f >nul)
regedit2, подстроку "regedit.exe". Если такая подстрока найдена, соответствующий ключ удаляется.batch
set cmd3-HKEY LOCAL MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\%SID%
for /f "delims- %%i in ('reg.exe query "cmd3%" find /1 "cmd.exe"") do (reg.exe delete "%cmd3%" /v "%%1" /f >nul)
cmd3. Он ищет подстроку "cmd.exe" и удаляет соответствующие значения.batch
set regedit3-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\%SID%
for /f "delims-"%%i in ('reg.exe query "%regedit3%" ^ find /i "cmd.exe"") do (reg.exe delete "%regedit3%" /v "%%i" /f >nul)
regedit3.batch
set zxczxc-HKEY LOCAL MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
for /f "delims= %%i in ('reg.exe query "Xzxczxc%" ^ find /1 "AppCompatCache"') do (reg.exe delete "Xzxczxc%" /v "%%i" /f >nul)
zxczxc, и удаляет соответствующие значения.batch
set zxczxc1-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
for /f "delims-%%i in ('reg.exe query "Xzxczxc1%" ^ find /i "AppCompatCache"") do (reg.exe delete "Xzxczxc1%" /v "%%i" /f >nul)
zxczxc1.batch
reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\7" /va/f
reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\10" /va/f
reg delete "HKEY_CURRENT_USER\SOFTWARE\WinRAR ArcHistory" /va /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\WinRAR\DialogEditHistory\Arclame" /va /f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RWKM" /va/f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RWKM" /va/f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /va/f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSavePidIMRU*" /va/f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSavePid1MRU\bat" /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSavePid1MRU\exe" /f
Администратор от А до Я расписал вам все ваши нарушения.1) Ослушались инструкции которые были вам выдвинуты.
Посмотреть вложение 219189
Посмотреть вложение 219190
2) Вот тригер который был вчера обнаружил у вас на 03 сервере.
Посмотреть вложение 219191
3) Множестве следов чистки логов
У васПосмотреть вложение 219192
Должно быть
Посмотреть вложение 219193
У вас
Посмотреть вложение 219194
Должно быть
Посмотреть вложение 219195
У вас
Посмотреть вложение 219196
Должно быть
Посмотреть вложение 219197
4) Сам батник, который написан либо вами, либо был передан вам в виде исходников.
Посмотреть вложение 219198
И код этого батника
Этот скрипт выполняет несколько действий с реестром Windows с помощью командыreg.exe. Он выполняет различные запросы и удаляет ключи реестра. Вот подробное описание процесса:
1. Первый блок:
batch
for /f "delims= %%i in ('reg.exe query "regedit2%" ^ find /i "regedit.exe"') do (reg.exe delete "Sregedit2%" /v "%%i" /f >nul)
Этот блок ищет в ключе реестра, хранящемся в переменнойregedit2, подстроку "regedit.exe". Если такая подстрока найдена, соответствующий ключ удаляется.
2. Второй блок:
batch
set cmd3-HKEY LOCAL MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\%SID%
for /f "delims- %%i in ('reg.exe query "cmd3%" find /1 "cmd.exe"") do (reg.exe delete "%cmd3%" /v "%%1" /f >nul)
Этот блок работает с реестром, начиная с ключа, хранящегося в переменнойcmd3. Он ищет подстроку "cmd.exe" и удаляет соответствующие значения.
3. Третий блок:
batch
set regedit3-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\%SID%
for /f "delims-"%%i in ('reg.exe query "%regedit3%" ^ find /i "cmd.exe"") do (reg.exe delete "%regedit3%" /v "%%i" /f >nul)
Этот блок похож на второй и выполняет аналогичные действия, но с ключом, хранящимся в переменнойregedit3.
4. Четвертый блок:
batch
set zxczxc-HKEY LOCAL MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
for /f "delims= %%i in ('reg.exe query "Xzxczxc%" ^ find /1 "AppCompatCache"') do (reg.exe delete "Xzxczxc%" /v "%%i" /f >nul)
Этот блок ищет подстроку "AppCompatCache" в ключе, хранящемся в переменнойzxczxc, и удаляет соответствующие значения.
5. Пятый блок:
batch
set zxczxc1-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
for /f "delims-%%i in ('reg.exe query "Xzxczxc1%" ^ find /i "AppCompatCache"") do (reg.exe delete "Xzxczxc1%" /v "%%i" /f >nul)
Этот блок аналогичен четвертому и выполняет те же действия с ключом, хранящимся в переменнойzxczxc1.
6. Удаление конкретных ключей реестра:
Эти команды удаляют указанные ключи реестра:
batch
reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\7" /va/f
reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\10" /va/f
reg delete "HKEY_CURRENT_USER\SOFTWARE\WinRAR ArcHistory" /va /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\WinRAR\DialogEditHistory\Arclame" /va /f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RWKM" /va/f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RWKM" /va/f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /va/f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSavePidIMRU*" /va/f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSavePid1MRU\bat" /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSavePid1MRU\exe" /f
Эти команды удаляют конкретные значения или все значения внутри указанных ключей реестра.
Общий смысл этого скрипта - это удаление определённых ключей и значений в реестре Windows для сокрытия запуска софта.
5) Признание -
6) У вас отсутствует откат с капта, что уже является причиной для блокировки, ведь именно с капта вас забрали.
Ожидайте ответа от ЗГА.