BlitzBlank: tworzenie skryptów kasujących


BlitzBlank to aplikacja posiadająca bardzo duże możliwości w usuwaniu opornych elementów malware. Po pobraniu aplikacji przystępujemy jej użycia.

obsługa aplikacji
aplikacja wymaga praw administracyjnych. Po uruchomieniu wyświetla się okienko z informacją, aby używać aplikację z rozwagą. Klikamy OK i otworzy się okno programu podzielone na dwie karty służące projektowaniu skryptów:

  1. Designer: karta pozwala na samodzielną budowę skryptu metodą WYSIWYG
  2. Script: w tej karcie wklejamy skopiowaną treść skryptu ze schowka systemowego

Po wprowadzeniu skryptu klikamy w przycisk Execute Now. Następnie potwierdzamy wykonanie skryptu oraz prośbę o restart. W czasie resetowania systemu, aplikacja wykona wszystkie wskazane zadania usuwające. Aplikacja tworzy raport w postaci pliku w lokalizacji C:blitzblank.log
Przykładowy log z usuwania:

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application
MoveFileOnReboot: sourceFile = "??c:sr48l4n6s.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "??c:sality", destinationDirectory = "(null)", replaceWithDummy = 0
DeleteRegistryKeyOnReboot: keyName = "RegistryMachinehkey_local_machinesoftwaretrojan32", backupFile = "(null)", replaceWithDummy = 0
DeleteRegistryKeyByDriver: keyName = "RegistryMachinehkey_local_machinesoftwaretrojan32", backupFile = "(null)", replaceWithDummy = 0
DeleteRegistryValueOnReboot: keyName = "RegistryMachinehkey_local_machinesystemcurrentcontrolsetservices", valueName = "wirus", backupFile = "(null)", replaceWithDummy = 0
DeleteRegistryValueByDriver: keyName = "RegistryMachinehkey_local_machinesystemcurrentcontrolsetservices", valueName = "wirus", backupFile = "(null)", replaceWithDummy = 0

 

budowa skryptów

  • karta Designer
    Karta pozwala na utworzenie skryptu bez znajomości specyficznych poleceń. W oknie mamy tabelę, którą w łatwy sposób wypełniamy.
    W kolumnie Type klikamy myszką w pierwszym wierszu i z rozwijanego menu wybieramy typ elementu, który chcemy usunąć: plik, folder, klucz lub wartość rejestru, sterownik lub zewnętrzny plik wsadowy .BAT
    Następnie klikamy w wierszu w kolumnie Object i wskazujemy element do usunięcia.
    Kolumna Move Target będzie aktywna, gdy chcemy przenieś plik w inne miejsce. Kolumna Action informuje o planowanej akcji: w przypadku plików i folderów możemy wybrać skopiowanie, przeniesienie lub usunięcie. W kolumnie Repl. Dummy mamy możliwość zaznaczenia opcji podstawiania usuwanego pliku pustym o tej samej nazwie. W kolumnie Backup zaznaczamy, gdy chcemy wykonać kopię zapasową elementów rejestru / sterowników.
    Wypełniając tą kartę, automatycznie wypełnia się druga karta Script. 

    blitzblank1.jpg

     

  • karta Script
    karta pozwala na pisanie własnych skryptów, przy znajomości obsługiwanych poleceń.
    Obsługiwane polecenia: 

    • DeleteFile: [ReplaceWithDummy]
    • MoveFile: [ReplaceWithDummy]
    • DeleteFolder: [ReplaceWithDummy]
    • MoveFolder: [ReplaceWithDummy]
    • DeleteRegKey: [ReplaceWithDummy] [Backup]
    • DeleteRegValue: [ReplaceWithDummy] [Backup]
    • DisableDriver: [Backup]
    • Execute:

    Parametry w [nawiasach kwadratowych] są opcjonalne.
    Każde polecenie ze ścieżką do obiektu (ów) należy zamieszczać w osobnej linii. W poleceniu „Move” ścieżki źródło i cel oddzielamy spacją. Ścieżki z spacją muszą być „otoczone” przez podwójny cudzysłów.
    Wypełniając tą kartę, automatycznie wypełnia się pierwsza karta Designer.

    blitzblank2.jpg

Typowe problemy podczas wykonywania skryptu:
BlitzBlank nie wykona skryptu, jeżeli chociaż jednego obiektu nie znajdzie na dysku lub w rejestrze. Spowodowane jest to, że aplikacja nie przetwarza w ogóle nieistniejących ścieżek, ponieważ kasowanie ich jest nie logiczne. W razie napotkania nieistniejącej ścieżki, program wywali błąd typu:
„Syntax error in line 4, Invalid file path”
Oznacza to, że ścieżka w 4 linii skryptu nie istnieje >>> nie ma pliku na dysku lub klucza w rejestrze.

Czasami, gdy ścieżkę zawierającą spację nie „otoczymy” cudzysłowiem, może wywalić się taki błąd:
„Syntax error in line 4, Too many parameters „

Przykładowy skrypt:

DeleteFile:
"C:Documents and SettingsUserupdate001.exe"
C:autorun.inf

MoveFile:
C:s4kk6h97g.exe G:s4kk6h97g.exe

DeleteFolder:
"C:Documents and SettingsUserDane aplikacjixklquwceq3xnh3lvyouznckzzhgby1xf2"

DeleteRegKey: [Backup]
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorermountpoints2

DeleteRegValue:
HKEY_USERSS-1-5-21-583907252-1580818891-725345543-1003SOFTWAREMicrosoftWindowsCurrentVersionRunmssend
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskMan"

DisableDriver:
pdlnol

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *