darmowe oprogramowanie, porady, tutoriale komputerowe
The Avenger: budowa skryptów usuwających
The Avenger to bardzo silna aplikacja do usuwania mocno zakorzenionych elementów malware. Po pobraniu aplikacji przystępujemy do jej użycia.
obsługa aplikacji
aplikacja wymaga praw administracyjnych. Po uruchomieniu wyświetla się okienko z informacją, że użycie aplikacji nie jest w 100% bezpieczne. Klikamy OK i otworzy się okno programu.
Teraz pora na załadowanie skryptu usuwającego. Można to zrobić przez:
- pisanie bezpośrednio w polu tekstowym
- załadowanie skryptu z pliku (zwykły tekst, ANSI zakodowane)
- załadowanie skryptu z internetowego adresu URL
- wklejenie skryptu bezpośrednio ze schowka
Po załadowaniu skryptu klikamy w przycisk Execute i potwierdzamy jago wykonanie. Avenger poprosi o restart. W czasie resetowania systemu, aplikacja wykona wszystkie wskazane zadania usuwające, jednocześnie wykonując kopię zapasową kasowanych elementów. Następnie zostanie wyświetlony log przebiegu operacji. Log oraz kopie elementów zapisywane są w folderze C:\Avenger
budowa skryptów
Skrypt składa się z tekstu o budowie „jedna komenda na jedną linię”. Każda linia jest traktowana oddzielnie, więc nie powinno być linii podziału lub zawijania tekstu.
Na stronie producenta dostępny jest tutorial budowy skryptu.
Comment: informacyjny komentarz
Files to delete: kasowanie plików wraz z wykonaniem kopii
Files to delete:
C:\WINDOWS\System32\SomeBadFile.dll
%windir%\bad.exe
c:\documents and settings\file.exe
Files to replace with dummy: podstawianie pliku pustym o tej samej nazwie wraz z wykonaniem kopii oryginału
Files to replace with dummy:
C:\WINDOWS\System32\SomeBadFile.dll
%windir%\bad.exe
c:\documents and settings\file.exe
Files to move: przeniesienie wskazanych plików źródłowych do innej lokalizacji docelowej. znak krechy |służy oddzieleniu ścieżki dostępu pliku źródłowego od pliku docelowego. Pierwsza ścieżka jest źródłowa (ten plik podstawi docelowy), druga ścieżka jest docelowa (ten plik zostanie podstawiony tym pierwszym).
Files to move:
C:\WINDOWS\System32\SomeBadFile.dll | C:\renamed.dll
%windir%\bad.exe | %systemdrive%\bad.exe.bak
c:\documents and settings\file.exe | c:\backup\bad.extension
Folders to delete: kasowanie folderów wraz z wykonaniem kopii
Folders to delete:
C:\WINDOWS\System32\SomeBadFolder
c:\documents and settings\evil user\evil folder
Registry keys to delete: kasowanie kluczy rejestru z gałęzi HKEY_LOCAL_MACHINE wraz z wykonaniem kopii
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BadKey
HKLM\Software\BadKey
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BadKey
Registry keys to replace with dummy: zastępuje wartości wybranego klucza pustymi danymi
Registry keys to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BadKey
HKLM\Software\BadKey
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BadKe
Registry values to delete: kasowanie wartości, nie kluczy. Znak | służy oddzieleniu nazwy klucza od nazwy wartości.
Registry values to delete:
HKEY_LOCAL_MACHINE\Software\SomeKey | BadValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | BadRunValue
HKLM\System\CurrentControlSet\Control\Session Manager | BadValue
Registry values to replace with dummy: zastępuje konkretną wskazaną wartość wybranego klucza pustymi danymi
Registry values to replace with dummy:
HKEY_LOCAL_MACHINE\Software\SomeKey | BadValue
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | System
HKLM\System\CurrentControlSet\Control\Session Manager | BadValue
Programs to launch on reboot: uruchamianie wybranego programu przy następnym resetowaniu komputera np. plik BAT, import pliku REG
Programs to launch on reboot:
C:\Documents and Settings\My User\Desktop\HijackThis.exe
%systemdrive%\my_fix.bat
c:\MyRegFile.reg
regedit.exe /s c:\MyRegFile.reg
Drivers to delete: odładowanie i skasowanie systemowych sterowników i usług, wymaga dwóch restartów, nazwy tu wprowadzane widać w rejestrze w kluczu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
Drivers to delete:
BadDriver
avpi32
rnuk_h
Drivers to disable: wyłączanie sterowników i usług zmieniając typ startu na liczbę 4. Pliki nie są kasowane.
Drivers to disable:
BadDriver
Można pisać dużymi i małymi literami (C:\WINDOWS czy C:\Windows), w ścieżkach dostępu można stosować zmienne środowiskowe.
Przykładowy prosty skrypt:
Files to delete:
C:\WINDOWS\msc.exe
C:\WINDOWS\System32\msxml71.dll
c:\windows\system32\kbiwkmvdylbtml.dll
c:\windows\system32\drivers\kbiwkmpxudeuwq.sys
C:\Documents and Settings\Ania\Ustawienia lokalne\Temp\b.ex
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmkberrsei
HKLM\SYSTEM\ControlSet001\Services\kbiwkmkberrsei
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | zIVvQVxTCTZ
Drivers to delete:
kbiwkmkberrsei
Programs to launch on reboot:
C:\fix.reg
Ten wpis został napisany przez traxter 30 kwietnia 2011 o 21:09, i znajduje się w kategorii Tutoriale i porady komputerowe. Śledź odpowiedzi poprzez RSS 2.0. Możesz zostawić komentarz lub trackback ze swojej własnej strony.
Ten artykuł jest dostępny na licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Na tych samych warunkach 3.0 Polska i jego autorem jest Traxter. Czytaj Zasady oznaczania utworu.
