The Avenger: budowa skryptów usuwających


The Avenger to bardzo silna aplikacja do usuwania mocno zakorzenionych elementów malware. Po pobraniu aplikacji  przystępujemy do jej użycia.

obsługa aplikacji
aplikacja wymaga praw administracyjnych. Po uruchomieniu wyświetla się okienko z informacją, że użycie aplikacji nie jest w 100% bezpieczne. Klikamy OK i otworzy się okno programu.
Teraz pora na załadowanie skryptu usuwającego. Można to zrobić przez:

  1. pisanie bezpośrednio w polu tekstowym
  2. załadowanie skryptu z pliku (zwykły tekst, ANSI zakodowane)
  3. załadowanie skryptu z internetowego adresu URL
  4. wklejenie skryptu bezpośrednio ze schowka

Po załadowaniu skryptu klikamy w przycisk Execute i potwierdzamy jago wykonanie. Avenger poprosi o restart. W czasie resetowania systemu, aplikacja wykona wszystkie wskazane zadania usuwające, jednocześnie wykonując kopię zapasową kasowanych elementów. Następnie zostanie wyświetlony log przebiegu operacji. Log oraz kopie elementów zapisywane są w folderze C:Avenger

budowa skryptów

Skrypt składa się z tekstu o budowie „jedna komenda na jedną linię”. Każda linia jest traktowana oddzielnie, więc nie powinno być linii podziału lub zawijania tekstu.
Na stronie producenta dostępny jest tutorial budowy skryptu.

Comment: informacyjny komentarz

Files to delete: kasowanie plików wraz z wykonaniem kopii
Files to delete:
C:WINDOWSSystem32SomeBadFile.dll
%windir%bad.exe
c:documents and settingsfile.exe

Files to replace with dummy: podstawianie pliku pustym o tej samej nazwie wraz z wykonaniem kopii oryginału
Files to replace with dummy:
C:WINDOWSSystem32SomeBadFile.dll
%windir%bad.exe
c:documents and settingsfile.exe

Files to move: przeniesienie wskazanych plików źródłowych do innej lokalizacji docelowej. znak krechy |służy oddzieleniu ścieżki dostępu pliku źródłowego od pliku docelowego. Pierwsza ścieżka jest źródłowa (ten plik podstawi docelowy), druga ścieżka jest docelowa (ten plik zostanie podstawiony tym pierwszym).
Files to move:
C:WINDOWSSystem32SomeBadFile.dll | C:renamed.dll
%windir%bad.exe | %systemdrive%bad.exe.bak
c:documents and settingsfile.exe | c:backupbad.extension

Folders to delete: kasowanie folderów wraz z wykonaniem kopii
Folders to delete:
C:WINDOWSSystem32SomeBadFolder
c:documents and settingsevil userevil folder

Registry keys to delete: kasowanie kluczy rejestru z gałęzi HKEY_LOCAL_MACHINE wraz z wykonaniem kopii
Registry keys to delete:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyBadKey
HKLMSoftwareBadKey
HKEY_LOCAL_MACHINESystemCurrentControlSetControlBadKey

Registry keys to replace with dummy: zastępuje wartości wybranego klucza pustymi danymi
Registry keys to replace with dummy:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyBadKey
HKLMSoftwareBadKey
HKEY_LOCAL_MACHINESystemCurrentControlSetControlBadKe

Registry values to delete: kasowanie wartości, nie kluczy. Znak | służy oddzieleniu nazwy klucza od nazwy wartości.
Registry values to delete:
HKEY_LOCAL_MACHINESoftwareSomeKey | BadValue
HKLMSoftwareMicrosoftWindowsCurrentVersionRun | BadRunValue
HKLMSystemCurrentControlSetControlSession Manager | BadValue

Registry values to replace with dummy: zastępuje konkretną wskazaną wartość wybranego klucza pustymi danymi
Registry values to replace with dummy:
HKEY_LOCAL_MACHINESoftwareSomeKey | BadValue
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon | System
HKLMSystemCurrentControlSetControlSession Manager | BadValue

Programs to launch on reboot: uruchamianie wybranego programu przy następnym resetowaniu komputera np. plik BAT, import pliku REG
Programs to launch on reboot:
C:Documents and SettingsMy UserDesktopHijackThis.exe
%systemdrive%my_fix.bat
c:MyRegFile.reg
regedit.exe /s c:MyRegFile.reg

Drivers to delete: odładowanie i skasowanie systemowych sterowników i usług, wymaga dwóch restartów, nazwy tu wprowadzane widać w rejestrze w kluczu HKEY_LOCAL_MACHINESystemCurrentControlSetServices
Drivers to delete:
BadDriver
avpi32
rnuk_h

Drivers to disable: wyłączanie sterowników i usług zmieniając typ startu na liczbę 4. Pliki nie są kasowane.
Drivers to disable:
BadDriver

Można pisać dużymi i małymi literami (C:WINDOWS czy C:Windows), w ścieżkach dostępu można stosować zmienne środowiskowe.

Przykładowy prosty skrypt:

Files to delete:
C:WINDOWSmsc.exe
C:WINDOWSSystem32msxml71.dll
c:windowssystem32kbiwkmvdylbtml.dll
c:windowssystem32driverskbiwkmpxudeuwq.sys
C:Documents and SettingsAniaUstawienia lokalneTempb.ex
C:WINDOWSTasks{7B02EF0B-A410-4938-8480-9BA26420A627}.job

Registry keys to delete:
HKLMSYSTEMCurrentControlSetServiceskbiwkmkberrsei
HKLMSYSTEMControlSet001Serviceskbiwkmkberrsei
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{500BCA15-57A7-4eaf-8143-8C619470B13D}
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}

Registry values to delete:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad | zIVvQVxTCTZ

Drivers to delete:
kbiwkmkberrsei

Programs to launch on reboot:
C:fix.reg

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *