BlitzBlank: создание сценариев удаления

313

BlitzBlank – это приложение с очень большими возможностями по удалению упрямых вредоносных элементов. После загрузки приложения мы переходим к его использованию.

поддержка приложений
приложение требует административных прав. После запуска отобразится окно с информацией об использовании приложения с осторожностью. Нажмите кнопку ОК, и откроется окно программы, разделенное на две вкладки для разработки сценария:

  • Дизайнер: карта позволяет самостоятельно создавать сценарий, используя метод WYSIWYG.
  • Сценарий: на этой вкладке вставьте скопированное содержимое сценария из системного буфера обмена.
  • После ввода скрипта нажмите кнопку «Выполнить сейчас». Затем мы подтверждаем выполнение скрипта и запрос на перезапуск. Во время сброса системы приложение выполнит все указанные задачи удаления. Приложение создает отчет в виде файла в папке C: blitzblank.log
    Пример удаления журнала:

      BlitzBlank 1.0.0.32
    Встроенное приложение для модификации файлов и реестра
    MoveFileOnReboot: sourceFile = "?? c: sr48l4n6s.exe", destinationFile = "(null)", replaceWithDummy = 0
    MoveDirectoryOnReboot: sourceDirectory = "?? c: sality", destinationDirectory = "(null)", replaceWithDummy = 0
    DeleteRegistryKeyOnReboot: keyName = "RegistryMachinehkey_local_machinesoftwaretrojan32", backupFile = "(null)", replaceWithDummy = 0
    DeleteRegistryKeyByDriver: keyName = "RegistryMachinehkey_local_machinesoftwaretrojan32", backupFile = "(null)", replaceWithDummy = 0
    DeleteRegistryValueOnReboot: keyName = "RegistryMachinehkey_local_machinesystemcurrentcontrolsetservices", valueName = "virus", backupFile = "(null)", replaceWithDummy = 0
    DeleteRegistryValueByDriver: keyName = "RegistryMachinehkey_local_machinesystemcurrentcontrolsetservices", valueName = "virus", backupFile = "(null)", replaceWithDummy = 0 

    создание сценария

    • Вкладка дизайнера
      Карта позволяет создавать сценарии, не зная конкретных команд. В окне у нас есть таблица, которую мы можем легко заполнить.
      В столбце «Тип» щелкните мышью в первой строке и выберите тип элемента, который нужно удалить, из раскрывающегося меню: файл, папка, ключ или значение реестра, драйвер или внешний файл .BAT
      Затем щелкните в строке в столбце «Объект» и укажите элемент, который нужно удалить.
      Столбец Переместить цель будет активен, когда мы хотим переместить файл в другое место. Столбец «Действие» информирует о запланированном действии: для файлов и папок мы можем выбрать копирование, перемещение или удаление. В колонке Repl. Пустышка, у нас есть возможность выбрать вариант замены удаленного файла пустым с тем же именем. В столбце Резервное копирование выберите, когда мы хотим выполнить резервное копирование элементов реестра / драйверов.
      При заполнении этой карты вторая сценарий автоматически заполняется.

    • Вкладка «Сценарий»
      Карта позволяет вам писать свои собственные скрипты, зная поддерживаемые команды.
      Поддерживаемые команды:

      • DeleteFile: [ReplaceWithDummy]
      • MoveFile: [ReplaceWithDummy]
      • DeleteFolder: [ReplaceWithDummy]
      • MoveFolder: [ReplaceWithDummy]
      • DeleteRegKey: [ReplaceWithDummy] [Backup]
      • DeleteRegValue: [ReplaceWithDummy] [Backup]
      • DisableDriver: [Резервное копирование]
      • Выполнение:

      Параметры в [квадратных скобках] являются необязательными.
      Каждая команда с путем к объекту (ам) должна быть размещена на отдельной строке. В команде «Переместить» путь и источник разделяются пробелом. Пути с пробелами должны быть «окружены» двойными кавычками.
      Заполняя эту карту, первая Дизайнерская карта заполняется автоматически.

      BlitzBlank: создание сценариев удаления

    Общие проблемы при выполнении скрипта:
    BlitzBlank не выполнит сценарий, если хотя бы один объект не найден на диске или в реестре. Это связано с тем, что приложение вообще не обрабатывает несуществующие пути, поскольку их удаление не логично. Если встречается несуществующий путь, программа завершится сбоем, например:
    «Синтаксическая ошибка в строке 4, неверный путь к файлу»
    Это означает, что путь в 4-й строке скрипта не существует >>> на диске нет файла или ключа в реестре.

    Иногда, когда путь, содержащий пробел, не заключен в кавычки, может возникнуть следующая ошибка:
    «Синтаксическая ошибка в строке 4, слишком много параметров»

    Пример скрипта:

      DeleteFile:
    "C: Documents and SettingsUserupdate001.exe"
    C: autorun.inf
    MoveFile:
    C: s4kk6h97g.exe G: s4kk6h97g.exe
    DeleteFolder:
    «C: Документы и настройки UserData приложения xklquwceq3xnh3lvyouznckzzhgby1xf2»
    DeleteRegKey: [Резервное копирование]
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorermountpoints2
    DeleteRegValue:
    HKEY_USERSS-1-5-21-583907252-1580818891-725345543-1003SOFTWAREMicrosoftWindowsCurrentVersionRunmssend
    "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskMan"
    DisableDriver:
    pdlnol