Мститель: создание сценариев удаления

433

Avenger — очень сильное приложение для удаления сильно укоренившихся вредоносных элементов. После загрузки приложения мы начинаем его использовать.

поддержка приложений
приложение требует административных прав. После запуска отображается окно с информацией о том, что использование приложения не является на 100% безопасным. Нажмите OK, и окно программы откроется.
Теперь пришло время загрузить скрипт удаления. Это может быть сделано:

  • писать прямо в текстовом поле
  • загрузка скрипта из файла (простой текст, в кодировке ANSI)
  • загрузка скрипта с интернет-адреса
  • вставьте скрипт прямо из буфера обмена

    • После загрузки скрипта нажмите кнопку «Выполнить» и подтвердите его выполнение. Мститель попросит вас перезапустить. Во время сброса системы приложение выполнит все указанные задачи по удалению, одновременно создавая резервные копии удаленных элементов. Затем будет отображен журнал операций. Журнал и копии элементов сохраняются в папке C: Avenger

    создание сценария

    Сценарий состоит из текста «одна команда на одну строку». Каждая строка обрабатывается отдельно, поэтому не должно быть разделительных или переносящих строк.
    Руководство по созданию сценариев доступно на веб-сайте производителя.

    Комментарий : информативный комментарий

    Файлы для удаления : удаляйте файлы вместе с копированием
    Файлы для удаления:
    C: WINDOWSSystem32SomeBadFile.dll
    % Windir% bad.exe
    c: documents and settingsfile.exe

    Файлы для замены на пустышку : замена копии файла с тем же именем при создании копии оригинала
    Файлы для замены на пустышку:
    C: WINDOWSSystem32SomeBadFile.dll
    % Windir% bad.exe
    c: documents and settingsfile.exe

    Файлы для перемещения : переместить выбранные исходные файлы в другое место назначения. Царапина | используется для отделения пути к исходному файлу от целевого файла. Первый путь — источник (этот файл заменяет цель), второй путь — назначение (этот файл будет заменен первым).
    Файлы для перемещения:
    C: WINDOWSSystem32SomeBadFile.dll | C: renamed.dll
    % windir% bad.exe | % Systemdrive% bad.exe.bak
    c: Documents and settingsfile.exe | с: backupbad.extension

    Папки для удаления : удаление папок и создание копий
    Папки для удаления:
    C: WINDOWSSystem32SomeBadFolder
    c: документы и настройки sevil userevil папку

    Ключи реестра для удаления : удаление ключей реестра из ветви HKEY_LOCAL_MACHINE вместе с созданием копии
    Ключи реестра для удаления:
    HKLMSПрограммное обеспечениеMicrosoftWindows NTCurrentVersionWinlogonNotifyBadKey
    HKLMSoftwareBadKey
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlBadKey

    Ключи реестра для замены на фиктивные : заменяет выбранные значения ключей пустыми данными
    Ключи реестра заменить на пустышку:
    HKLMSПрограммное обеспечениеMicrosoftWindows NTCurrentVersionWinlogonNotifyBadKey
    HKLMSoftwareBadKey
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlBadKe

    Значения реестра для удаления : удаление значений, а не ключей. знак | используется для отделения имени ключа от имени значения.
    Значения реестра для удаления:
    HKEY_LOCAL_MACHINESпрограммное обеспечениеSomeKey | BADVALUE
    HKLMSПрограммное обеспечениеMicrosoftWindowsCurrentVersionRun | BadRunValue
    HKLMSystemCurrentControlSetControlSession Manager | BADVALUE

    Значения реестра для замены на фиктивные : заменяет конкретное значение выбранного ключа пустыми данными
    Значения реестра для замены на пустышку:
    HKEY_LOCAL_MACHINESпрограммное обеспечениеSomeKey | BADVALUE
    HKLMSПрограммное обеспечениеMicrosoftWindows NTCurrentVersionWinlogon | система
    HKLMSystemCurrentControlSetControlSession Manager | BADVALUE

    Программы для запуска при перезагрузке : запуск выбранной программы при следующей перезагрузке компьютера, например, BAT-файл, импорт REG-файла
    Программы для запуска при перезагрузке:
    C: Документы и настройкиМой пользовательDesktopHijackThis.exe
    % Systemdrive% my_fix.bat
    с: MyRegFile.reg
    regedit.exe /sc:MyRegFile.reg

    Удаление драйверов : выгрузка и удаление системных драйверов и служб, требуется две перезагрузки, введенные здесь имена можно увидеть в реестре под ключом HKEY_LOCAL_MACHINESystemCurrentControlSetServices
    Драйверы для удаления:
    BadDriver
    avpi32
    rnuk_h

    Отключение драйверов: отключение драйверов и служб путем изменения типа запуска на 4. Файлы не удаляются.
    Драйверы для отключения:
    BadDriver

    Вы можете писать заглавными и строчными буквами (C: WINDOWS или C: Windows), вы можете использовать переменные среды в путях доступа.

    Пример простого скрипта: 

      Файлы для удаления:
C: WINDOWSmsc.exe
C: WINDOWSSystem32msxml71.dll
с: windowssystem32kbiwkmvdylbtml.dll
гр: windowssystem32driverskbiwkmpxudeuwq.sys
C: Документы и настройки Ania Local Settings Tempb.ex
С: {WINDOWSTasks 7B02EF0B-A410-4938-8480-9BA26420A627} .JOB
Ключи реестра для удаления:
HKLMSYSTEMCurrentControlSetServiceskbiwkmkberrsei
HKLMSYSTEMControlSet001Serviceskbiwkmkberrsei
HKLMSПрограммное обеспечениеMicrosoftWindowsCurrentVersionExplorerBrowser Вспомогательные объекты {500BCA15-57A7-4eaf-8143-8C619470B13D}
HKLMSПрограммное обеспечениеMicrosoftWindowsCurrentVersionExplorerBrowser Вспомогательные объекты {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Значения реестра для удаления:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad |  zIVvQVxTCTZ
Драйверы для удаления:
kbiwkmkberrsei
Программы для запуска при перезагрузке:
C: fix.reg

    СХОЖІ СТАТТІВід цього автора