reg파일을 이용한 레지스트리삭제 스크립트

.

reg파일을 이용하여  레지스트리 삭제하는 방법입니다.
일회성으로 한번만 레지스트리값을 삭제해야할 때는 그냥 regedit에서 해당값을 삭제하면 끝이지만
도메인환경에서 수만대의 PC에 동시에 특정 레지스트리값을 삭제하고자할 때 매우 유용합니다.
물론 같은 방법으로 추가,수정도 가능합니다.
백신이 잘 잡지못하는 특정 바이러스가  확산중일때 (백신으로는 당장 조치가 되지않고 있어서 곤란하게됩니다.  그렇다고 마냥 기다릴수는 없는 노릇..)    그 바이러스가 사용하는 레지스트리값을 스크립트를이용하여  삭제함으로서  리부팅후엔 바이러스가 다시 시스템에 로드되는것을 막을 수있습니다.

작업순서 
먼저 삭제하고자 하는 registry값을 알아야 합니다. 샘플 추출이라고 할까요…
1. regedit 실행
2. 삭제하기 원하는 값이있는 tree로 이동 (윈도우시작프로그램)
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
3. 해당 tree에서 reg파일로 내보내기 실행  (원본 데이타는 일정기간 보관하는것이 좋습니다.)
   이후의 작업에 실수가 있을 경우 복구하기위해 매우 필수적입니다.
   여기서는 regstart.reg 라는 이름으로 저장해 둡니다.
  
4. reg파일을 다른 이름으로 저장합니다. (사본 상태로 작업하도록 하겠습니다.)

filename: del_regstart.reg





Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“TurboAgent”=-
“ADSpider”=-





삭제하고자하는 값의 =뒤에 ‘-‘를 해주면 됩니다…

5. 그리고 카테고리 자체를 삭제하고자 할때는 다음과 같이 합니다.
   하지만 이방법을 쓸때는 시스템이  기존에 사용하고 있는 것은 아닌지 잘 확인해야합니다.
   중요한 항목을 삭제했다면 매우 곤란할수도 있습니다. 최악의 경우  시스템부팅이 안될수도 있습니다.
   그럴때는 당황하지말고  부팅시 F8을 눌러서 마지막으로 부팅성공한 구성 옵션을 선택하면 부팅됩니다.
   부팅은 되었는데 뭔가 이상해졌다면 원본reg파일을 더블클릭하면 원상태대로 복구하게되겠습니다.

filename: del_regstart.reg  앞서 만들어둔 파일에 내용을 추가하겠습니다.





Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“TurboAgent”=-
“ADSpider”=-

[HKEY_LOCAL_MACHINESOFTWARErtviewer4] 
[HKEY_LOCAL_MACHINESOFTWARErtviewer4Control]





삭제하고자하는 카테고리  (예를들면 HKLM) 앞에  ‘-‘를 넣어주면  됩니다…

6. 그리고 이 reg파일을 실행시킬 스크립트를 실행하면 됩니다.
regedit.exe /s del_regstart.reg
7. 이 스크립트를 도메인에 로그온하는 user에게 적용시키면 완료랍니다.
   스크립트는 도메인정책을 이용하여 배포하는것이 좋습니다. 계정profile에 넣은 방법도 있습니다만
   관리가 더욱 번거롭습니다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.