Skocz do zawartości


tablety.pl

Ogłoszenie: WAŻNE - Oprogramowanie emulujące napędy


Napisane przez


  • Goście

--------------------------------------------------------------------------------------------------------
UWAGA: OPROGRAMOWANIE EMULUJĄCE NAPĘDY
--------------------------------------------------------------------------------------------------------


W związku z pojawieniem się trudnych infekcji MBR i sterowników, oprogramowanie emulujące napędy powinno zostać wyeliminowane z systemu, który ma zostać poddany sprawdzaniu i ewentualnemu leczeniu (o ile zdiagnozowana infekcja). Przykładowe oprogramowanie wchodzące w interferencję:
  • Alcohol 52% i 120%
  • AstroBurn
  • Daemon Tools i Daemon Tools Lite
  • RocketDivision StarBurn (jeśli instalowano emulator)
Oprogramowanie tego typu bazuje na sterownikach i posługuje się elementami rootkit-like. Konkretny rodzaj / nazwy sterowników mogą się różnić, w zależności od wersji aplikacji. Ogólnikowy spis jest zlokalizowany w tym temacie: KLIK. Nowsze wersje mogą także kombinować SPTD z losowo generowanymi usługami towarzyszącymi. Np. Alcohol łączy SPTD z wytwarzaniem dodatkowych usług zmieniających swoje nazwy przy każdym restarcie komputera (KLIK).
--------------------------------------------------------------------------------------------------------
Oprogramowanie emulujące ma negatywny wpływ na analizę problemu, pracę narzędzi diagnostycznych, usuwanie infekcji: fałszuje wyniki pracy narzędzi (sugeruje infekcję gdy jej nie ma / zaciemnia obraz gdy ona rzeczywiście jest), może uniemożliwić ich uruchomienie (przykład: ważny Gmer po uruchomieniu skanowania wykłada się z błędem), utrudnić wymianę sterownika rozpoznanego jako zainfekowany czystą kopią. Dlatego przed napisaniem tematu i wygenerowaniem logów wymaganych ogłoszeniem działu proszę wykonać te kroki:


1. Preferowana metoda - całkowite usunięcie z systemu oprogramowania tego typu

1. Pierwszy krok polega na zwyczajnym odinstalowaniu danego programu poprzez Panel sterowania i aplet usuwania programów. Jeśli nie ma tam wejścia danego programu, deinstalatora szukać w Menu Start lub w katalogu aplikacji w Program Files. Ten proces usuwa podstawowe elementy oprogramowania, lecz nie wszystko.

Dołączona grafika


2. Uzupełniający krok to wyeliminowanie z systemu sterownika SPTD (SCSI Pass Through Direct) przy udziale narzędzia SPTDinst.

Dołączona grafika

Pobrane narzędzie uruchamiamy (Vista / Windows 7: Tryb Uruchom jako Administrator). Jeśli narzędzie wykryje ten sterownik, zostanie uaktywniona opcja Uninstall, którą należy wykorzystać:

Dołączona grafika

Pojawi się dialog potwierdzania operacji:

Dołączona grafika

A następnie komunikat o konieczności zresetowania komputera (co należy wykonać):

Dołączona grafika


3. W/w procedura punktów 1 + 2 nie usuwa klucza tego sterownika z rejestru. Samo działanie sterownika zostało zdjęte i jego typ startu jest przekonfigurowany na wyłączony, więc użytkownik początkujący może poprzestać tutaj i przejść do wytwarzania logów. Użytkownicy, którzy czują się na siłach, mogą dokończyć czyszczenie ręcznie via rejestr. Czy wykonanie tej operacji ma znaczenie? Może mieć, jeśli w późniejszym czasie program ma być ponownie instalowany.

Start >>> Uruchom >>> regedit (Vista / Windows 7: Start >>> w polu szukania wpisać regedit >>> tryb Uruchom jako Administrator)

Dołączona grafika

Należy wyszukać klucz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

Próba jego skasowania zwróci Odmowę dostępu, gdyż brak uprawnień, zniknie ewentualnie tylko część zawartości.

Dołączona grafika

By dokasować całość, należy zresetować uprawnienia dla klucza odgórnego sptd i jego podklucza cfg na swoją korzyść, bazując na INSTRUKCJACH. Na różnych systemach liczba koniecznych kroków w resetowaniu uprawnień może wyglądać ciut odmiennie.





2. Alternatywna metoda - tymczasowe wyłączenie sterowników

Metoda o mniejszej skuteczności polegająca na tymczasowym wyłączeniu sterowników oprogramowania, przy pomocy narzędzia Defogger.

Dołączona grafika

Uruchamiamy narzędzie (Vista / Windows 7 via tryb Uruchom jako Administrator). Pierwszy ekran udostępnia opcję Disable (wyłączenie) + Re-enable (włączenie, o ile wcześniej wykonywano deaktywację). Wybieramy tę pierwszą:

Dołączona grafika

Pojawi się prośba o kontynuowanie przez zatwierdzenie:

Dołączona grafika

Po chwili narzędzie zawiadomi o ukończeniu procesu:

Dołączona grafika

Otrzymamy komunikat o konieczności zrestartowania komputera, który zatwierdzamy. Narzędzie powinno wykonać automatyczny restart, ale jeśli tak się nie stanie, należy go wymusić ręcznie.

Dołączona grafika

Narzędzie tworzy w katalogu, z którego było uruchamiane, log.

Dołączona grafika

Jeśli skorzystano z tego narzędzia, proszę dołączyć do posta ów log (tym bardziej, jeśli pojawił się jakiś błąd procesu). Przykład jak wygląda raport:

defogger_disable by jpshortstuff (28.11.09.2)
Log created at 04:01 on 29/11/2009 (Aretuza)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:AlcoholAutomount -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-




3. Przy problemach

Jeśli zaistnieje problem przy wykonaniu powyższych poleceń, tzn. nie można odinstalować z jakiś względów programu emulującego a deinstaller SPTD nie wykrywa takiego sterownika (służy on do usuwania tego konkretnego obiektu a nie innych sterowników oprogramowania emulującego, a może się też zdarzyć jakiś problem detekcji), należy zgłosić się na forum ze standardowymi logami.