Skocz do zawartości


tablety.pl
- - - - -

Nie mogę usunąć wirusów i spyware!




  • Zamknięty Temat jest zamknięty
7 odpowiedzi w tym temacie

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 19 08 2003 - 20:34

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

INSTRUKCJE:

. Różne instrukcje

____. Czyszczenie folderów Przywracania systemu (Windows Me/XP/Vista/7)
____. Czyszczenie folderów "Temp" i cache przeglądarek
____. Start do trybu awaryjnego
____. Włączenie pokazywania ukrytych plików i rozszerzeń

. Narzędzia do usuwania plików

____. ESET UnDLL - The DLL Remover
____. Pocket Killbox - obsługa narzędzia
____. OTM - obsługa narzędzia
____. Avenger - obsługa narzędzia
____. Instrukcje usuwania strumieni NTFS czyli ADS
____. Inne narzędzia do usuwania plików (LockHunter / FileASSASSIN / Unclocker ...)
____. Pomoce: skanery i specjalne narzędzia usuwające

. Specyficzne sytuacje usuwania z rejestru

____. Kasowanie kluczy rejestru typu NULL (krycie rootkit)
____. Kasowanie kluczy rejestru do których nie ma uprawnień ("Błąd przy usuwaniu klucza")

. Sposoby dezynfekcji z zewnątrz (bez załadowanego systemu)

____. Bootowalne antywirusowe CD
____. LiveCD Windows
____. Recovery Disc Windows Vista / Windows 7
____. Konsola Odzyskiwania Windows 2000/XP/2003







#2 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 20 08 2003 - 10:13


CZYSZCZENIE FOLDERÓW PRZYWRACANIA SYSTEMU:

Ten punkt programu dotyczy tylko i wyłącznie Windows Me / XP / Vista / Windows 7, które posiadają funkcję Przywracania systemu. Windowsy 9x / 2000 / 2003 / 2008 omijają tę instrukcję. Funkcja ta odpowiada za tworzenie kopii systemu w postaci tzw. punktów przywracania. Są one zgromadzone w specjalnych ukrytych folderach:

Windows XP/Vista/7: System Volume Information
Windows Me: _RESTORE


Jeżeli komputer jest zainfekowany, to prawdopodobnie kopia zapasowa szkodnika może być utworzona przez mechanizm Przywracania w folderach System Volume Information. I szkodnik z tej kopii się odtworzy (podczas procesu uruchamiania cofania systemu wstecz za pomocą funkcji Przywracania). Antywirusy mogą w tej kopii wykrywać infekcje i nie potrafić tego wyczyścić, a nawet jeśli to zrobią = ingerencja oprogramowania zabezpieczającego w tych sferach nie jest do końca pożądana, potencjalne skutki to zerwanie ciągłości punktu Przywracania. Dlatego jest obierana inna, bardziej naturalna droga oczyszczania tego typu folderów System Volume Information. Skasowanie zawartości folderów odbywa się za pomocą wyłączenia tej funkcji. Po wyłączeniu można ją ponownie włączyć - wtedy jest tworzony pierwszy punkt przywracania z aktualnego (czystego po dezynfekcji) stanu systemu.

Na forum po pomyślnej dezynfekcji zawsze prosimy o zresetowanie zawartości folderów Przywracania systemu - instrukcje zgodne z platformą:



Dołączona grafika Windows 7:

Control Panel (Panel sterowania) > System and Security (System i zabezpieczenia) > System > System Protection (Ochrona systemu)

Pojawi się lista dysków. Podświetlamy po kolei dyski i wybieramy opcję Configure / Konfiguruj. Otworzy się nowe okno, na spodzie w sekcji "Delete all restore points ..." / "Usuń wszystkie punkty przywracania ..." wybieramy opcję Delete / Usuń.




Dołączona grafika Windows Vista:

Control Panel (Panel sterowania) > System and Maintenance (System i konserwacja) > System > System Protection (Ochrona systemu)

Wymagane są uprawnienia administracyjne i należy zatwierdzić dialog UAC. Pojawi się lista dysków. Odznaczamy w boxach dyski objęte Przywracaniem systemu i zatwierdzamy dialog wyłączania Przywracania. Po chwili ponownie ptaszkujemy uprzednio odznaczone dyski, by włączyć ochronę. Nie polecam pozostawiać trwale wyłączone Przywracania na systemie Vista - to cenna funkcja ratunkowa na tej platformie.


Dołączona grafika



Dołączona grafika Windows XP:

Control Panel (Panel sterowania) > Wydajność i konserwacja > System > System Restore (Przywracanie systemu)

Zaznaczamy opcję Turn off System Restore on all drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzmy wszystkie zmiany. Po chwili można tę funkcję ponownie włączyć. Decyzja należy jednak do użytkownika - więcej w "tweakerskim" temacie tutaj: KLIK.


Dołączona grafika



Windows Me:

Control panel (Panel Sterowania) >>> System >>> Performance (Wydajność)

Klikasz na File system (System plików) i w nowym okienku, które wyskoczy przechodzisz do zakładki Troubleshooting (Rozwiązywanie problemów). Tam zaznaczasz opcję Disable System Restore (Wyłącz przywracanie systemu).


Dołączona grafika

Dołączona grafika





USUWANIE PLIKÓW Z "Temp" i cache przeglądarek



TFC - Temp File Cleaner by OldTimer

Platforma: Windows 32-bit i 64-bit
Licencja: freeware


Dołączona grafika Pobierz: TFC.exe


TFC (Temp File Cleaner) - Miniaturowy sprzątacz finalizujący proces dezynfekcji. Jego przeznaczeniem jest przeczyszczenie lokalizacji tymczasowych. Obsługuje czyszczenie: folderów Temp użytkowników (wszystkich kont, w tym systemowych Administrator / LocalService / NetworkService / All Users), folderu Temp systemu (%systemroot%\temp), luźnych plików *.tmp w głównych lokalizacjach (%systemdrive% / %systemroot% / system32) oraz cache wszystkich głównych przeglądarek (Internet Explorer / Firefox / Chrome / Safari) i Java.
Narzędzie przeprowadza proces w trybie zbiorczym i całkowicie automatycznym. Przed uruchomieniem procesu przez buttonik Start należy zapisać wszystko nad czym pracujemy, ponieważ proces może wymagać ukończenia przez restart komputera. W trakcie czyszczenia są pokazywane skanowane lokalizacje wraz z liczbą bajtów z nich usuniętą oraz sumaryczne podliczenie usuniętej całości w MB.

Dołączona grafika





NIEWIDOCZNE PLIKI W "Downloaded Program Files"

Antywirusy mogą znajdować szkodliwe pliki w folderze C:\WINDOWS\Downloaded Program Files jednakże po przejściu do tego folderu nie widać tych plików. By pliki stały się widoczne należy podjąć specjalną akcję wyrejestrowania systemowego pliku occache.dll (Podgląd formantów obiektowych):

1. Wyrejestrować plik: Start >>> Uruchom >>> regsvr32 /u occache.dll

2. Zrestartować komputer do trybu awaryjnego. Ponownie zresetować do normalnego.

3. Przejść do C:\WINDOWS\Downloaded Program Files i skasować już widoczny szkodliwy plik.

4. Zarejestrować ponownie plik: Start >>> Uruchom >>> regsvr32 occache.dll







#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 20 08 2003 - 10:18


START W TRYBIE AWARYJNYM (Safe Mode):

Metody startu do trybu awaryjnego:

1. Przez klawisz F8 (lub F5):

W momencie kiedy komputer startuje, w fazie czarnego ekranu tupiemy nieustannie i szybko w klawisz F8. Na starszych komputerach może być przypisany inny klawisz. Np. jeśli komuś po wciśnięciu F8 wyskoczy wybór urządzenia bootującego, to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Strzelanie w klawisz ma się odbyć we właściwym momencie: na czarnym ekranie, ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). Adnotacja dla klawiatur "programowanych" przez producentów - jeżeli klawisze funkcyjne mają podwójne oznakowania, realizują główną funkcję + alternatywną zaprogramowaną przez producenta. Za przełączanie zachowania odpowiada klawisz F-lock, i musi on być zapalony, by klawisz F8 działał w pożądany sposób. W takiej sytuacji należy przy starcie komputera szybko wywołać ten klawisz, a następnie F8.

Dołączona grafika

2. Przez narzędzie systemowe MSCONFIG.

Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść, jeśli w systemie jest infekcja blokująca narzędzie msconfig. Poza tym bardzo istotna uwaga:

UWAGA: jeśli nie startuje awaryjny metodą F8, a jest podejrzenie infekcji, jest mocno niewskazane próbować startować do awaryjnego przez msconfig. Przy rootkicie Bagle kasującym w całości tryb awaryjny ma to krytyczne skutki w niemożności wejścia w ogóle do Windows!

(Patrz opis rootkita Bagle > KLIK)




Dołączona grafika Windows 7:

1. Metoda przez klawisz F8. Po wybraniu metody przez F8 pojawi się menu startowe Advanced Boot Options / Zaawansowane opcje rozruchu. Domyślnie podświetloną pozycją jest Repair Your Computer / Napraw komputer. Przy pomocy strzałki z klawiatury zaznaczamy odpowiednią pozycję i ENTER:

Dołączona grafika

Pojawi się ekran ładowania plików trybu awaryjnego:

Dołączona grafika

W dalszej kolejności na użytkownika oczekuje ekran logowania i wreszcie Pulpit trybu awaryjnego, na którym automatycznie otwiera się pomoc systemu Windows:

Dołączona grafika


2. Lub użycie narzędzia MSCONFIG:

Start > w polu szukania wpisz msconfig > w karcie Rozruch/ Boot zaznacz Bezpieczny rozruch / Safe boot:

Dołączona grafika

Potwierdzenie opcji sprowokuje ujawnienie się komunikatu, na którym wybieramy Uruchom ponownie / Restart:

Dołączona grafika

Metoda przez msconfig omija etap pokazywania menu startowego i przechodzi bezpośrednio do ładowania trybu awaryjnego. A dalej jak na obrazkach.






Dołączona grafika Windows Vista:

1. Metoda przez klawisz F8.

2. Lub użycie narzędzia MSCONFIG:

Start > w polu szukania wpisz msconfig > w karcie Rozruch/ Boot zaznacz Bezpieczny rozruch / Safe boot:

Dołączona grafika

Potwierdzenie opcji sprowokuje ujawnienie się komunikatu, na którym wybieramy Uruchom ponownie / Restart:

Dołączona grafika



Dołączona grafika Windows XP:

1. Metoda przez klawisz F8.

2. Lub użycie narzędzia MSCONFIG:

Start > Uruchom > msconfig > w karcie BOOT.INI zaznacz /SAFEBOOT:

Dołączona grafika

OK i na prośbę o reset kompa potwierdź. Mam tu uwagę co do podparametrów /SAFEBOOT, które można dobrać inaczej:

/minimal = zaznaczone domyślnie i tak zostawiacie, jest to tryb awaryjny BEZ INTERNETU
/network = jest to tryb awaryjny Z INTERNETEM
/alternateshell = jest to tryb awaryjny z linią komend

Ekran przechodzenia w tryb awaryjny wygląda następująco:

Dołączona grafika

Pojawi się wybór kont:

Dołączona grafika

I tu kluczowa uwaga: zawsze ukażą się przynajmniej dwa konta: użytkownika i Administrator. Należy zalogować się na konto własne użytkownika.



Windows 2000:

1. Domyślnie jedyna metoda to F8, bo Windows 2000 nie posiada MSCONFIG.

2. Narzędzie MSCONFIG może się pojawić na kompie z 2000, gdyż niektórzy dostarczyciele kompów mogą to dodatkowo umieścić (w zależności od widzimisie wersja z 98 lub XP). Możecie też doinstalować: msconfig-w2k.exe. Narzędzie rozpakowujecie i umieszczacie w C:\WINNT\system32.

Jak przejść do trybu awaryjnego dzięki msconfig, jak wyglądają ekrany przechodzenia w tryb awaryjny, patrz na opis Windows XP, gdyż jest to identyczne.



Windows 98/Me:

1. Metoda przez klawisz F8.

2. Lub użycie narzędzia MSCONFIG:

Start >>> Uruchom >>> msconfig >>> w zakładce Ogólne kliknij w Zaawansowane (Advanced):

Dołączona grafika

W nowym oknie zaznacz Włącz menu Autostart (Enable Startup Menu):

Dołączona grafika

OK i OK i na prośbę o reset komputera zgadzasz się na to. Ekran przechodzenia w tryb awaryjny wygląda następująco:

Dołączona grafika

1. Normal (Normalny)
2. Logged (Rejestrowany)
3. Safe mode (Tryb awaryjny) <<<< ten wybieracie
4. Sep-by-Step confirmation (Potwierdzanie krok po kroku)
5. Command prompt only (Tylko wiersze poleceń)
6. Safe mode command Prompt only (Tylko wiersz poleceń trybu awaryjnego)


Po skończeniu działań należy przywrócić ustawienia oryginalne w msconfig czyli odznaczyć opcję "Włącz menu Autostart".










#4 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 05 12 2003 - 17:57


WŁĄCZENIE POKAZYWANIA UKRYTYCH PLIKÓW i ROZSZERZEŃ


Windows 2000/XP/2003

My Computer (Mój komputer) >>> Tools (Narzędzia) >>> Folder Options (Opcje folderów) >>> View (Widok)

Ustawiasz 3 opcje:

Show hidden files and folders / Pokaż ukryte pliki i foldery = zaptaszkować

Hide protected system files / Ukryj chronione pliki systemu operacyjnego = odptaszkować

Hide extensions for known file types / Ukrywaj rozszerzenia znanych plików = odptaszkować


Dołączona grafika


Windows 98

My computer (Mój komputer) >>> View (Widok) >>> Folder options (Opcje folderów) >>> View (Widok)

Ustawiasz dwie opcje:

Show all files / Pokaż wszystkie pliki = zaptaszkować

Hide extensions for known file types / Ukrywaj rozszerzenia znanych plików = odptaszkować


Dołączona grafika


UWAGA:

Jeśli jest prawidłowo odznaczona opcja Ukryj chronione pliki systemu operacyjnego a pomimo tego nie widać folderu system32 to znaczy iż w rejestrze jest nadal wprowadzone ukrywanie więc:

Start >>> Uruchom >>> regedit i przejdź do klucza:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Kliknij podwójnie wartość ShowSupperHidden i SuperHidden i zmień 0 na 1. Czyli ma to wyglądać dokładnie tak:

Dołączona grafika

Po edycji zresetować komputer.









#5 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 03 05 2007 - 04:07

Dołączona grafika

The Avenger:

Platforma: tylko Windows 2000/XP/Vista 32-bit
Licencja: freeware do zastosowań niekomercyjnych


Strona domowa: http://swandog46.geekstogo.com/

Dołączona grafika Pobierz: avenger.zip
Dołączona grafika Pobierz: avenger.exe



The Avenger umożliwia szeroką pulę operacji zarówno na obiektach dyskowych jak i w rejestrze: kasowanie / podmiana plików, folderów, wartości oraz kluczy w rejestrze. Akcje te są wykonywane podczas resetowania komputera. Avenger jest programem skryptowym i do prowadzenia akcji wymaga wskazania pliku skryptu. Są to zwykłe pliki "TXT" z zestawem specyficznych komend. Jest to pewnego typu alternatywa na mechanizm CFScript ComboFix oraz komendy w Gmerze, ale jest realizowane inną metodą.



PODSTAWOWA OBSŁUGA PROGRAMU / OPIS OPCJI:

Uruchamiacie program (wymaga uprawnień administratora!). Od razu dostaniecie komunikat ostrzeżeniowy o braku 100% bezpieczeństwa stosowania. Nie zostaje wam nic innego jak wyrażenie zgody. Po zatwierdzeniu komunikatu załaduje się główne okno programu.

Opcje ładowania skryptu są trzy:

Dołączona grafika Load Script from File... - Wskazanie pliku skryptu (*.TXT) z dysku.

Dołączona grafika Load Script from Internet URL... - Wskazanie pliku skryptu (*.TXT) na serwerze. Wpisujemy URL (adres musi mieć prefiks http://).

Dołączona grafika Paste Script from Clipboard - Wklejenie ze schowka systemowego komend podanych na forum.


Te wszystkie opcje są dostępne też z menu Load Script:

Dołączona grafika





1. Rzeczą podstawową jest wskazanie skryptu wykonującego zadania dezynfekcyjne. Skąd wziąźć skrypt? Każdy na forum go dostanie na podstawie przedstawionych logów. Klikacie prawym myszki na tło programu i opcją Paste wklejacie skrypt z forum.

2. Po wskazaniu skryptu (obojętną z wybranych metod) klikacie w buttonik Execute, by uruchomić skrypt. Dostaniecie pytanie "czy na pewno chcecie tego dokonać" .... co zatwierdzacie. To właśnie w tym momencie Avenger tworzy swoją losową usługę i plik *.bat.

3. Otrzymacie kolejne okno potwierdzające ustawienie Avengera na resetowanie komputera z pytaniem o zatwierdzenie resetu ... co potwierdzacie a komputer się zresetuje.

4. W trakcie procesu resetowania zostaną wykonane wszelkie zadania kasacyjne zaprojektowane do wykonania w Avengerze. Na chwilę mignie czarne dosowe okno będące znakiem wykonywania się pliku *.bat.

Kasowane obiekty zostaną automatycznie zbackupowane przez plik zip.exe do pliku C:\Avenger\backup.zip (tych kopii należy się po dezynfekcji pozbyć).

Dołączona grafika

Zostanie też wygenerowany i auto-wyświetlony log przebiegu całości operacji. Zlokalizowany na dysku w postaci pliku C:\Avenger.txt.

Dołączona grafika

Log ten należy pokazać na forum, jeśli poprosimy o to. Przykładowy log:

Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Program Files\tmp25515.exe" deleted successfully.
File "C:\WINDOWS\fkxvkns.exe" deleted successfully.
File "C:\Program Files\instaler.exe" deleted successfully.
File "C:\Program Files\tmp10724390.exe" deleted successfully.
File "C:\Program Files\antiviirus.exe" deleted successfully.
Folder "C:\WINDOWS\Installer\{271f7d3c-851e-4506-bdff-cb54aee9ed3a}" deleted successfully.
Folder "C:\WINDOWS\Installer\{3806cefe-0b25-4748-af60-22a43fe6ce3a}" deleted successfully.

Error: could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|antiviirus"
Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|antiviirus" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|UnknownKernel" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|zip" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|alofkmn" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|bxlrvps" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


#6 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 07 05 2007 - 08:44

Dołączona grafika

Streams

Dołączona grafika Pobierz: Streams



Narzędzie należy wypakować a finalne exe umieścić w folderze C:\WINDOWS\system32. Obsługa narzędzia:

Przykładowo usuwanie strumieni z całego dysku C:\ z uwzględnieniem podkatalogów:

<table witdh="80%" bgcolor="#E4EAF2" border="1"><tbody><tr valign="middle"><td align="left" bgcolor="#000000" width="669px">C:\Documents and settings\Administrator>streams -s -d c:\
NTFS Streams Erasing on disc C: completed
</td></tr></tbody></table>

Przykładowo usuwanie strumieni z głównego folderu C:\

<table witdh="80%" bgcolor="#E4EAF2" border="1"><tbody><tr valign="middle"><td align="left" bgcolor="#000000" width="669px">C:\Documents and settings\Administrator>streams -d c:\
No files with streams found
</td></tr></tbody></table>

Jeśli komuś sprawia trudność obsługa z linii komend, może pobrać graficzną nakładkę: NTFS Streams Eraser. Plik nakładki i Streams muszą być w jednym folderze (dowolnym), by nakładkę dało się uruchomić.


INNE NARZĘDZIA DO USUWANIA STRUMIENI:

1. Moduł ADS Spy wbudowany do naszego starego dobrego HijackThis:

HijackThis >>> Config >>> Misc Tools >>> ADSSpy >>> Full system scan >>> usunąć wybrane

2. Predefiniowany zestaw szkodliwych rootkitowych strumieni usuwają w trybie automatycznym ogólne narzędzia dezynfekujące: SDFix + ComboFix





OPIS ZAGADNIENIA STRUMIENI:

Alternate Data Streams (ADS) - w tłumaczeniu wielokrotne / alternatywne strumienie danych - są to dodatkowe dane na partycjach NTFS umożliwiające stworzenie ukrytych plików "pod" innym plikiem / folderem. Frontowy plik jest jedynym widocznym spod Explorera , linii komend i menedżera plików zaś pliki ukryte czyli strumienie widoczne nie są. Dane zapisane w strumieniach są "bezśladowe" - waga pliku głównego widziana w Exploratorze / linii komend / menedżerze plików nie zmienia się wcale za to magicznie ucieka miejsce na dysku. :lol: Dobrze czytacie: można mieć dysk 60GIG, na nim tylko jeden widoczny plik o wadze 20KB i ukryć w nim strumienie o wadze prawie całego dysku. Nie zobaczycie gdzie się podziała reszta miejsca..... Zapis strumieni jest z "dwukropkiem" czyli:

Plik główny:

plik.xxx

Plik główny ze strumieniem:

plik.xxx:plik2.xxx






MOŻLIWOŚCI SYSTEMOWE PRZEGLĄDANIA STRUMIENI:

Windows Vista/2008/7:

Systemy Vista+ posiadają wbudowaną możliwość przeglądania strumieni. Przez polecenie DIR z przełącznikiem /R. Niestety nadal brak definitywnie wygodnej metody i solidnego GUI adresującego tę przypadłość.

Dołączona grafika

Windows 2000/XP/2003:

System nie posiada żadnej możliwości bezpośredniego oglądania strumieni. Ewentualnym posunięciem jest skorzystanie z dodatkowej paczki Microsoftu NTFSExt.exe, rozpakować i wyszukiwać tam plik StrmExt.dll, który należy umieścić w folderze system32 i zarejestrować komendą Start >>> Uruchom >>> regsvr32 StrmExt.dll. Po tej akcji we Właściwościach plików pojawi się nowy tab Streams. Jeśli ktoś chce takie same taby też dla dysków i folderów może skorzystać z tego tweaka: adstab.reg

Są jednak inne programy do przeglądania strumieni: Stream Viewer / Stream Explorer / LADS / Fi.exe. Potrafi to HijackThis z modułem ADS Spy i nasz Gmer.







Przykłady strumieni

Przykład strumienia rootkita Pe386:

---- Files - GMER 1.0.11 ----

ADS     C:\WINDOWS\system32:lzx32.sys

Przykład strumieni KAVICHS od Kasperskiego:

ADS D:\Filmy\Massive Attack\Thumbs.db:KAVICHS 
ADS D:\Filmy\Tlen_pliki\Anna Przybylska\Thumbs.db:KAVICHS 
ADS D:\Filmy\Tlen_pliki\Playboy 07.2004\Thumbs.db:KAVICHS

Przykład strumieni {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

Są to strumienie folderów i plików tyczące zakładki Właściwości i tabu Podsumowanie. Można to podejrzeć za pomocą aplikacji FileMon ustawionej z filtrem {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}. Poniżej odczyt z narzędzia podczas edycji tabu podsumowanie na testowo utworzonym pliku o nazwie test.test:

Dołączona grafika

ADS E:\Backup II\Moje dokumenty 2\Moje obrazy14.jpg:Q30lsldxJoudresxAaaqpcawXc 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy14.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy15.jpg:Q30lsldxJoudresxAaaqpcawXc 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy15.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy16.jpg:Q30lsldxJoudresxAaaqpcawXc 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy16.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy17.jpg:Q30lsldxJoudresxAaaqpcawXc 
ADS ... 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy18.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy26.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy27.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy29.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy30.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy31.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy32.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy33.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy34.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy\caovoador.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS E:\Backup II\Moje dokumenty 2\Moje obrazy\pegaz.gif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

Przykład strumieni Zone.Identifier

Jest to strumień generowany via Internet Explorer / Outlook Express / Messenger XP SP2 podczas zapisywania z i na lokalny dysk plików, które są w różnych strefach zabezpieczeń. Strumień ten identyfikuje przynależność strefową. O jakie strefy zabezpieczeń chodzi macie wyjaśnione w opisie HijackThis pod identyfikatorem O15 - ProtocolDefaults TUTAJ (identyfikatory od 0 do 4). Więc plik ściągnięty z internetu na dysk ma przynależność do strefy Internet czyli numer 3 i zawartość jego strumienia to:

[ZoneTransfer]
ZoneId=3


Otwierając jakiś plik system sprawdza Zone.Identifier i jeśli identyfikator oznacza Internet właśnie dlatego na XP SP2 dostajecie ten uroczy komunikat ostrzeżeniowy:

Dołączona grafika

Zawartość strumienia pliku z obrazka podejrzałam poleceniem:

© Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Aretuza>cd desktop

C:\Documents and Settings\Aretuza\Desktop>more < pd70ds.exe:Zone.Identifier
[ZoneTransfer]
ZoneId=3

C:\Documents and Settings\Aretuza\Desktop>



ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\brpixel.jpg:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\bugs.html:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\changelog-java.html:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\changelog-unix.html:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\changelog-win32.html:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\ChangeLog.txt:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\changelogs.html:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\contact.html:Zone.Identifier
ADS C:\Documents and Settings\Waldek\Pulpit\tightvnc-1.2.9_x86\Web\contribute.html:Zone.Identifier







#7 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 09 05 2007 - 14:06

Dołączona grafika

RegDelNull

Dołączona grafika Pobierz: RegDelNull


Narzędzie należy wypakować a finalne exe umieścić w folderze C:\WINDOWS\system32. Narzędzie jest obsługiwane z linii komend.

Start >>> Uruchom >>> cmd i przykładowe polecenia:

regdelnull HKLM -s

regdelnull HKCU -s


regdelnull -s HKLM\SOFTWARE\Classes\CLSID

regdelnull -s HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion



Wyjaśnienie "null"

Znaki zerowe NULL "\ 0" to metoda pozwalająca na ukrywanie w rejestrze wpisów w taki sposób by nie można się było do nich dostać. Wykorzystywana zarówno przez rootkity jak i ... triale :lol: Ujmę to bardzo skrótowo by nie namieszać słabo zorientowanym. Ogólnie mamy kwestie dwóch modeli nazewniczych:

Win32 API:

Nazwa\ 0

Zerówka "\ 0" jest traktowana jako znacznik końcówki nazwy, nie brany pod uwagę. Jako nazwa jest brana tylko nie zerowa zawartość "Nazwa" czyli 5 znaków. Ten model nazewnictwa czytają narzędzia takie jak regedit.

Native API:

Nazwa\ 0

Zerówka "\ 0" jest traktowana jako część nazwy. Jako nazwa jest brany pod uwagę cały ciąg czyli 6 znaków. Taką nazwę widzi system per se.

Czyli jeśli NULL miał być częścią faktycznej nazwy następuje zafałszowanie jej wyglądu w takich narzędziach które korzystają z Win32 API. Możecie sami potestować jak to wygląda w praktyce. Koleś z Sysinternals udostępnia próbkę RegHide. Po uruchomieniu zostanie utworzony w rejestrze klucz null (po zamknięciu narzędzia samoczynnie ulegnie kasacji ta "prezentacja". :D ):

HKEY_LOCAL_MACHINE\Software\Systems Internals\Can't touch me!\ 0

Edytor rejestru regedit zobaczy tylko:

HKEY_LOCAL_MACHINE\Software\Systems Internals\Can't touch me!

Nie dostaniecie się do środka, bo nazwa nie jest właściwie przeczytana i zwróci oczywiście błąd:

Dołączona grafika

Log z Gmera ładnie prezentuje nam ukrytą zawartość tego klucza:

---- Registry - GMER 1.0.11 ----

Reg  \Registry\MACHINE\SOFTWARE\Systems Internals\Can't touch me!@Hidden Value  Hidden Value

I teraz jest pytaniem jak skasować te klucze w realnych świecie rootkitów. Odpowiedzią jest właśnie aplikacja RegDelNull od Sysinternals obsługiwana z linii komend. Ponadto znalazłam baaaaardzo ciekawy projekt NtRegEdit - Native Registry Editor (by pobrać trzeba się za darmo zarejestrować na tej stronie). Otóż jest to edytor rejestru który operuje w natywnym API i WIDZI, pozwala również kasować czy tworzyć takie ukryte klucze jakby to się działo na regedit wbudowanym w system. Oto co widzi ten edytor na kluczu Can't touch me!:

Dołączona grafika

Bez trudu go otworzył i pokazuje nam dokładnie to co Gmer czyli schowaną w środku wartość o nazwie Hidden Value. I za jego pomocą skasowałam ten nullowy klucz z rejestru.




.

#8 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 25 05 2007 - 10:05

Dołączona grafika

RegASSASSIN:

Platforma: Windows NT/2000/XP/Vista
Licencja: freeware


Dołączona grafika Strona domowa: http://www.malwarebytes.org


Do kompletu mała aplikacja portable (nie wymagająca instalacji a ważąca tylko 68KB) umożliwiająca kasowanie z rejestru kluczy, które przy usuwaniu zwracają Odmowę dostępu / Błąd przy usuwaniu klucza co jest wynikiem braku uprawnień. Typowymi przykładami są klucze LEGACY. Program ma opcję resetowania uprawnień i rekursywnego kasowania całego klucza wraz z jego zawartością. Wystarczy program uruchomić, wkleić w pasek adresów ofensywny klucz, pozostawiając ptaszki na Reset permissions i Delete registry key and all subkeys, i kliknąć w button Delete:

Dołączona grafika

Uwaga: jeśli jest aktywny rootkit RegASSASSIN może nie widzieć kluczy, które chcemy poddać kasacji. Program jest ogromnym ułatwieniem, zwłaszcza dla bardzo zielonych użytkowników, gdyż w normalnych okolicznościach z takimi kluczami postępuje się wg tych sposobów:




RĘCZNE METODY KASACJI:

1. Metoda przez zmianę uprawnień kasowanych kluczy:

Dołączona grafikaWindows 2000/XP/2003


Start >>> Uruchom >>> regedit

UWAGA: Użytkownicy Windows 2000 zamiast regedit muszą użyć regedt32 by mieć dostęp do manipulacji na uprawnieniach. A opcje uprawnień nie są w prawokliku lecz w menu narżędziowym.

Z prawokliku na dany klucz LEGACY wybierz Permissions / Uprawnienia:

Dołączona grafika

Kliknij Add / Dodaj:

Dołączona grafika

Wpisz dokładną nazwę swojego konta i potwierdź:

Dołączona grafika

Podświetl swoje konto na liście a na dole zaznacz Full Control / Pełna kontrola i potwierdź:

Dołączona grafika

Teraz z prawokliku ten klucz możesz kasować. Jeżeli nadal będzie błąd usuwania klucza: Uprawnienia >>> Zaawansowane >>> w pierwszej zakładce na dole zaptaszyć Zamień wpisy uprawnień na wszystkich obiektach podrzędnych.



Dołączona grafika Windows Vista

Jest drobna różnica w operacji. Po pierwsze regedit ma być zastartowane w trybie uprawnień administracyjnych. Po drugie przed przyznaniem Uprawnień w sposób wyżej opisany, należy dodatkowo przejąć klucz na własność stając się jego Właścicielem:

1. W Start wpisujemy na szukanie słowo regedit, na wyniku z prawokliku Uruchom jako administrator:

Dołączona grafika

2. Przechodzimy do klucza, który chcemy skasować, i z prawokliku nań wybieramy Permissions / Uprawnienia:

Dołączona grafika

3. Otworzy się główne okno z listą użytkowników. Wybieramy button Advanced / Zaawansowane:

Dołączona grafika

4. Przechodzimy do zakładki Owner / Właściciel, zaznaczamy nasze konto, na dole ptaszkujemy opcję Zamień właściciela dla podkontenerów i obiektów i zatwierdzamy wszystko:

Dołączona grafika

5. Powrót na listę >>> button Dodaj >>> wpisać nazwę naszego konta i zatwierdzić >>> zaznaczyć je na liście i zaptaszyć dla niego Pełna kontrola >>> zatwierdzić:

Dołączona grafika

Po zmianie właściciela i dograniu praw dostępowych klucz bez trudu się usuwa wraz z całą zawartością.


2. Metoda przez zastartowanie regedit z uprawnieniami konta SYSTEM:

Pobierz pakunek PsTools zawierający m.in. narzędzie PsExec:

http://technet.microsoft.com/pl-pl/sysinternals/bb897553(en-us).aspx


Rozpakuj ściągnięty zip i skopiuj pliki psexec.exe i pdh.dll:

Dołączona grafika

... do folderu system32:

Dołączona grafika

UWAGA: Biblioteka pdh.dll może już być obecna w systemie i w takim przypadku ominąć kopiowanie tego pliku.



Windows 2000/XP/2003:

Start >>> Uruchom >>> cmd i wpisz komendę psexec -s -i -d regedit

UWAGA: Jeśli ta komenda zwróci błąd "nie znaleziono" wpiszcie z pełnymi ścieżkami dostępu: C:\WINDOWS\system32\psexec.exe -s -i -d C:\WINDOWS\regedit.exe


Windows Vista:

W Start w polu szukania wpisz cmd. Na wynikach szukania z prawokliku wybierz opcję Uruchom jako Administrator.

Dołączona grafika

W linii komend wpisz polecenie psexec -s -i -d regedit

Dołączona grafika




***************************************************************************

To uruchomi edytor rejestru w taki sposób że klucze, które chcemy usunąć są od razu gotowe do kasacji i nie trzeba przyznawać im praw. Na Vista ta metoda ma mniejsze znaczenie - to konto TrustedInstaller jest kluczowym. Znakiem, że edytor rejestru regedit jest uruchomiony z tak wysokimi uprawnieniami, jest widoczność m.in. podkluczy klucza SAM (klik). W normalnie uruchomionym regedit są one całkowicie niewidoczne.

Dołączona grafika






.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych