Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Kolekcja narzędzi usuwających (!)




  • Zamknięty Temat jest zamknięty
21 odpowiedzi w tym temacie

#1 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 12 11 2004 - 15:52

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Dołączona grafika Bootowalne płyty AV Dołączona grafika Opis skanerów online Dołączona grafika Mini skanery i szczepionki



Dodatkowe specjalne narzędzia usuwające:

. Uwaga: przeczytać!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

. Ogólniejszego przeznaczenia:
____. ComboFix Proszę nie stosować bez nadzoru!

. Usuwanie rootkita TDSS - TDL (aka Alureon / Olmarik):
____. Kaspersky TDSSKiller
____. eSage Lab TDSS remover
____. ESET Win32/Olmarik Fixer
____. Norman TDSS Cleaner

. Usuwanie rootkita MBR (aka Mebroot / Sinowal):
____. MBR.EXE
____. HelpAsst Mebroot Fix
____. Od producentów AV (stare wersje)

. Usuwanie rootkita Bagle:
____. FindyKill
____. EliBagla
____. Zip_Scan

. Infekcja Haxdoor / Goldun / SpyBanker:
____. HaxFix

. Infekcja "z pendrive":
____. UsbFix
____. Flash Disinfector
____. Szczepionki na Conficker

. Przekierowania w Firefox / Przekierowania Google:
____. GooredFix
____. Kenco

. Infekcja Smitfraud / "kodeki":
____. SmitfraudFix
____. RogueFix
____. FixIEDef

. Infekcja Vundo:
____. VundoFix

. Infekcja Lop / CID:
____. Lop S&D

. Usuwanie dodatków reklamowych / niechcianych pasków:
____. AD_Remover
____. Toolbar S&D
____. Multi-Toolbar Remover

. Usuwanie innych infekcji:
____. KatesKiller
____. SDFix
____. Gromozon Rootkit Removal Tool
____. Navilog1

. Usuwanie z Winsock LSP:
____. LSP-Fix

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

. Inne pomoce czyszczące:
____. Disk cleaners
____. Registry cleaners
____. Deinstalatory narzędzi ochronnych
____. Usuwanie określonego oprogramowania





Programy kiedyś tu linkowane i usunięte (przestarzałe):
- RogueRemover Free (program zlikwidowany przez producenta na korzyść Malwarebytes Anti-Malware)
- Fixwareout (również usunięty przez autora, do tej infekcji zastosować powyższy)
- Smitrem, Roguescanfix, RVAXO (aktualnie program nierozwijany i niedostępny).






Użytkownik picasso edytował ten post 14 04 2010 - 10:54


#2 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 18 01 2005 - 06:38

Uwaga:


Antywirusy a specjalne narzędzia czyszczące:

Opisywane tu narzędzia usuwające przeważnie mają wbudowany zestaw mini narzędzi składowych o specyficznym charakterze. M.in. w skład większości tych paczek wchodzi:

Command Line Process Utility - Narzędzie process.exe umożliwiające operację zabijania procesów podczas dezynfekcji.
NirCmd - Kolejne konsolowe narzędzie mające m.in. zdolność resetowania komputera.

Antywirusy będą te narzędzia wykrywały jako "Risk Tool", "Potentially unwanted tool" etc. I będą je usuwały albo już podczas ściągania czyścicieli na dysk, albo podczas uruchamiania czyścicieli. Oczywiście dezynfektory nie będą chciały działać bez tych komponentów. Te komponenty są potrzebne i zupełnie niegroźne, ale AV ma ograniczoną zdolność interpretacji, czy zabijacz procesów jest skutkiem zainfekowania, czy też skutkiem potrzeb użytkownika. Wyniki należy absolutnie zignorować i przepuścić pracę narzędzi przez antywirusa. Najlepiej na czas usuwania AV wyłączyć.



Sprzątanie po .... czyścicielach:

Opisywane tu narzędzia w trakcie swoich operacji przekopiowują do C:\WINDOWS i/lub C:\WINDOWS\system32 pewną liczbę wbudowanych w siebie narzędzi. Process.exe i NirCmd.exe już wspomniane wyżej, ale jest tego ciut więcej. Automatycznie te odpadki (zbędne po ukończeniu dezynfekcji) usunie:

1. Narzędziem czyszczącym po dezynfektorach jest OTC. Na Windows Vista należy program zastartować opcją Uruchom jako Administrator:

Dołączona grafika

2. To samo prowadzi funkcja CleanUp wbudowana do OTL / OTM.

3. Trzecim programem jest francuska aplikacja ToolsCleaner2. Jednakże z tego co notuję program ten opuszcza dodatkowe pliki sub-narzędzi z katalogów systemowych.



Użytkownik picasso edytował ten post 06 06 2009 - 08:54


#3 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 10 12 2006 - 01:54

Infekcja Vundo / Virtumonde



Objawy: Częściowo wiele podobnych elementów do infekcji Smitfraud. Przede wszystkim namolne reklamy fałszywych programów do usuwania spyware / czyszczenia systemu / naprawy rejestru. Popupy i dymki w zasobniku systemowym. M.in. może być oferta: ErrorSafe, WinFixer, WinAntiVirus, SystemDoctor, DriveCleaner, Amaena, BestSeller Antivirus. Komputer może wypluwać liczne błędy, a nawet BSOD. Opisy mutacji w Czytelni: klik. Proszę się tym nie sugerować, to stary temat i nie ma tam najnowszych wariantów. Podane tylko poglądowo.




Dołączona grafika

VundoFix


Platforma: Windows 2000/XP

Strona domowa: http://vundofix.atribune.org/

Dołączona grafika Pobierz: VundoFix.exe


Narzędzie nieaktualizowane.

Narzędzie do usuwania trojana Vundo. Uwzględnia też egzotyczny wariant podczepiający się dla odmiany nie pod winlogon.exe, ale lsass.exe. Obsługa narzędzia jest banalna:

* Z dwukliku uruchamiany VundoFix.exe i wybieramy opcję Scan for Vundo.
* Po ukończeniu skanu, wybieramy opcję Remove Vundo.
* Padną pytania o zatwierdzenie akcji kasacji - zatwierdzany przez Yes.
* Zostaje zabita powłoka (zniknie Pulpit) i rozpocznie się usuwanie.
* Finałowo będzie pytanie o reset komputera - zatwierdzamy OK.

Program tworzy log z akcji w postaci pliku C:\VundoFix.txt (do pokazania na forum), oraz kwarantannę usuwanych obiektów C:\VundoFix Backups (do kasacji, po naszej weryfikacji):

Dołączona grafika



Inne narzędzia (przestarzałe): VirtumundoBeGone, F-vmonde, FixVundo.







#4 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 12 12 2006 - 14:37

Infekcja Gromozon



Dołączona grafika

Gromozon Rootkit Removal Tool

Strona domowa: http://www.prevx.com/


Dokładny opis tego rootkita w w tym PDF: gromozon.pdf. Tam też jest link do alternatywnego narzędzia Symantec. Jedyne znane w pełni "automatyczne" metody usuwania tego.

Dołączona grafika

Użytkownik picasso edytował ten post 29 11 2009 - 02:01


#5 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 13 12 2006 - 07:16

Infekcja z pendrive



Dołączona grafika

Flash Disinfector

Platforma: Windows 2000/XP/Vista

Dołączona grafika Pobierz: Flash_Disinfector.exe


Uwaga: Likwiduje tylko bardzo wąską grupę wariantów. Natomiast narzędzie to ma predyspozycje ochronne.

Mini narzędzie do selektywnego likwidowania określonych infekcji z pendrive - opisanych TUTAJ. Wbrew nazwie nie służy tylko do czyszczenia penów, może czyścić też dyski twarde. Obsługa banalna. Wystarczy uruchomić narzędzie. Pojawi się pierwszy komunikat proszący o podpięcie pendrive (o ile to ma zostać poddane dezynfekcji):

Dołączona grafika

Po zatwierdzeniu rozpocznie się proces usuwania sygnowany zabiciem powłoki explorer.exe. Po ukończeniu pojawi się komunikat Finished a powłoka explorer.exe zostanie przywrócona:

Dołączona grafika

Żadne logi nie są tworzone.

UWAGA: Narzędzie na każdym dysku tworzy ukryty folder autorun.inf z plikiem:

Dołączona grafika

Folder ten ma znaczenie ochronne - "przeszkadza" szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok). Te foldery są niekasowalne ze względu na wadę nazwy pliku siedzącego w folderach autorun.inf. Mimo iż da się to jednak usunąć pewną sztuczką:

Proszę tych folderów nie próbować kasować, mają znaczenie ochronne








#6 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 25 02 2008 - 13:46

Infekcja w MBR dysków



Aktualizacja: cały opis narzędzia MBR.EXE przeniesiony do nowego posta. Tutaj pozostawiam starsze szczepionki adresujące starsze warianty tej infekcji.



Od producentów

Dołączona grafika

Dołączona grafika Pobierz: Prevx 3.0 (adresuje nową postać rootkita)

Dołączona grafika

Dołączona grafika Pobierz: Mebroot Fixtool

Dołączona grafika

Dołączona grafika Pobierz: ESET Mebroot Remover

Dołączona grafika

Dołączona grafika Pobierz: Norman Sinowal Cleaner



Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x950e4c1 size 0x1ca !
copy of MBR has been found in sector 62 !

Po pomyślnej dezynfekcji log będzie mieć postać:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK





Użytkownik picasso edytował ten post 24 03 2010 - 05:20


#7 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 11 11 2008 - 09:52

Dołączona grafika

SDFix

Platforma: Windows 2000/XP

Dołączona grafika Pobierz: SDFix.exe
Dołączona grafika Pobierz: SDFix.exe
Dołączona grafika Pobierz: SDFix.exe


SDFix to narzędzie służące do automatycznego usuwania wybranej puli robaków sieciowych, trojanów i rootkitów, zwłaszcza tych trudnych w dezynfekcji. Również są sprawdzane pliki Windows na okoliczność szkodliwej ich modyfikacji: mswsock.dll, winlogon.exe, tcpip.sys, ip6fw.sys, null.sys, beep.sys. I jeśli to możliwe, są przywracane do czystej postaci ze znalezionych kopii systemowych. Dokładniejsze informacje o rodzajach usuwanych obiektów w readme narzędzia. SDFix ma wbudowany moduł anti-rootkit Catchme naszego Gmera oraz automatyczne tworzenie kopii zapasowej rejestru poprzez program ERUNT. Program jest przeznaczony tylko i wyłącznie dla systemów Windows 2000 i XP w wersji 32-bit. Proszę nie uruchamiać tego na Vista i edycjach 64-bit.

Narzędzie nie jest aktualizowane od roku 2008.


Instrukcja obsługi


1. Pobieramy z linka program na dysk, przez dwuklik uruchamiamy:

Dołączona grafika

2. Pojawi się okno depakera proszące o wskazanie ścieżki dostępu, w której SDFix ma zostać "zainstalowany" (czytaj: po prostu rozpakowany). Zostawiamy domyślną lokalizację tzn. główny katalog dysku (np. C:\SDFix).

3. Wynikowo uzyskamy folder SDFixa:

Dołączona grafika

4. Jak uruchomić narzędzie? SDFix posiada dwa różne tryby uruchomienia, które są ściśle uzależnione od tego w jakim trybie jest zastartowany Windows:
  • SDFix uruchomiony w trybie awaryjnym: Taki tryb uruchomienia egzekwuje moduł samodezynfekujący wbudowany do SDFix. M.in. są usuwane różne ciężkie rootkity.
  • SDFix uruchomiony w trybie normalnym: Daje dostęp do alternatywnych metod skanowania oraz pozwala utworzyć specyficzne logi systemowe.
SDFix, niezależnie od tego w jakim trybie startuje, wymaga uprawnień administratora, by działać.



SDFix URUCHOMIONY W TRYBIE AWARYJNYM

Startujemy komputer w trybie awaryjnym = OPIS. W folderze, do którego rozpakowaliśmy SDFix, przez dwuklik uruchamiamy plik RunThis.bat (plik może mieć też nazwę RunThis.cmd):

Dołączona grafika

Otrzymamy dosowe okno z pytaniem o kontynuację działania:

*** SDFix Version 1.240 ***



SDFix was developed with the greatest attention to detail,
However, Use of this program is at your own discretion.
The program is provided "as is" without warranty of any kind.


Backups will be made of registry entries and files before they are removed








Type Y to proceed or N to Exit....



N anuluje działanie, więc wpisujemy z klawiatury Y i ENTER:

Type Y to proceed or N to Exit....Y


SDFix rozpocznie czyszczenie komputera:

Starting Repairs:

Checking Running Processes and Services ...


Please Be Patient As This May Take Up To 10 Minutes

Restoring Windows Registry Values
Restoring Default Hosts File

Checking Files

Please Wait


Na ekranie pojawią się kolejne fazy sprawdzania oraz dezynfekowania. Podczas tego procesu zostaną zabite procesy powłoki (zniknie Pulpit). Nic nie robić, tylko czekać cierpliwie, aż SDFix zada finałowe pytanie o wciśnięcie dowolnego klawisza, by kontynuować:

The PC will now restart, SDFix will run again after reboot





Press any key to continue . . .


Klik w ENTER, co doprowadzi do samoczynnego resetu komputera. Po resecie SDFix jeszcze raz się uruchomi, żeby dokończyć proces usuwania. Windows będzie wyglądał jak "goły" - pusta plansza. Resety mogą być dwa, w zależności od sytuacji. Pierwszy reset - i prośba wciśnięcie jakiegokolwiek klawisza, by kontynuować:

Complete the uninstallers first
Your PC will reboot now
Press any key to continue . . .


Kolejny reset, a po nim SDFix finiszuje (hmmm ten "finisz" to może być dość długi). Prawie na końcu uruchomi się jeszcze skan Catchme, co również może trochę potrwać:

Final check

Running Catchme, Please Wait...


Zdrowo dodusi na odcinku "Finishing...". Po ukończeniu pracy SDFix powinien wyświetlić napis Finished, zawiadamiający też o skopiowaniu loga do schowka / folderu SDFixa, z prośbą o wciśnięcie jakiegokolwiek klawisza by kontynuować:

Finished!



Report.txt has been copied to Clipboard and the SDFix folder

(Right click and choose Paste to post logfile back on forums)

Press any key to continue . . .



Klik w ENTER. Okno SDFix zamknie się i automatycznie zostanie otworzony w Notatniku log, do pokazania na forum. Log jest na dysku pod postacią pliku report.txt w folderze SDFix:

Dołączona grafika

Jeśli SDFix wykonywał dezynfekcję i usuwał szkodniki, zostanie stworzona jego kwarantanna w postaci extra folderu backups:

Dołączona grafika

Tej kwarantanny należy się pozbyć, ale dopiero wtedy, gdy potwierdzimy to na forum (możliwe pomyłki narzędzia). Pojawia się też folder C:\WINDOWS\ERUNT trzymający kopię rejestru wykonaną przez SDFix (pliki NTUSER.DAT, SAM, SOFTWARE, SYSTEM, DEFAULT, CONFIG).





SDFix URUCHOMIONY W TRYBIE NORMALNYM

Dosłownie i bez kombinacji. Z folderu SDFix przez dwuklik uruchamiamy plik RunThis.bat (plik może mieć też nazwę RunThis.cmd):

Dołączona grafika

Menu wygląda zupełnie inaczej:

To run the SDFix tool please reboot to Safe Mode
(Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)

(SDFix Requires Administrator Account Privileges)


1. Download/Run a-squared from EMSI Software)
2. Download/Run Norman Malware Cleaner from Norman)
3. Download/Run SAV32CLI from Sophos)
4. Download/Run AVPTool from Kaspersky

A. Create System Report
B. Create Service/Driver List
C. Create Catchme Log
D. Export SafeBoot Key

H. Add Windows Default Hosts File
R. Repair SafeBoot Key

U. Download latest version of SDFix

E. EXIT

(Active Internet Connection Required To Download Files)

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....


OPCJE 1-4


Wymagają do swojego działania aktywnego połączenia internetowego. Umożliwiają pobranie na dysk i uruchomienie wybranych skanerów AV / antimalware. W zależności od wersji SDFix, mogą to być różne narzędzia. Na teraz są proponowane cztery: a-squared, Norman Malware Cleaner, Sophos i Kaspersky Removal Tool. Programy te można pobrać też oddzielnie, nie tylko via interfejs SDFix. Wpisanie w oknie z klawiatury danej liczby i kliknięcie w ENTER jest równoznaczne z uruchomieniem danego skanera:

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....2


Rozpocznie się proces pobierania na dysk skanera, a po jego ukończeniu prośba o wciśnięcie jakiegokolwiek klawisza by kontynuować:

Downloading Norman Malware Cleaner

File Downloader - Version 1.01 (build 7.4)
Downloads a file from a HTTP or a FTP server.
Copyright © 2004, Noel Danjou

Server: download.norman.no
Port: 80
Protocol: HTTP

Norman_Malware_Cleaner.exe: ......4766536 bytes
Done.
Press any key to continue . . .


Klikamy w ENTER i otrzymamy finałowe zawiadomienie o zamykaniu SDFix z ponowną prośbą o wciśnięcie jakiegokolwiek klawisza by kontynuować:

SDFix will now exit and Norman Malware Cleaner will start

Please Be Patient as the tool may take afew seconds to open...

Scan results will save to 'Desktop\NFix_DATE_TIME.log'

Press any key to continue . . .


Klikamy w ENTER. SDFix samoczynnie się zamyka i startuje już właściwy skaner.



OPCJE A-D


Umożliwiają utworzenie specjalnych raportów systemowych. Opcja A tworzy ogólny log z całego systemu, opcja B tworzy listę usług + sterowników (odpowiednik loga z modułu Usługi w Gmerze, ale dokładniejszy), opcja C robi log z Catchme. Natomiast opcja D umożliwia wyeksportowanie z rejestru kopii klucza SafeBoot (trybu awaryjnego). Wpisanie w oknie z klawiatury danej litery i kliknięcie w ENTER jest równoznaczne z uruchomieniem konkretnej opcji np.:

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....A


W przypadku wprowadzania opcji A-C (czyli logi) dostaniemy "bezmyślny" ekran pouczający nas, by czekać cierpliwie, bo właśnie się tworzą logi:

Creating List, Please Wait...

Please Be Patient As This Scan May Take Up To 5 Minutes

_


Teoretycznie może to trwać do 5 minut, ale różnie to może być. Zwłaszcza log z opcji tworzenia raportu całego systemu będzie wyczerpujący. Wynikowo program samoczynnie otworzy w Notatniku dany log (do pokazania na forum). Logi te są zapisane w folderze SDFix:

Dołączona grafika


OPCJE H-R


Te dwie szczególne funkcje prowadzą wybrane naprawy systemowe: H (przywracanie domyślnego pliku HOSTS Windows) i R (odtwarzanie skasowanego np. przez rootkita Bagle klucza trybu awaryjnego SafeBoot). Wpisanie w oknie z klawiatury danej litery i kliknięcie w ENTER jest równoznaczne z uruchomieniem konkretnej opcji np.:

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....H


Dostaniemy ekran zawiadamiający o przeprowadzeniu akcji i zbackupowaniu uprzedniego pliku HOSTS:

Saving backup of existing hosts file to:

C:\SDFix\HOSTS.BAK

Restoring Windows default Hosts file


Note:
If any protective Hosts files exist such as MVPS/HP hosts or Spybots
Immunizer feature, they should be reapplied after using this option

Press any key to continue . . .






Problemy z użytkowaniem



Skasowany tryb awaryjny (np. na skutek aktywności rootkita Bagle):

Start >>> Uruchom >>> wklejamy komendę (stosownie do posiadanego systemu operacyjnego):

Windows XP SP3:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_WindowsXP_SP3.reg

Windows XP SP2:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_WindowsXP_SP2.reg

Windows 2000 SP4:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_Windows2000_SP4.reg


"The command prompt has been disabled by your administrator. Press any key to continue . . ."

Start >>> Uruchom >>> wklejamy jedną z poniższych komend:

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

lub:

rundll32 setupapi,InstallHinfSection DefaultInstall 128 %systemdrive%\SDFix\apps\Enable_Command_Prompt.inf

Uruchamiamy SDFix ponownie.


Program nie uruchamia się

Start >>> Uruchom >>> wklejamy komendę:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Reset komputera. Uruchamiamy SDFix ponownie. Jeśli nadal nie startuje, na sprawdzenie jeszcze jedna rzecz:

Panel sterowania >>> System >>> Zaawansowane >>> Zmienne środowiskowe >>> sekcja System

Powinna być tam zlokalizowana zmienna o nazwie ComSpec kierująca do X:\WINDOWS\system32\cmd.exe (gdzie X = literka na której "stoi" wasz Windows):

Dołączona grafika

Jeśli to co ujrzycie, nie odpowiada powyższemu schematowi, należy podświetlić ComSpec, kliknąć Edytuj i skorygować ścieżkę wpisując tam %SystemRoot%\system32\cmd.exe. Jeśli w ogóle nie ma takiej wartości, należy ją utworzyć opcją Nowy.






#8 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 20 01 2009 - 05:10

Niechciane paski narzędziowe



Dołączona grafika

ToolBar S&D

Platforma: Windows XP/Vista

Strona domowa: http://eric.71.mespages.googlepages.com/toolbarsd.en

Dołączona grafika Pobierz: ToolBarSD.exe


Narzędzie przeznaczone do automatycznego usuwania określonych pasków narzędziowych z przeglądarki Internet Explorer. W skład usuwanych toolbarów wchodzą m.in. Crawler, Dealio, DAEMON Tools Toolbar, Burn4Free_Toolbar, Ask Toolbar, AskBar / AskBarDis, Accoona, WhenUSave, Starware, MyWebSearch, MyGlobalSearch, Multi_Media, Torrent Search, ShopperReports, Seekmo, Zango, Online_TV_toolbar. Jest tego znacznie więcej (do oglądnięcia changelog narzędzia). Należy zaznaczyć, że narzędzie nie usuwa wszystkich możliwości świata, ma selektywny smak na paski, i w razie problemów należy zgłosić się na forum z odpowiednimi logami.


OBSŁUGA PROGRAMU:

1. Ściągnięty plik uruchamiamy przez dwuklik. Vista: z prawokliku opcją Uruchom jako Administrator.

Dołączona grafika

2. Pojawi się konsolowe okno z wyborem języka komunikacyjnego. Z klawiatury wpisać E i ENTER:



Dołączona grafika



Dołączona grafika




.  >_



3. Następnie otrzymamy komunikat ostrzeżeniowy do zatwierdzenia:



Dołączona grafika


Dołączona grafika



4. Zostanie wywołane właściwe okno adresujące operacje z paskami. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:



Dołączona grafika



Dołączona grafika




Type your choice then press "Enter" to validate :_






Narzędzie tworzy raport (%systemdrive%\TB.txt) oraz kopie zapasowe (%SystemDrive%\ToolBar SD\Backup-TB).

Dołączona grafika




OPCJA 1 (WYSZUKIWANIE PASKÓW)

Funkcja nieingerencyjna składająca tylko raport sytuacyjny. Na ekranie wyboru z klawiatury wpisujemy 1 i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :1


Rozpocznie się sprawdzanie systemu. W tej fazie narzędzie wyszukuje pliki / foldery / usługi pasków narzędziowych, listuje adresy zgromadzone w kluczach HKLM i HKCU\..\Internet Explorer\Main, skanuje rozszerzenia (tylko na XP), sprawdza pod kątem innych infekcji, i rzuca wszystko do raportu tekstowego.

Searching for Files - Folders ... XXXToolbar

Finałowo otrzymamy komunikat o ukończeniu operacji skanowania:

Scan completed at 7:28:33,71

Narzędzie automatycznie otworzy w Notatniku log.



OPCJA 2 (USUWANIE PASKÓW)

Funkcja czyszcząca. Na ekranie wyboru z klawiatury wpisujemy liczbę 2 i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :2


Narzędzie prowadzi w tej fazie usuwanie plików / folderów / usług pasków, czyszczenie rejestru, usuwanie rozszerzeń (tylko XP), a także tworzy raport i kopie zapasowe.




Użytkownik picasso edytował ten post 28 03 2009 - 08:20


#9 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 20 01 2009 - 05:11

Infekcja Lop / CID / Trojan Swizzor



Dołączona grafika

Lop S&D

Platforma: Windows XP/Vista

Strona domowa: http://eric.71.mespages.googlepages.com/lop.sd.en

Dołączona grafika Pobierz: LopSD.exe


Narzędzie przeznaczone do usuwania infekcji Lop. Typowo możemy ją złapać instalując: dodatek Messenger Plus (sponsorzy w instalotorze to właśnie to), fałszywy archiwizer WinZix, NetPumper, różne "torrent-dodatki" (BitDownload, BitGrabber, BitRoll, Get-Torrent, TorrentQ, TorrentSpeeder, BitTorrent Fastest Tool), czy podrabiane odtwarzacze (3wPlayer, DomPlayer, DivoPlayer, KitPlayer, GalaPlayer). Lop S&D dodatkowo posiada możliwość wyszukiwania innych infekcji i plasowania informacji o tym w swoich wynikowych logach. Integruje w sobie Catchme Gmera. Aplikacja wspiera Windows Vista, wymogiem jest tryb administracyjny.



OBSŁUGA PROGRAMU:

1. Ściągnięty plik uruchamiamy przez dwuklik. Vista: z prawokliku opcją Uruchom jako Administrator.

Dołączona grafika

2. Pojawi się konsolowe okno z wyborem języka komunikacyjnego. Z klawiatury wpisać E i ENTER:



Dołączona grafika



Dołączona grafika




.  >_



3. Następnie otrzymamy komunikat ostrzeżeniowy do zatwierdzenia:



Dołączona grafika


Dołączona grafika



4. Zostanie wywołane właściwe okno adresujące akcje z infekcją. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:



Dołączona grafika



Dołączona grafika




Type your choice then press "Enter" to validate :_






Narzędzie tworzy raport (%systemdrive%\LopR.txt ) oraz kopie zapasowe (%SystemDrive%\Lop SD\Backup-Lop).

Dołączona grafika




OPCJA 1 (WYSZUKIWANIE INFEKCJI)

Funkcja "tylko-do-odczytu" umożliwiająca przeskanowanie komputera bez żadnej ingerencji i zaprezentowanie raportu. Na ekranie wyboru z klawiatury wpisujemy 1 i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :1


Rozpocznie się sprawdzanie systemu. W tej fazie narzędzie listuje foldery (%AppData%(s) %ProgramFiles% %CommonProgramFiles% %ProgramData% ( Vista ) i zaplanowane zadania (%Windir%\Tasks), wyszukuje pliki i foldery Lop, sprawdza plik HOSTS, wyszukuje wpisy rejestru, uruchamia skan Catchme, przeszukuje pod kątem innych infekcji, i rzuca wszystko do raportu tekstowego.

Searching for Lop Files - Folders -- cdrom 1

Finałowo otrzymamy komunikat o ukończeniu operacji skanowania:

Scan completed at 10:48:32

Narzędzie automatycznie otworzy w Notatniku log.



OPCJE 2 i 3 (AUTO-DEZYNFEKCJA)

Te funkcje są przeznaczone do czyszczenia komputera z infekcji Lop. Program daje dwie możliwości: 2 (uwzględnia naprawę pliku HOSTS) i 3 (pomija naprawę pliku HOSTS). Na ekranie wyboru z klawiatury wpisujemy wybraną liczbę i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :2


Narzędzie prowadzi w tej fazie usuwanie plików i folderów Lop, zapisów rejestru, regenerację pliku HOST Windows (ten krok jest pomijany przy wyborze opcji 3), a także tworzy raport i kopie zapasowe.

!! DO NOT CLOSE THIS WINDOW !!

Fixing in progress ... ... SkinCrafterDll.dll


Na koniec dostaniemy zawiadomienie o ukończeniu procesu:

Scan completed at 14:53:42


I otworzy się raport w Notatniku.



OPCJA 4 (RĘCZNE USUWANIE PRZEZ SKRYPT)

Funkcja umożliwiająca ręczne wskazanie listy folderów / plików na usunięcie. To implikuje dużą znajomość tematu lub otrzymanie konkretnych instrukcji od nas z forum.

Type your choice then press "Enter" to validate :4


Otworzy się okno Notatnika, w którym wklejamy listę plików / folderów do usuwania:

Dołączona grafika

Zamykamy okno Notatnika i na prośbę o zapis pliku odpowiadamy twierdząco. Uruchomi się konsola:

Please Wait ... LopScript

Dalszy ciąg wygląda tak samo jak w przypadku automatycznej opcji dezynfekującej.



DEINSTALACJA PROGRAMU

Należy wejść do folderu C:\Lop S&D i wywołać stamtąd plik uninstal.exe.





Użytkownik picasso edytował ten post 28 03 2009 - 08:49


#10 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 14 03 2009 - 13:51

Usuwanie określonych komponentów adware



AD_Remover

Platforma: Windows XP/Vista/7

Strona domowa: http://pagesperso-orange.fr/NosTools/

Dołączona grafika Pobierz: AD-R.exe
Dołączona grafika Pobierz: AD-R.exe


.... opis w budowie ....


OBSŁUGA PROGRAMU:

1. Narzędzie instalujemy jak normalny program. Instalator jest po francusku.

2. Pojawi się pierwsze z dosowych okien z "Proszę czekać":

Veuillez patienter ... 100%


Dołączona grafika

_


W tym punkcie ujawnia się klauzula użytkowa programu po francusku, którą należy zatwierdzić.

3. Następną fazą jest pojawienie się menu programowego z wyborem akcji:


Dołączona grafika



Choisissez et appuyez sur entrée pour continuer ('A','B','C','D') :_




Wpisanie określonego znaku z klawiatury uruchomi wybrane zadanie: A (tworzenie raportu), B (dezynfekcja), C (deinstalacja narzędzia), D (opuszczenie narzędzia).








#11 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 18 03 2009 - 20:40

Dołączona grafika

RogueFix

Platforma: Windows XP

Strona domowa: http://www.internetinspiration.co.uk/


Program bardzo podobny do SmitfraudFix i też często aktualizowany. Na stronie autora jest lista adresowanych infekcji. Przeznaczony tylko dla Windows XP. Instrukcje uruchomienia:


OBSŁUGA NARZĘDZIA:

1. Ze strony programu pobieramy plik *.bat. Nazwy pliku będą różne zgodnie z postępem aktualizowania programu - narzędzie ma w nazwie stan własnej wersji (np: roguefix_2.241.bat). Firefox / Opera: należy kliknąć prawym i wybrać opcję zapisu na dysk, w przeciwnym przypadku plik bat otworzy się wprost w przeglądarce.

Dołączona grafika

2. Po ściągnięciu pliku na dysk, resetujemy komputer do trybu awaryjnego = OPIS. Z dwukliku plik *.bat uruchamiamy. Zainicjuje się dosowe okno, oczywiście z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować:

Roguefix Removal Tool ©internetinspiration

*******************

This tool will check your XP system for files and registry keys
belonging to rogue spyware applications and their installing trojans

Files detected will be removed
Internet Inspiration assumes no liability for
damage or loss as a result of running this tool

If you do not wish to continue with the dectection/removal process

Close this program by clicking on the 'x' top right hand corner of this window


Press any key to continue . . .



Klik w ENTER.

3. Rozpocznie się proces skanowania plików i dezynfekcji:

roguefix is searching your system. Please wait .........


W tej fazie narzędzie sprawdza rozmiar pliku beep.sys na okoliczność modyfikacji:


check file size of beep.sys
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

beep.sys has been overwritten
Your PC cannot be cleaned unless the file is deleted
along with the back up file

This will result in you no longer hearing the system beep,
you can replace the file by installing a clean one
from your windows disk or from the internet.
further information and help is available at
http://www.internetinspiration.co.uk/replace beep.sys.htm


Do you wish to delete this file?
Select Y or N and press ENTER:


Ta procedura zwraca false positivy i przy zawiadomieniu o "zmienionym rozmiarze" + propozycji kasacji pliku proszę wprowadzić odpowiedź negatywną (i zgłosić się potem na forum). Wpisujemy N i ENTER.

4. W dalszej kolejności narzędzie rozpocznie skan rejestru.

The detection of files is complete

checking registry, please wait



Po drodze padną dwie propozycje - resetowania ustawień Pulpitu i stron startowych Internet Explorer. Poczynione tu zmiany nie będą zatwierdzone, dopóki komputer nie zostanie zresetowany po pracy RogueFixa.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Do you want to set your DESKTOP BACKGROUND back to the Windows default settings?

These changes will not take effect untill you reboot

Press N then ENTER if your desktop background has not changed or
you prefer to do it manually

Press Y then ENTER to reset


Jeśli mamy zablokowany Pulpit (nie można zmienić tapety), wpisujemy Y i ENTER. Jeśli nie chcemy nic zmieniać, wpisujemy N i ENTER.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Do you want to set your HOMEPAGE back to the Windows default settings?

These changes will not take effect untill you reboot

Press N then ENTER if your Homepage has not changed or
you prefer to do it manually

Press Y then ENTER to reset


Podobnie tutaj: wpisanie Y i ENTER zresetuje nam stronę startową IE. Wpisanie N opuści ten krok.

5. Finalnie narzędzie wyświetli ekran zawiadamiający o utworzeniu loga, z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować:

##########################################################

This removal tool has completed its functions.

A logfile of any files found and deleted has been made.
You will find roguefix.txt on your desktop


Restart your computer in normal mode

Complete the cleaning process as instructed at RogueFix homepage


Pressing any key will close this program

##########################################################

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Press any key to continue . . .



Klikamy w ENTER. Narzędzie się zamknie, a my możemy już zresetować komputer do trybu normalnego. Log jest na Pulpicie, w postaci pliku roguefix.txt. Do pokazania na forum.




UWAGA:


Narzędzie, podobnie jak SmitfraudFix, ma wbudowaną detekcję hijackera Winsock - plików typu lafX.dll (gdzie X = numery, np. laf1.dll, laf2.dll...). Jeśli taka infekcja zostanie wykryta, narzędzie o tym zawiadomi:

******************* WARNING ******************

"C:\WINDOWS\system32\laf2.dll" IS PRESENT ON YOUR SYSTEM


To prevent damage or disruption to your internet connection you must run LSP.fix

If you have already downloaded LSPfix to your desktop, press any key to continue

If you have downloaded LSPfix to any other location open the program manually
and press any key for the instructions.

If you have not downloaded LSPfix, DO NOT RUN ROGUEFIX YET
Restart your PC in normal mode and visit homepage of LSPFix to obtain a copy


Press any key to continue . . .


Koniecznym krokiem tej fazy jest operacja przez narzędzie LSP-Fix. RogueFix daje trzy scenariusze:
  • Jeśli jeszcze nie pobrano na dysk LSPFix, nie wolno kontynuować, tylko najpierw go ściągnąć.
  • Jeśli LSPFix jest już zapisany na Pulpicie, można wcisnąć jakikolwiek klawisz, by kontynuować.
  • Jeśli LSPFix jest zapisany w innej lokalizacji niż Pulpit, należy go uruchomić, i dopiero wtedy kliknąć jakikolwiek klawisz, by kontynuować.
Pojawi się kolejny ekran, tym razem z instrukcjami jak skorzystać z LSP-Fix:

IMPORTANT - FOLLOW THESE INSTRUCTIONS CAREFULLY


.............................................................
If LSPfix has not opened, go to the location you downloaded it
and open the program.
........................................................


If laf2.dll (where 2 is a number) appears in the left panel of LSPFix -
1) Click on the entry then on the ">>" button to move it into the right panel
DO NOT SELECT ANY OTHER ENTRY FOR REMOVAL
2) Click the box marked "iKnow what I'm doing"
3) Click finish
4) Click 'yes' to any message needing confirmation to remove.


If laf2.dll (where 2 is a number) already appears in the right panel of LSPFix -
1) Click the box marked "iKnow what I'm doing"
2) Click finish
3) Click 'yes' to any message needing confirmation to remove.

Close LSPfix to continue.


To macie opisane w linku LSPFix, do którego kieruję. Czyli za pomocą LSP-Fix należy usunąć pokazany przez RogueFix plik (tylko i wyłącznie ten!). I dopiero jak ukończymy tę operację, można kontynuować z RogueFixem. Kontynuacja oznacza zamknięcie okna LSP-Fix.






Użytkownik picasso edytował ten post 28 03 2009 - 02:30


#12 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 19 03 2009 - 11:32

Dołączona grafika

FixIEDef

Platforma: Windows 2000/XP/2003/Vista 32-bit

Strona domowa: http://www.malwareteks.com/FixIEDef.php


Czyściciel wycinkowy usuwający z systemu: AntiSpyPro, Antivirus 2010, Files Secure, IE-Security, IE AntiSpyware, IE AntiVirus, IEDefender, Malware Bell, Malware Protector 2008, RichVideoCodec, Total Secure 2009, WinDefender 2009. Eliminuje fałszywe alterty zagrożeniowe generowane przez Trojan-Downloader.Win32.Delf, również usuwając i tego trojana.


OBSŁUGA NARZĘDZIA:

1. Pobrany plik uruchamiamy przez dwuklik:

Dołączona grafika

2. Pierwszym ekranem będzie zatwierdzenie licencji.

3. Następnie ujawni się okno inicjujące skanowanie. Należy kliknąć w Scan. W tym momencie narzędzie będzie tworzyć kopie bezpieczeństwa, czyli punkt Przywracania systemu oraz kopię rejestru przy udziale narzędzia ERUNT.

Dołączona grafika

4. Następnie zostaną zabite wszelkie instancje Internet Explorer oraz powłoka Windows Explorer (zniknie Pulpit / Pasek zadań), a na pasie postępu możemy obserwować postęp naprawczy:

Dołączona grafika

5. Finałowo narzędzie obwieści ukończenie operacji, zostanie przywrócony normalny wygląd Pulpitu.

Dołączona grafika

Na Pulpicie pojawi się log narzędzia. Do pokazania na forum.

Dołączona grafika





#13 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 24 03 2009 - 23:49

Navilog1

Platforma: Windows 2000/XP/Vista

http://pagesperso-or...ioso/index2.htm

.... opis w budowie.....

Użytkownik picasso edytował ten post 28 03 2009 - 13:15


#14 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 03 2009 - 12:54

Conficker aka Downadup / Confi / Kido



Seria szczepionek adresujących ostatnią plagę zarażniową tym robakiem. M.in. jedna z dróg to media przenośne. Microsoft spłodził nawet cały artykuł w swojej bazie i powstała też strona poświęcona temu zjawisku:

Microsoft: KB962007
Conficker Working Group



Szczepionki
[/list]
Usuwanie jest również załączone w zbiorczych Trend Micro Sysclean (z najnowszym patternem), F-Secure Easy Clean, Norman Cleaner, Microsoft Malicious Removal Tool. Wszystko linkowane tutaj: klik.
Pod kątem rozbudowanych sieci korporacyjnych = audyt online Panda Malware Radar.




Pobieranie szczepionek do wykonania spod dowolnego czystego komputera, gdyż oznaką działania tego robaka jest niemoc wejścia na strony producentów oprogramowania AV.





Użytkownik picasso edytował ten post 29 11 2009 - 01:57


#15 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 08 01 2010 - 11:01

Przekierowania wyszukiwarki Firefox



Dołączona grafika

GooredFix

Dołączona grafika Pobierz: GooredFix.exe
Dołączona grafika Pobierz: GooredFix.exe


Narzędzie do usuwania infekcji implementowanej do Firefoxa, chrzczonej kryptonimem "goored" (od jednego z przekierowań). Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki: Google, Yahoo, MSN, AOL i Ask. Wyniki wyszukiwania są przekierowywane przez dziwne strony.
Zasada infekcji: jest montowana ukryta wtyczka Firefox (niewidoczna na liście wtyczek), która monitoruje pasek adresów pod kątem kluczowych typu "google" etc, a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki. Następuje monitoring wyników wyszukiwania, które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych.
Znaki infekcji: alternatywne przeglądarki (IE / Opera etc.) nie cierpią na ten sam defekt, po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki, choć nic nie było ręcznie montowane. Podczas używania wyszukiwarek na pasku statusu są widoczne różne "dziwne" adresy np. v1.adwarefeed.com, clickfraudmanager, google.goored, goougly.com, zfsearch.com, msnooze.com....

Dołączona grafika

Aktualizacja: Usuwam stąd nieaktualny opis narzędzia. Teraz GooredFix działa na zasadzie automatu, nie ma już wyboru opcji między skanowaniem "tylko do odczytu" a wyborem dezynfekcji.




OBSŁUGA NARZĘDZIA:

1. Ściągnięty plik uruchamiamy przez dwuklik.

Dołączona grafika

2. Narzędzie zwróci adnotację tyczącą zamknięcia przeglądarki Firefox. Pooprosi także o zatwierdzenie procesu.

3. Zostanie wykonany automatyczny skan i usuwanie. Zostanie wygenerowany na Pulpicie log GooredFix.txt i automatycznie otworzony w Notatniku.


Przykładowy log z czyszczenia:

CODE-BOX
GooredFix by jpshortstuff (08.01.10.1)
Log created at 16:14 on 31/01/2010 (Maria)
Firefox version 3.6 (en-US)

========== GooredScan ==========

Deleting HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions\\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success!
Deleting C:\Documents and Settings\Maria\Local Settings\Application Data\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success!

========== GooredLog ==========

C:\Program Files\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [20:09 23/04/2005]
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [02:51 27/01/2010]

C:\Documents and Settings\Maria\Application Data\Mozilla\Firefox\Profiles\e3px1ji2.default\extensions\
{20a82645-c095-46ed-80e3-08825760534b} [17:55 27/09/2009]
{403304EE-066A-4a2a-8F41-F12028480A0A} [02:55 27/01/2010]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [07:06 08/08/2009]
"jqs@sun.com"="C:\Program Files\Java\jre6\lib\deploy\jqs\ff" [02:50 27/01/2010]

-=E.O.F=-


DEINSTALACJA NARZĘDZIA:

Wystarczy skasować z Pulpitu wykonywalny narzędzia + katalog kopii zapasowych GooredFix Backups. Tylko tyle.




Użytkownik picasso edytował ten post 24 03 2010 - 12:01





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych