Skocz do zawartości


tablety.pl
- - - - -

Kolekcja narzędzi usuwających (!)




  • Zamknięty Temat jest zamknięty
14 odpowiedzi w tym temacie

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 12 11 2004 - 15:52

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Dołączona grafika Bootowalne płyty AV Dołączona grafika Opis skanerów online Dołączona grafika Mini skanery i szczepionki



Dodatkowe specjalne narzędzia usuwające:

. Uwaga: przeczytać!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

. Ogólniejszego przeznaczenia:
____. ComboFix Proszę nie stosować bez nadzoru!

. Usuwanie rootkita TDSS - TDL (aka Alureon / Olmarik):
____. Kaspersky TDSSKiller
____. eSage Lab TDSS remover
____. ESET Win32/Olmarik Fixer
____. Norman TDSS Cleaner

. Usuwanie rootkita MBR (aka Mebroot / Sinowal):
____. MBR.EXE
____. HelpAsst Mebroot Fix
____. Od producentów AV (stare wersje)

. Usuwanie rootkita Bagle:
____. FindyKill
____. EliBagla
____. Zip_Scan

. Infekcja Haxdoor / Goldun / SpyBanker:
____. HaxFix

. Infekcja "z pendrive":
____. UsbFix
____. Flash Disinfector
____. Szczepionki na Conficker

. Przekierowania w Firefox / Przekierowania Google:
____. GooredFix
____. Kenco

. Infekcja Smitfraud / "kodeki":
____. SmitfraudFix
____. RogueFix
____. FixIEDef

. Infekcja Vundo:
____. VundoFix

. Infekcja Lop / CID:
____. Lop S&D

. Usuwanie dodatków reklamowych / niechcianych pasków:
____. AD_Remover
____. Toolbar S&D
____. Multi-Toolbar Remover

. Usuwanie innych infekcji:
____. KatesKiller
____. SDFix
____. Gromozon Rootkit Removal Tool
____. Navilog1

. Usuwanie z Winsock LSP:
____. LSP-Fix

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

. Inne pomoce czyszczące:
____. Disk cleaners
____. Registry cleaners
____. Deinstalatory narzędzi ochronnych
____. Usuwanie określonego oprogramowania





Programy kiedyś tu linkowane i usunięte (przestarzałe):
- RogueRemover Free (program zlikwidowany przez producenta na korzyść Malwarebytes Anti-Malware)
- Fixwareout (również usunięty przez autora, do tej infekcji zastosować powyższy)
- Smitrem, Roguescanfix, RVAXO (aktualnie program nierozwijany i niedostępny).






Użytkownik picasso edytował ten post 14 04 2010 - 10:54


#2 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 18 01 2005 - 06:38

Uwaga:


Antywirusy a specjalne narzędzia czyszczące:

Opisywane tu narzędzia usuwające przeważnie mają wbudowany zestaw mini narzędzi składowych o specyficznym charakterze. M.in. w skład większości tych paczek wchodzi:

Command Line Process Utility - Narzędzie process.exe umożliwiające operację zabijania procesów podczas dezynfekcji.
NirCmd - Kolejne konsolowe narzędzie mające m.in. zdolność resetowania komputera.

Antywirusy będą te narzędzia wykrywały jako "Risk Tool", "Potentially unwanted tool" etc. I będą je usuwały albo już podczas ściągania czyścicieli na dysk, albo podczas uruchamiania czyścicieli. Oczywiście dezynfektory nie będą chciały działać bez tych komponentów. Te komponenty są potrzebne i zupełnie niegroźne, ale AV ma ograniczoną zdolność interpretacji, czy zabijacz procesów jest skutkiem zainfekowania, czy też skutkiem potrzeb użytkownika. Wyniki należy absolutnie zignorować i przepuścić pracę narzędzi przez antywirusa. Najlepiej na czas usuwania AV wyłączyć.



Sprzątanie po .... czyścicielach:

Opisywane tu narzędzia w trakcie swoich operacji przekopiowują do C:\WINDOWS i/lub C:\WINDOWS\system32 pewną liczbę wbudowanych w siebie narzędzi. Process.exe i NirCmd.exe już wspomniane wyżej, ale jest tego ciut więcej. Automatycznie te odpadki (zbędne po ukończeniu dezynfekcji) usunie:

1. Narzędziem czyszczącym po dezynfektorach jest OTC. Na Windows Vista należy program zastartować opcją Uruchom jako Administrator:

Dołączona grafika

2. To samo prowadzi funkcja CleanUp wbudowana do OTL / OTM.

3. Trzecim programem jest francuska aplikacja ToolsCleaner2. Jednakże z tego co notuję program ten opuszcza dodatkowe pliki sub-narzędzi z katalogów systemowych.



Użytkownik picasso edytował ten post 06 06 2009 - 08:54


#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 10 12 2006 - 01:54

Infekcja Vundo / Virtumonde



Objawy: Częściowo wiele podobnych elementów do infekcji Smitfraud. Przede wszystkim namolne reklamy fałszywych programów do usuwania spyware / czyszczenia systemu / naprawy rejestru. Popupy i dymki w zasobniku systemowym. M.in. może być oferta: ErrorSafe, WinFixer, WinAntiVirus, SystemDoctor, DriveCleaner, Amaena, BestSeller Antivirus. Komputer może wypluwać liczne błędy, a nawet BSOD. Opisy mutacji w Czytelni: klik. Proszę się tym nie sugerować, to stary temat i nie ma tam najnowszych wariantów. Podane tylko poglądowo.




Dołączona grafika

VundoFix


Platforma: Windows 2000/XP

Strona domowa: http://vundofix.atribune.org/

Dołączona grafika Pobierz: VundoFix.exe


Narzędzie nieaktualizowane.

Narzędzie do usuwania trojana Vundo. Uwzględnia też egzotyczny wariant podczepiający się dla odmiany nie pod winlogon.exe, ale lsass.exe. Obsługa narzędzia jest banalna:

* Z dwukliku uruchamiany VundoFix.exe i wybieramy opcję Scan for Vundo.
* Po ukończeniu skanu, wybieramy opcję Remove Vundo.
* Padną pytania o zatwierdzenie akcji kasacji - zatwierdzany przez Yes.
* Zostaje zabita powłoka (zniknie Pulpit) i rozpocznie się usuwanie.
* Finałowo będzie pytanie o reset komputera - zatwierdzamy OK.

Program tworzy log z akcji w postaci pliku C:\VundoFix.txt (do pokazania na forum), oraz kwarantannę usuwanych obiektów C:\VundoFix Backups (do kasacji, po naszej weryfikacji):

Dołączona grafika



Inne narzędzia (przestarzałe): VirtumundoBeGone, F-vmonde, FixVundo.







#4 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 12 12 2006 - 14:37

Infekcja Gromozon



Dołączona grafika

Gromozon Rootkit Removal Tool

Strona domowa: http://www.prevx.com/


Dokładny opis tego rootkita w w tym PDF: gromozon.pdf. Tam też jest link do alternatywnego narzędzia Symantec. Jedyne znane w pełni "automatyczne" metody usuwania tego.

Dołączona grafika

Użytkownik picasso edytował ten post 29 11 2009 - 02:01


#5 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 25 02 2008 - 13:46

Infekcja w MBR dysków



Aktualizacja: cały opis narzędzia MBR.EXE przeniesiony do nowego posta. Tutaj pozostawiam starsze szczepionki adresujące starsze warianty tej infekcji.



Od producentów

Dołączona grafika

Dołączona grafika Pobierz: Prevx 3.0 (adresuje nową postać rootkita)

Dołączona grafika

Dołączona grafika Pobierz: Mebroot Fixtool

Dołączona grafika

Dołączona grafika Pobierz: ESET Mebroot Remover

Dołączona grafika

Dołączona grafika Pobierz: Norman Sinowal Cleaner



Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x950e4c1 size 0x1ca !
copy of MBR has been found in sector 62 !

Po pomyślnej dezynfekcji log będzie mieć postać:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK





Użytkownik picasso edytował ten post 24 03 2010 - 05:20


#6 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 19 03 2009 - 11:32

Dołączona grafika

FixIEDef

Platforma: Windows 2000/XP/2003/Vista 32-bit

Strona domowa: http://www.malwareteks.com/FixIEDef.php


Czyściciel wycinkowy usuwający z systemu: AntiSpyPro, Antivirus 2010, Files Secure, IE-Security, IE AntiSpyware, IE AntiVirus, IEDefender, Malware Bell, Malware Protector 2008, RichVideoCodec, Total Secure 2009, WinDefender 2009. Eliminuje fałszywe alterty zagrożeniowe generowane przez Trojan-Downloader.Win32.Delf, również usuwając i tego trojana.


OBSŁUGA NARZĘDZIA:

1. Pobrany plik uruchamiamy przez dwuklik:

Dołączona grafika

2. Pierwszym ekranem będzie zatwierdzenie licencji.

3. Następnie ujawni się okno inicjujące skanowanie. Należy kliknąć w Scan. W tym momencie narzędzie będzie tworzyć kopie bezpieczeństwa, czyli punkt Przywracania systemu oraz kopię rejestru przy udziale narzędzia ERUNT.

Dołączona grafika

4. Następnie zostaną zabite wszelkie instancje Internet Explorer oraz powłoka Windows Explorer (zniknie Pulpit / Pasek zadań), a na pasie postępu możemy obserwować postęp naprawczy:

Dołączona grafika

5. Finałowo narzędzie obwieści ukończenie operacji, zostanie przywrócony normalny wygląd Pulpitu.

Dołączona grafika

Na Pulpicie pojawi się log narzędzia. Do pokazania na forum.

Dołączona grafika





#7 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 28 03 2009 - 12:54

Conficker aka Downadup / Confi / Kido



Seria szczepionek adresujących ostatnią plagę zarażniową tym robakiem. M.in. jedna z dróg to media przenośne. Microsoft spłodził nawet cały artykuł w swojej bazie i powstała też strona poświęcona temu zjawisku:

Microsoft: KB962007
Conficker Working Group



Szczepionki
[/list]
Usuwanie jest również załączone w zbiorczych Trend Micro Sysclean (z najnowszym patternem), F-Secure Easy Clean, Norman Cleaner, Microsoft Malicious Removal Tool. Wszystko linkowane tutaj: klik.
Pod kątem rozbudowanych sieci korporacyjnych = audyt online Panda Malware Radar.




Pobieranie szczepionek do wykonania spod dowolnego czystego komputera, gdyż oznaką działania tego robaka jest niemoc wejścia na strony producentów oprogramowania AV.





Użytkownik picasso edytował ten post 29 11 2009 - 01:57


#8 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 08 01 2010 - 11:01

Przekierowania wyszukiwarki Firefox



Dołączona grafika

GooredFix

Dołączona grafika Pobierz: GooredFix.exe
Dołączona grafika Pobierz: GooredFix.exe


Narzędzie do usuwania infekcji implementowanej do Firefoxa, chrzczonej kryptonimem "goored" (od jednego z przekierowań). Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki: Google, Yahoo, MSN, AOL i Ask. Wyniki wyszukiwania są przekierowywane przez dziwne strony.
Zasada infekcji: jest montowana ukryta wtyczka Firefox (niewidoczna na liście wtyczek), która monitoruje pasek adresów pod kątem kluczowych typu "google" etc, a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki. Następuje monitoring wyników wyszukiwania, które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych.
Znaki infekcji: alternatywne przeglądarki (IE / Opera etc.) nie cierpią na ten sam defekt, po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki, choć nic nie było ręcznie montowane. Podczas używania wyszukiwarek na pasku statusu są widoczne różne "dziwne" adresy np. v1.adwarefeed.com, clickfraudmanager, google.goored, goougly.com, zfsearch.com, msnooze.com....

Dołączona grafika

Aktualizacja: Usuwam stąd nieaktualny opis narzędzia. Teraz GooredFix działa na zasadzie automatu, nie ma już wyboru opcji między skanowaniem "tylko do odczytu" a wyborem dezynfekcji.




OBSŁUGA NARZĘDZIA:

1. Ściągnięty plik uruchamiamy przez dwuklik.

Dołączona grafika

2. Narzędzie zwróci adnotację tyczącą zamknięcia przeglądarki Firefox. Pooprosi także o zatwierdzenie procesu.

3. Zostanie wykonany automatyczny skan i usuwanie. Zostanie wygenerowany na Pulpicie log GooredFix.txt i automatycznie otworzony w Notatniku.


Przykładowy log z czyszczenia:

CODE-BOX
GooredFix by jpshortstuff (08.01.10.1)
Log created at 16:14 on 31/01/2010 (Maria)
Firefox version 3.6 (en-US)

========== GooredScan ==========

Deleting HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions\\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success!
Deleting C:\Documents and Settings\Maria\Local Settings\Application Data\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success!

========== GooredLog ==========

C:\Program Files\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [20:09 23/04/2005]
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [02:51 27/01/2010]

C:\Documents and Settings\Maria\Application Data\Mozilla\Firefox\Profiles\e3px1ji2.default\extensions\
{20a82645-c095-46ed-80e3-08825760534b} [17:55 27/09/2009]
{403304EE-066A-4a2a-8F41-F12028480A0A} [02:55 27/01/2010]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [07:06 08/08/2009]
"jqs@sun.com"="C:\Program Files\Java\jre6\lib\deploy\jqs\ff" [02:50 27/01/2010]

-=E.O.F=-


DEINSTALACJA NARZĘDZIA:

Wystarczy skasować z Pulpitu wykonywalny narzędzia + katalog kopii zapasowych GooredFix Backups. Tylko tyle.




Użytkownik picasso edytował ten post 24 03 2010 - 12:01


#9 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 28 01 2010 - 19:53

Infekcja Haxdoor / Goldun / SpyBanker



Dołączona grafika

HaxFix

Platforma: Windows 2000/XP/Vista/7 32-bit

Strona domowa: http://marcvn.blogspot.com/

Dołączona grafika Pobierz: haxfix.exe
Dołączona grafika Pobierz: haxfix.exe


Specjalizowane narzędzie przeznaczone do usuwania rootkitów / trojanów serii Haxdoor, Goldun i SpyBanker. Dla lepszego pojęcia o co chodzi proszę powierzchownie skoczyć w opis tych trojanów: TUTAJ. Wprawdzie opis jest stary, ale daje on wskazówkę o schematach parowania kluczy szkodnika w Notify oraz Services, co umożliwia wstępną orientację w kwestii wywołania manualnego modułu czyszczenia wbudowanego w HaxFix. Aplikacja integruje w sobie Catchme. Narzędzie na bieżąco aktualizowane pod kątem nowych wariantów = do poczytania na blogu oficjalnym.




OBSŁUGA NARZĘDZIA:

1. Pobrany plik uruchamiamy z dwukliku. Vista/7: w trybie Uruchom jako Administrator.

Dołączona grafika

(Narzędzie się "rozpakuje" w locie na root dysku systemowego)

2. Pojawi się konsolowe okno z ostrzeżeniem braku precyzji mechanizmu szukającego, z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować:


Use this tool on your own risk.

Press any key to continue . . ._



3. Otrzymamy menu wyboru akcji:

HAXFIX
------

by Marckie


Use this tool on your own risk
1. Make logfile
U. Uninstall Haxfix
E. Exit Haxfix

{1,E,}


----> Wpisanie określonego znaku z klawiatury uruchomi wybrane zadanie: 1 (tworzenie raportu), E (anulowanie i opuszczenie narzędzia), U (deinstalacja narzędzia).

----> Narzędzie nie daje od razu dojścia do opcji dezynfekcji. Zawsze tworzy automatyczny log w pierwszej kolejności (patrz dalej). Dopiero po jego wytworzeniu pojawi się kolejne podmenu specyfikujące rodzaj dezynfekcji:

HAXFIX
------

by Marckie


Use this tool on your own risk
1. Make logfile
2. Run auto fix
3. Run manual fix
4. Run unknown fix
U. Uninstall Haxfix
E. Exit Haxfix

{1,2,3,4,E,}





OPCJA 1 (TWORZENIE LOGA):

Opcja oczywista, służąca do wyszukiwania infekcji w systemie. Automatyczne tworzenie loga z ekranu numer jeden, jak i ręczne go wywołanie z ekranu numer dwa wyglądają tak samo. Na w/w ekranie wpisujemy z klawiatury liczbę 1 i ENTER:

{1,2,3,4,E,} 1


Rozpocznie się skan rejestru:

Making logfile, please be patient.


Checking for Haxdoor infections:
--------------------------------
checking for a3d files....
checking for matching notify keys....
checking for matching services....
checking for matching safeboot services....


Checking for Goldun - Spybanker infections:
--------------------------------------------
checking for SSODL keys....


Przed sprawdzeniem plików jest zadawane pytanie o typ skanowania. Wpisanie z klawiatury litery Y spowoduje przeskanowanie całego dysku systemowego, zaś N wykonanie tylko skróconego skanu folderów Windows.

checking for random used files....

Searching the whole C: drive can take several minutes

Enter "Y" if want to search the whole C: drive.

Enter "N" if you want to search in the most import windows folders.


{Y,N,}


W określonym momencie jest inicjowany skan Catchme, objawiony przez zawiadomienie HaxFix oraz pojawienie się drugiego okna konsolowego (proszę go nie zamykać):

starting rootkitscan with catchme by Gmer....

don't close the window that opens....


waiting for catchme logfile, please be patient....


Log wynikowy automatycznie otwiera się w Notatniku:

Dołączona grafika

Jest zlokalizowany w katalogu C:\HaxFix:

Dołączona grafika

Ten log należy zaprezentować na forum.



OPCJA 2 (AUTOMATYCZNA DEZYNFEKCJA):

Na w/w ekranie wpisujemy z klawiatury liczbę 2 i ENTER:

{1,2,3,4,E,} 2


Opcja ta prowadzi automatyczne usuwanie składników infekcji. Zostają usunięte wszystkie klucze Notify infekcji Haxdoor, które mają jeden lub większą ilość odpowiedników w kluczach Services i SafeBoot. Należy zaznaczyć iż:
- Jeśli jest klucz Notify (xxxx) mający zgodną sekwencję literniczą w kluczach Services i Safeboot, Haxfix usuwa takie klucze.
- Jeśli jest klucz Notify nieznanej kategorii lub klucz wykryty jako prawidłowy (xxxx), i nie ma odpowiedników w kluczach Services i Safeboot, HaxFix nie usuwa takich kluczy.
- Jeśli jest klucz Notify nieznanej kategorii lub klucz wykryty jako prawidłowy (xxxx) oraz pasująca usługa, nie należy korzystać z opcji 2 (auto fix) lecz wykorzystać opcję 3 (manual fix)
- Wszystkie znane narzędziu warianty Goludun i SpyBanker zostaną zlikwidowane
- Jeśli zostanie namierzona infekcja pliku iexplore.exe, Haxfix spróbuje to naprawić bez restartu komputera.



OPCJA 3 (RĘCZNA DEZYNFEKCJA):

Opcja numer 3 umożliwia ręczne usuwanie jednego lub większej ilości kluczy Haxdoor z rejestru, przeznaczona dla użytkowników zaawansowanych, lub przez nas poinstruowanych.. Jest użytkowana w następujących przypadkach: w logu z Haxfix figurują klucze Notify sklasyfikowane jako "nieznane" bądź też "prawidłowe" i mają one korelującą usługę w Services, lub jeśli brak kluczy Notify ale istnieją korespondujące usługi.

Na w/w ekranie wpisujemy z klawiatury liczbę 3 i ENTER:

{1,2,3,4,E,} 3


Pojawi się dialog proszący o wpisanie nazwy klucza. Należy wpisać fragment pozbawiony cyfr np. avpe, xtpt, fuxx,...

Insert the haxdoorkey,
and then press enter: tage


Narzędzie prowadzi sprawdzanie porównawcze czy wprowadzona nazwa ma odpowiednik w Services / SafeBoot. Jeśli przyniesie ono wynik pozytywny, klucz zostanie zaplanowany do usuwania. I pojawi się możliwość dodania kolejnego klucza: Y (zatwierdzamy kolejne dodawanie) lub N (anulujemy je):

Haxdoorkey tage added to delete.

Do you want to add a new haxdoorkey?

Press Y for YES or N for NO and then press Enter:
{Y,N}


Rozpocznie się usuwanie. Ręczne czyszczenie kluczy Haxdoor przez tę opcję powoduje również automatyczne usunięcie wariantów Goldun i SpyBanker.

searching for services....
Deleting services....

Starting goldun fix....
checking iexplore.exe....
searching for SSODLkeys....
searching for browser helper objects....
searching for appinit files....

adding files to delete after reboot...



Na sam koniec dostaniemy komunikat z zawiadomieniem o resetowania komputera, przez potwiedzenie dowolnym klawiszem z klawiatury:

Please close all open windows. The computer will reboot immediately.

Press any key to continue . . .





OPCJA 4 (USUWANIE NIEZNANYCH WARIANTÓW):

Opcja numer 4 umożliwia usuwanie nieznanych wariantów tych infekcji, tzn. takich, które nie są rozpoznane przez HaxFix per se, ale zostały wykryte przez Catchme. Log produkowany przez Catchme jest analizowany przez HaxFix. Dezynfekcja za pomocą tej opcji jest tylko wtedy możliwa, jeśli warianty infekcji posługują się określonym schematem wykorzystującym klucze Notify i Services.




UWAGI DODATKOWE:

Jeśli w logu będzie obecny zapis registrysettings failed, w Uruchom należy wkleić polecenie: %systemdrive%\haxfix.exe /reset
Jeśli po restarcie komputera nie pojawi się log z narzędzia, w Uruchom wkleić polecenie: %systemdrive%\haxfix.exe /after




Użytkownik picasso edytował ten post 24 03 2010 - 13:19


#10 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 01 03 2010 - 10:22

Infekcja w MBR dysków (hasła powiązane: Mebroot / Sinowal / Torpig)




Dołączona grafika

MBR.EXE

Platforma: Windows 2000/XP/Vista/7

Dołączona grafika Pobierz: mbr.exe


Narzędzie autorstwa Gmera do sprawdzania i czyszczenia Master Boot Record (MBR) dysku twardego zainfekowanego tym rootkitem: KLIK / KLIK. Dla porównania wybrane starsze przypadki z forum pokazujące tę infekcję i jej pomyślne wyeliminowanie: KLIK / KLIK / KLIK.


OBSŁUGA PROGRAMU:


1. Narzędzie pobieramy z linka i zapisujemy w katalogu głównym dysku C. Vista/7: wymagane przejście przez proces UAC (C jest lokalizacją domyślnie zabezpieczoną).

Dołączona grafika

2. Uruchamiamy z dwukliku, by dostać log aktualnego stanu MBR. Vista/7: tryb Uruchom jako Administrator. Uruchomi się na chwilę konsolowe okno:

Dołączona grafika

3. Okno cmd samoczynnie się zamknie, a wynikową jest wygenerowany w tym samym katalogu, z którego startowano narzędzie, plik tekstowy mbr.log:

Dołączona grafika

Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej (+ ze wskazówką użycia komendy naprawczej):

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x88b8ecb8
NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

4. W celu wykonania czyszczenia MBR należy zastartować do trybu awaryjnego z obsługą linii komend, a w linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER.

C:\Documents and settings\Administrator>C:\mbr.exe -f


5. Restartujemy komputer już normalnie. Uruchamiamy narzędzie mbr.exe ponownie z dwukliku, by uzyskać kolejny log potwierdzający naprawę.

----> Jeśli była ona pomyślna, log będzie mieć postać:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

----> Jeśli proces zawiedzie, log może przybrać postać:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x88b8ecb8
NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
Use "Recovery Console" command "fixmbr" to clear infection !

6. Niezależnym odpowiednikiem dla tej procedury jest skorzystanie z wbudowanych w mechanizmy Windows poleceń:







Dołączona grafika

HelpAsst Mebroot Fix

Platforma: Windows 2000/XP

Dołączona grafika Pobierz: HelpAsst_mebroot_fix.exe


Narzędzie nie jest przeznaczone dla systemów Windows Vista / Windows 7.

... opis w budowie ...






Użytkownik picasso edytował ten post 24 03 2010 - 13:27


#11 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 01 03 2010 - 15:40

Infekcje w sterownikach: Rootkit TDSS / TDL aka Win32/Olmarik, Win32/Alureon




Dołączona grafika

Kaspersky TDSSKiller

Platforma: Windows 2000/XP/Vista/7 32-bit

Dołączona grafika Pobierz: TDSSKiller.zip





eSage Lab TDSS remover

Platforma: Windows 2000/XP/Vista/7 32-bit

Dołączona grafika Pobierz: tdss_remover_latest.rar



Dołączona grafika

ESET Win32/Olmarik Fixer

Platforma: Windows 2000/XP/Vista/7 32-bit

Dołączona grafika Pobierz: EOlmarikRemover.exe



Dołączona grafika

Norman TDSS Cleaner

Platforma: Windows 2000/XP/Vista/7 32-bit

Dołączona grafika Pobierz: Norman_TDSS_Cleaner.exe





Użytkownik picasso edytował ten post 24 03 2010 - 12:38


#12 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 11 03 2010 - 10:23

Infekcja Bagle



Dołączona grafika

FindyKill

Platforma: Windows XP/Vista/7

Strona domowa: http://pagesperso-orange.fr/NosTools/

Dołączona grafika Pobierz: FindyKill.exe



Narzędzie konsolowe umożliwiające wyszukanie w systemie infekcji rootkitem Bagle i jej usunięcie. Program likwiduje pliki i usługi Bagle, a także restauruje tryb awaryjny: importuje do rejestru zawartość klucza SafeBoot w wersji XP SP2 / SP3 oraz Vista. Program wspiera platformy Windows Vista i Windows 7, ale wiąże się to z następującymi ustawieniami: na czas operacji z programem należy wyłączyć UAC (szybko można to przeprowadzić przez TweakUAC), instalacja oraz uruchamianie muszą się wykonać z opcji Uruchom jako Administrator. Program po ukończeniu operacji powinien zaimportować do rejestru wpisy aktywujące UAC (w razie czego: w TweakUAC również jest taka opcja).



OBSŁUGA PROGRAMU:

1. Ściągnięty plik uruchamiamy przez dwuklik. Vista/7: z prawokliku opcją Uruchom jako Administrator.

Dołączona grafika

2. Zainicjuje się okno konsolowe programu z kolorowym napisem. Program zostanie wypakowany do katalogu w C:FyK.


Dołączona grafika


_______________________________________________________

ERADICATE BAGLE WORM
_______________________________________________________




3. Po chwili zgłosi się wybór opcji operacyjnych.

----> Pierwszym ekranem jest wybór języka. Wpisujemy z klawiatury E i ENTER:


                                                         
     |      _,,,--,,_  ,)                              
     /,`.-'`'   -,  ;-;;'
 __ |,4-  ) )-,_ ) /__________________________________________________________
 ~~'---''(_/--' (_/-'~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


           F | Francais       E | English           P | Portugues

           C | Castellano     K | Kreyol            Q | Quit

??????????????????????????????????????????????????????????????????????

 ( C , E , K , F , P , Q ) ->                >E


----> Pojawi się ekran wyboru akcji. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:


                                                         
     |      _,,,--,,_  ,)                              
     /,`.-'`'   -,  ;-;;'
 __ |,4-  ) )-,_ ) /__________________________________________________________
 ~~'---''(_/--' (_/-'~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



              1 # Search .                     4 # Uninstall .

              2 # Clean .                      Q # Quit .

              3 # Tutorial .

??????????????????????????????????????????????????????????????????????

 (1,2,3,4,Q) :                >


----> Z opcji 1 / 2 narzędzie generuje log, który jest zlokalizowany w pliku C:FyK.txt. Ten log należy zaprezentować na forum.



OPCJA 1 (TWORZENIE LOGA)
Funkcja służy tylko do przeszukania systemu pod kątem infekcji i wygenerowania loga, żadne czyszczenie się nie odbywa. Na w/w ekranie wpisujemy z klawiatury liczbę 1 i ENTER:

 (1,2,3,4,Q) : 1

Narzędzie uruchomi dwa okna - konsolowe oznajmiające przygotowywanie maszyny + okienko z prośbą o podpięcie wszystkich mediów przenośnych do komputera takich jak sticki USB etc., i odblokowanie na nich funkcji zapisu:


                                                         FindyKill V5.038
     |      _,,,--,,_  ,)                              
     /,`.-'`'   -,  ;-;;'
 __ |,4-  ) )-,_ ) /__________________________________________________________
 ~~'---''(_/--' (_/-'~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FindyKill prepare your machine ....

Please wait .


Dołączona grafika

Rozpocznie się skan właściwy obrazowany przez zmieniające się wyszukiwane obiekty (z procentowym postępem na pasku tytułu okna CMD):

 Bagle : Pliki

Finałowo pojawi się komunikat ukończenia pracy z adnotacją gdzie jest raport utworzony przez narzędzie:


                                                         FindyKill V5.038
     |      _,,,--,,_  ,)                              
     /,`.-'`'   -,  ;-;;'
 __ |,4-  ) )-,_ ) /__________________________________________________________
 ~~'---''(_/--' (_/-'~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Report is here : C:FyK.txt

Thank you for having used FindyKill .


Log automatycznie otworzy się w Notatniku.





OPCJA 2 (DEZYNFEKCJA)
Funkcja przeznaczona do likwidowania infekcji Bagle z dysku. Na w/w ekranie wpisujemy z klawiatury liczbę 2 i ENTER:

 (1,2,3,4,Q) : 2

Pojawi się okienko z prośbą o podpięcie wszystkich mediów przenośnych do komputera takich jak sticki USB etc., i odblokowanie na nich funkcji zapisu:

Dołączona grafika

Dostaniemy komunikat o konieczności zamknięcia swoich prac, gdyż system będzie restartował:

Dołączona grafika

Zostanie zabita powłoka explorer, a system będzie restartował bez ostrzeżenia (wystąpi "błąd" odliczania 60 sekund). Po restarcie pojawi się pusty ekran z oknami konsolowymi FindyKill notującymi wyszukiwanie infekcji. Ten etap może bardzo długo trwać.

 Bagle : Pliki


      Path : ścieżki dostępu
      ?????????????????????????????????????????????????????????????????
      File : nazwy plików


Finałowo otrzymany ekran z zawiadomieniem o ukończeniu procesu oraz wskazówką gdzie jest umieszczony log.

Przykładowy log z czyszczenia:

CODE-BOX
############################## | FindyKill V5.037 |

# User : Ryszard (Administratorzy) # R
# Update on 18/02/2010 by El Desaparecido
# Start at: 18:35:19 | 2010-03-01
# Website : http://pagesperso-or...ools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon™ XP 2000+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Dodatek Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090331-0] 4.8.1335 [ (!) Disabled | (!) Outdated ]

# C: # Lokalny dysk stały # 18,63 Go (7,54 Go free) # NTFS
# D: # Lokalny dysk stały # 27,95 Go (540,73 Mo free) [DRV1_VOL2] # NTFS
# E: # Lokalny dysk stały # 27,95 Go (2,65 Go free) [DRV1_VOL3] # NTFS
# F: # Dysk CD-ROM
# G: # Dysk CD-ROM
# H: # Dysk CD-ROM
# I: # Dysk CD-ROM

############################## | Active Processes |

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32logonui.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32userinit.exe
C:WINDOWSExplorer.EXE
C:Program FilesGoogleUpdateGoogleUpdate.exe
C:Program FilesGoogleUpdateGoogleUpdate.exe
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
C:Program FilesJavajre6binjqs.exe
C:Program FilesGoogleUpdateGoogleUpdate.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSSystem32wbemwmiprvse.exe

################## | C: |


################## | C:WINDOWS |

Deleted ! C:WINDOWSban_list.txt
Deleted ! C:WINDOWSmdelk.exe
Deleted ! C:WINDOWSwintems.exe

################## | C:WINDOWSPrefetch |

Deleted ! C:WINDOWSprefetch1086968.EXE-358AF0E3.pf
Deleted ! C:WINDOWSprefetch1104718.EXE-31AA1516.pf
Deleted ! C:WINDOWSprefetch115000.EXE-37402D57.pf
Deleted ! C:WINDOWSprefetch115859.EXE-0FE3D23D.pf
Deleted ! C:WINDOWSprefetch130718.EXE-2F9F897C.pf
Deleted ! C:WINDOWSprefetch131000.EXE-1AE67274.pf
Deleted ! C:WINDOWSprefetch144218.EXE-1261E7A6.pf
Deleted ! C:WINDOWSprefetchMDELK.EXE-087EF2B4.pf
Deleted ! C:WINDOWSprefetchWINTEMS.EXE-127B61D4.pf
Deleted ! C:WINDOWSprefetchWINUPGRO.EXE-07BEADC6.pf
Deleted ! C:WINDOWSprefetchWINUPGRO.EXE-2D513C93.pf

################## | C:WINDOWSsystem32 |

Deleted ! C:WINDOWSsystem32srosa2.sys
Deleted ! C:WINDOWSsystem32wfsintwq.sys

################## | C:WINDOWSsystem32drivers |


################## | C:Documents and SettingsRyszardDane aplikacji |

Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld103609.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld104156.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld115000.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld137562.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld140765.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld142828.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld144984.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld148031.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld148968.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld149937.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld150859.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld151718.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld152812.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld153531.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld154890.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld156093.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld157578.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld159109.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld160296.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld161484.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld163531.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld168218.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld169312.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld170546.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld171234.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld172000.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld173671.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld174968.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld175531.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld176390.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld177093.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld177953.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld179046.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld179796.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld180687.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld181531.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld182171.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld182984.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld183828.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld184734.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld185703.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld186468.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld187687.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld188953.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld190062.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld191781.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld193234.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld194125.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld195015.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld195843.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld196875.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld197593.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld199171.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld201125.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld201812.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld202609.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld203265.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld204062.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld204984.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld205812.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld206718.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld207546.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld208578.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld209656.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld210406.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld211140.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld212968.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld214343.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld217671.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld220156.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld221046.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld221937.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld222625.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld223390.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld224328.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld225140.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld226171.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld226890.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld227968.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld229015.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld231062.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld232468.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld233593.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld234312.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld235750.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld237218.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld238375.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld239312.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld240515.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld241640.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld242562.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld243421.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld244093.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld244859.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld246562.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld248109.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld249328.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld250484.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld254921.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld256468.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld257437.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld258281.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld259203.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld260015.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld261484.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld262921.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld266781.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld267953.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld269187.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld270359.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld271359.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld272078.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld273187.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld274671.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld277140.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld278484.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld279453.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld280218.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld280953.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld284640.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld287140.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld289437.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld290375.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld291765.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld292921.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld294265.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld298140.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld299328.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld300234.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld300812.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld301062.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld301312.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld302062.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld302765.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld303000.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld303437.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld303703.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld303968.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld305625.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld307218.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld307750.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld308515.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld309953.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld310312.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld310703.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld312281.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld312578.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld312937.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld314234.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld315125.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld315562.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld316046.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld320406.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld324921.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld325406.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld325968.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld326328.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld326703.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld327328.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld328031.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld328437.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld328718.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld329125.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld329562.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld329953.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld330437.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld330828.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld331328.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld331578.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriversdownld
Deleted ! C:Documents and SettingsRyszardDane aplikacjidriverswinupgro.exe
Deleted ! C:Documents and SettingsRyszardDane aplikacjidrivers

################## | Reference of comparaison Bagle MD5 : |

File : C:Documents and SettingsRyszardDane aplikacjidriverswinupgro.exe
-> Crc32 : 72683b38 | Md5 : c8cecc06bb63e4d0a5cdb05e6590493b


################## | MD5 ... |

Deleted ! "C:Program Filesskrzynka bogiegoskrzynka.exe"
-> Size : 877056 | Crc32 : 72683b38 | Md5 : c8cecc06bb63e4d0a5cdb05e6590493b


################## | CRC32 ... |

################## | Temporary Internet Files |


################## | Registry |

Deleted ! [HKLMSYSTEMControlSet003ServicessK9Ou0s]
Deleted ! [HKLMSYSTEMControlSet004ServicessK9Ou0s]
Deleted ! [HKLMSYSTEMControlSet003Servicessrosa]
Deleted ! [HKLMSYSTEMControlSet004Servicessrosa]
Deleted ! [HKLMSYSTEMControlSet003EnumRootLEGACY_SK9OU0S]
Deleted ! [HKLMSYSTEMControlSet004EnumRootLEGACY_SK9OU0S]
Deleted ! [HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SROSA]
Deleted ! [HKCUSoftwarebisoft]
Deleted ! [HKCUSoftwareDateTime4]
Deleted ! [HKCUSoftwareWS4001]
Deleted ! [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] "drvsyskit"
Deleted ! [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] "german.exe"
Deleted ! [HKCUSoftwareLocal AppWizard-Generated Applicationshldrrr]
Deleted ! [HKCUSoftwareLocal AppWizard-Generated Applicationskey_generator]
Deleted ! [HKCUSoftwareLocal AppWizard-Generated Applicationsmdelk]
Deleted ! [HKCUSoftwareLocal AppWizard-Generated Applicationswinupgro]

################## | State |

# Safe boot mode restored !

# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Corrupted Files # Reinstalation required |

Corrupted : C:Program FilesAlwil SoftwareAvast4ashAvast.exe
[Offset = 0000011C - Value = 0x0001]

Corrupted : C:Program FilesAlwil SoftwareAvast4ashDisp.exe
[Offset = 00000124 - Value = 0x0001]

Corrupted : C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:Program FilesAlwil SoftwareAvast4ashServ.exe
[Offset = 00000124 - Value = 0x0001]

Corrupted : C:Program FilesAlwil SoftwareAvast4ashSimpl.exe
[Offset = 0000011C - Value = 0x0001]

Corrupted : C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
[Offset = 00000114 - Value = 0x0001]

Corrupted : C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
[Offset = 00000114 - Value = 0x0001]

Corrupted : C:Program FilesAshampooAshampoo Burning Studio 7ash_updateMediator.exe
[Offset = 000000EC - Value = 0x0001]

Corrupted : C:Program FilesMozilla Firefoxuninstallhelper.exe
[Offset = 000000E4 - Value = 0x0001]

Corrupted : C:Program FilesMSNMSNCoreFilesupdate.exe
[Offset = 000000DC - Value = 0x0001]

Corrupted : C:Program FilesSamsungSamsung PC Studio 3LiveUpdate.exe
[Offset = 00000124 - Value = 0x0001]

Corrupted : C:WINDOWSsystem32dllcacheregister.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : register.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.


Corrupted : C:WINDOWSsystem32dllcachesysinfo.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : sysinfo.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.


Corrupted : D:kgjgjfhf.exe
[Offset = 000000BC - Value = 0x0001]

Corrupted : D:szukajInstallersbrońHijackThis.exe
[Offset = 000000BC - Value = 0x0001]

Corrupted : D:szukajmonsuperscanscanner.exe
[Offset = 000000E4 - Value = 0x0001]


################## | Upload |

Please send the file : C:FindyKill_Upload_Me_R.zip : http://chiquitine.ch...mple/Upload.php
Thank you for your contribution .

################## | End of Report # FindyKill V5.037 ! |




OPCJA 3 (TUTORIAL)
Funkcja natury informacyjnej. Na w/w ekranie wpisujemy z klawiatury liczbę 3 i ENTER:

 (1,2,3,4,Q) : 3

Działanie otwiera w przeglądarce Internet Explorer stronę domową narzędzia.




OPCJA 4 (DEINSTALACJA)
Funkcja służąca deinstalacji narzędzia FindyKill z Windows. Na w/w ekranie wpisujemy z klawiatury liczbę 4 i ENTER:

 (1,2,3,4,Q) : 4


Żadnych niespodzianek. Dostaniemy dwa dialogi: zatwierdzający akcję oraz notyfikujący o jej pomyślnym przeprowadzeniu.






Użytkownik Seth edytował ten post 23 10 2010 - 20:41


#13 morda

morda

    Expert Rank

  • Użytkownicy +
  • 3820 postów
  • Płeć:Mężczyzna

Napisano 13 07 2010 - 08:33

USBFix

SYSTEM: Windows XP - Vista - WIN7

Pobierz: UsbFix.exe

Instrukcja obsługi:

1) Dwuklik na ikonkę:

usbfix1.jpg


2) Pojawi się okno wyboru opcji:

usbfix2.jpg


3) Opcja robienia logu wykrywającego infekcję, bez usuwania:

usbfix3.jpg


3a) Pojawi się monit o podpięcie wszystkich przenośnych nośników pamięci i odblokowanie na nich funkcji zapisu:

usbfix4.jpg


3b) Rozpocznie się skanowanie:

usbfix5.jpg

Pojawi się log, który dajemy na Forum

=========

4) Usuwanie infekcji z Systemu i podpiętych nośników pamięci:

usbfix6.jpg


4a) Pojawi się prośba o podpięcie wszystkich przenośnych nośników pamięci i odblokowanie na nich funkcji zapisu:

usbfix7.jpg

4b) Jednocześnie otworzy się log w Notatniku, oraz w przeglądarce internetowej strona "Upload" do wysłania usuwanych plików do analizy

4c) Ponieważ czasami zdarza się, że usuwane są także pliki nie będące infekcją, (bo znajdują się bezpośrednio na dysku "C"), to tworzona jest Kwarantanna:
C:\UsbFix\Quarantine (usunięte pliki z przyrostkiem w nazwie *.vir.
W razie potrzeby można wyciągnąć stamtąd np. usunięte własne pliki.

==========

5) Nie zawsze USBFix potrafi rozpoznać wszystkie pliki infekcji, dlatego często wymagany jest log pokazujący wszystko, co znajduje się bezpośrednio na dyskach ("C:\", "D":\ ..)

usbfix8.jpg

Utworzy się log.

==========

6) Zabezpieczanie (ustawienie folderu "autorun.inf"):

usbfix9.jpg

==========

7) Usuwanie narzędzia:

usbfix10.jpg



.


Użytkownik XanTyp edytował ten post 06 04 2013 - 15:30


#14 Natsuki Kuga

Natsuki Kuga

    Very Good Rank

  • Na emeryturze
  • 1045 postów
  • Płeć:Wybierz

Napisano 29 07 2010 - 20:27

TDSSKiller
Do usuwania: Rootkit TDSS ; inne nazwy: Win32/Olmarik, Win32/Alureon

SYSTEM: Win2000 - WinXP - Vista - Win 7 (32-bit i 64-bit)

Pobierz: TDSKiller
Instrukcja obsługi:


1) Dwuklik na ikonkę:

2c085e494227dcbc.jpg

2) Pojawi się okno:

bdcef6ef1738a471.jpg

3) Kliknij na:

11290b51bfc78b55.jpg

4) Rozpocznie się skanowanie:

1ac96aeb48fef047.jpg

4a) Jeśli nic nie zostanie wykryte, to pojawi się:

726c7bf98a5e2cd9.jpg

4b) w takim przypadku klik na:

cb7bc32c81c5ff4e.jpg

Pojawi się log, który dajemy na Forum

5) Jeśli natomiast coś zostanie wykryte, to pojawi się:

13220d3d3e34fd13.jpg

5a) Jednocześnie po prawej stronie pojawi się:

5de71e6de201ef30.jpg

Zgadzamy się na taką akcję, jaka jest domyślnie zaproponowana przez narzędzie (przy której jest zaznaczenie)

5c) Po zakończeniu skanowania pojawi się okienko proponujące RESTART:

fdb50cd316beac48.jpg

5d) więc klik na:

f040ce148c993701.jpg

Nastąpi RESTART komputera.

5e) Na dysku C:\ pojawi się log:

fe0fe66d24072558.jpg

Dajemy go na forum.


* Instrukcja użycia tego narzędzia powstała dzięki uprzejmości użytkownika @morda

** Braki obrazków uzupełnione.
X. 01.2013



#15 Natsuki Kuga

Natsuki Kuga

    Very Good Rank

  • Na emeryturze
  • 1045 postów
  • Płeć:Wybierz

Napisano 13 09 2010 - 14:31

MBRCheck.exe

Do usuwania: niewykrywanego przez żadne inne narzędzia nowego Rootkita w sektorze MBR dysku twardego

SYSTEM: WinXP/Win2003/Vista/Win2008/Win 7 (32-bit i 64-bit)

Pobierz: MBRCheck.exe

Instrukcja obsługi:


1) Uruchom poprzez dwuklik na ikonkę: >>

Dołączona grafika


2) Pokaże się okienko:


Dołączona grafika



3) Po zakończeniu skanowania:


Dołączona grafika


4) Zgodnie z:

Dołączona grafika

wciśnij ENTER na klawiaturze.

5) Na pulpicie pojawi się:

Dołączona grafika


Daj ten log na Forum.
.
===================================

6) Jeśli w logu będzie coś podobnego do:

Dołączona grafika

to osoba pomagająca poda sposób postępowania podobny do tego:

6a) wpisz Y (i naciśnij ENTER):

Dołączona grafika


6b) wpisz cyfrę 2 (i naciśnij ENTER):



Dołączona grafika



6c) wpisz nr dysku np. 1 (w logu widać, który to nr dysku jest "zły") (i naciśnij ENTER):



Dołączona grafika


6d) wpisz nr Systemu, jaki masz np 1 (i naciśnij ENTER):



Dołączona grafika


6e) wpisz YES (i naciśnij ENTER):



Dołączona grafika


6f) wciśnij ENTER na klawiaturze:



Dołączona grafika


6g) zrestartuj komputer

6h) zrób nowy log z MBRCheck.exe i pokaż go na Forum.



* Instrukcja użycia tego narzędzia powstała dzięki uprzejmości użytkownika @morda
==============================================




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych