CatchMe Opublikowano 2 Czerwca 2007 Zgłoś Opublikowano 2 Czerwca 2007 (edytowane) HijackThis » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis: PAMIĘTAJ ! DO SPRAWDZENIA WKLEJAMY ZAWSZE 2 LOGI: HijackThis i Silent Runners HijackThis - jest to narzędzie do skanowania poszczególnych segmentów naszego rejestru dzięki temu, możemy dowiedzieć się czy system jest zainfekowany. Uwaga - HijackThis pokazuje szkodliwe oraz prawidłowe wpisy, dlatego tez prosimy nie wykonywać żadnych operacji na własną ręke. Pozwólcie działać nam 8O Więcej informacji: http://www.trendsecure.com/portal/en-US/to...ools/hijackthis Tworzenie loga Pobieramy narzędzie: HijackThis W lokalizacji do, której ściągneliśmy program pojawi nam się ikona:Zrzut ekranu / Screen shot Po kliknięciu w nią ujrzymy, okno z 6 opcjami (opcje będą opisane w późniejszej części tematu)Zrzut ekranu / Screen shot Do tworzenia loga używamy opcji: Do a system scan and save a logfile Po kliknięciu na nią, zacznie się generowanie loga, po krótkiej chwili ujrzymy:Zrzut ekranu / Screen shot Zaznaczamy, kopiujemy i wklejamy log - CTRL+A, CTRL+C i CTRL+V reszta według zasad - wszystkie logi wklejamy na stronę paste.sgjps.com, a linki podajemy na forum lub wstawiamy w spoiler na forum. Pozostałe opcje programu HijackThis Do a system scan - Po użyciu tej opcji nastąpi tylko i wyłącznie skanowanie naszego rejestru, nie utrzymamy loga w postaci dokumentu tekstowego opcji tej używamy do usuwania wpisów powiązanych z infekcjami, jeżeli chcemy usunąć jakiś wpis, stawiamy przy nim V i klikamy Fix checked. View the list of backupZrzut ekranu / Screen shot Open the Misc Tools section - Po otwarciu tej opcji, pojawią nam się dodatkowe zakładki które opisze niżej: Main - podstawowe opcje narzędzia:Zrzut ekranu / Screen shot Tutaj nic nie zmieniamy, ustawienia domyślne są jak najbardziej poprawne. Ignore list:Zrzut ekranu / Screen shot Lista ignorowanych wpisów, jezeli chcemy dodac jakis wpis do tej listy, zaznaczamy ten wpis i wciskamy Add checked to ignorelist backups - ta sama opcja co View the list of backupsZrzut ekranu / Screen shot Misc ToolsZrzut ekranu / Screen shot Tutaj znajduje się kilka kolejnych bardzo przydatnych opcji, opisanych nizej: Generate StartupList log - po wcisnięciu tej opcji, otrzymamy duzo bardziej rozszerzonego, szczegółowego loga. Open process manager - Jest to to samo co menedżer zadań.(Menedżera zadań uruchamiamy poprzez wciśnięcie kombinacji klawiszy CTRL+ALT+DEL lub PPM na pasek zadań > klik na menedżer zadań). Open host file manager - opcja ta służy do edycji pliku HOSTS znajdującego sie w C:/WINDOWS/System32/drivers/etc/HOSTS Delete a file on reboot - usuwanie pliku podczas restartu komputera, do tego używamy innych narzędzi np. KillBox. Delete an NT service.... - Usuwanie usług, w HijackThis są one pod sekcja O23Zrzut ekranu / Screen shot Usuniętej usługi nie da sie przywrócić ! Usługi te można także usuwać ręcznie w trybie awaryjnym poprzez: SC STOP nazwa uslugi - zatrzymujemy usługę SC DELETE nazwa uslugi - usunięcie usługi Open ADS Spy - pokazuje ona ukryte strumienie... Open Uninstall Manager - Jest to odpowiednik, Dodaj lub usuń programy (Start > Panel sterowania > Dodaj lub usuń programy) Check for update online - Sprawdza czy istnieje nowsza wersja HijackThis Uninstall HijackThis & exit - wyjście z narzędzia i usunięcie go. Silent Runners » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis: Pobieramy narzędzie: Silent Runners Uruchamiamy narzędzie poprzez kliknięcie na:Zrzut ekranu / Screen shot Ukaże nam się: Zrzut ekranu / Screen shot Opcje: Tak > generowanie skróconego loga > Nie używamy tej opcji, nie pokazuje ona wszystkich szkodników. Nie. Anuluj > wyjście z narzędzia. Po wybraniu opcji nr 2, ujrzymy:Zrzut ekranu / Screen shot Potwierdzamy klikając na Tak a następnie ujrzymy:Zrzut ekranu / Screen shot Silent Runners zaczął swoją pracę - musimy cierpliwie czekać. Po zakończeniu pracy programu pokaże się:Zrzut ekranu / Screen shot Oznacza to, że Silent Runners zakończył już swoja pracę. Nasz "Log" znajduje sie w tej samej lokalizacji, w dokumencie tekstowym o nazwie:Startup Programs, kopiujemy jego zawartość i wklejamy według zasad na forum: (paste.sgjps.com lub spoiler). Problemy z uruchomieniem Silent Runners: "Silent Runners" cannot use WMI to identify the operating system. This is caused by corruption of the WMI installation. WMI is complex and it is recommended that you use a Microsoft tool, "WMIDiag.vbs," to diagnose WMI on your system. W tym wypadku należy pobrać WMI Diagnosis Utility, rozpakować i uruchomić plik WMIDiag.vbs i cierpliwie czekać na pojawienie się komunikatu i wyświetlenie loga. Brak aparatu skryptów dla plików o rozszerzeniu vbsWchodzimy w Panel sterowania > Opcje folderów > Typy plików > Zaznaczamy rozszerzenie VBS (VBScript Script file) i klikamy Usuń. Nastepnie klikamy na Nowy > Rozszerzenie pliku: VBS > Zaawansowane >> Skojarzone typy plików: VBScript Script file Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze. Skontaktuj się z administratorem, aby uzyskać szczegółowe inforamcje.Jeśli Silent Runners otwiera się w Notatniku lub wyskakuje nam taki sam jak ten zacytowany wyżej, to ten problem da się naprawić programem NoScript ustawiamy z Disable na Enable. ComboFix » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis: ComboFix jest to narzędzie do usuwania: VX2, SurfSideKick, Qoologic, Vundo, DollarRevenue, Alcan, E-Give, PurityScan. Dodatkowo wykrywa on rotkita pe386 i wiele, wiele innych syfów - wykryje i usunie! Uwagi dotyczace uruchamiania: Nasz Antivirus pokazauje komunikat, iz ComboFix jest niebezpieczny - Ignorujemy ten komunikat. ComboFix-a uruchamiamy tylko na koncie z uprawnieniami administratora. Instrukcja obsługi: Ściągamy narzędzie ComboFix Po uruchomieniu ComboFx-a pojawi nam się:Zrzut ekranu / Screen shot Znajduje się tu informację, że jeżeli w naszym systemie wykryta zostanie infekcja, komputer zostanie zrestartowany, aby dokończyć usuwanie, narzędzie informuje nas też aby zamknać wszystkie okna przed rozpoczęciem pracy ComboFix'a. Do wyboru mamy dwie opcje:- Tak - Nie Klikamy na: Tak Następnie wyskoczy nam takie okienko:Zrzut ekranu / Screen shot Znów klikamy na TakZrzut ekranu / Screen shot Po tem narzędzie rozpocznie poszukiwanie plików bedących produktami robaka Alcan --> przeszkadza on w pracy ComboFix-a, następnie utworzy w katalogu %SystemRoot%\System32\erdnt\Hiv-backup kopie bezpieczeństwa rejestru przez program ERUNT - ERDNT.EXE i utworzy nowy punkt przywracania systemu.pliki od robaka Alcan %windir%system32cmd.com %windir%system32tracert.com %windir%system32bszip.dll %windir%system32netstat.com %windir%system32taskkill.com %windir%system32tasklist.com %windir%system32regedit.com %windir%system32ping.com Nastepnie narzędzie rozpocznie poszukiwanie nastepujących plików: %windir%System32Command.com %windir%System32Autoexec.NT %windir%System32Config.nt Jeśli któryś z wyżej wymienionych plików jest uszkodzony lub go nie ma pojawi się komunikat: 16-bitowy podsystem MS-DOS ścieżka do programu, który próbujesz uruchomić C:/WINNT/system32/Nazwa pliku http://support.microsoft.com/default.aspx?...b%3Bpl%3B305521 Zrzut ekranu / Screen shot Następnie program zacznie skanować system i ewentualnie usuwać napotkane infekcje, które posiada w swojej bazie syfów, i jeszcze chwilowo przestawi ustawienia zegara systemowego.Zrzut ekranu / Screen shot Na koniec dostajemy informacje o lokalizacji zapisu loga i o tym, że za moment wyskoczy okno z gotowym logiem. Problemy z uruchomieniem ComboFix Mimo tego, że jesteśmy zalogowani na koncie administratora, po próbie uruchomienia ComboFix-a dostajemy komunikat: You need to have Administrative privileges to run this tool Start > uruchom > %userprofile%XXXcombofix.exe /admin %userprofile% > Nazwa Twojego profilu XXX > Lokalizacja ComboFix Combofix uruchamia sie i po chwili zamyka-moga byc 3 przyczyny. W systemie znajduje sie rootkit HAXDOOR, można go usunąć programem HaxFix. Niektóre programy moga blokowac skrypty VBS, jednym z takich programów jest Norton Antivirus. Start > uruchom > regsvr32 vbscript.dll Nazwa pliku ComboFix.exe zostala zmieniona. Jak łatwo i szybko usunąć ComboFix? Wchodzimy w Start > Uruchom > wklejamy lub wpisujemy ComboFix /U wciskamy OK lub Enter Tym poleceniem usuniemy: ComboFix.exe oraz pliki i foldery z nim powiązane, dodatkowo jeśli zostaną wykryte foldery VundoFix Backups, C:\Deckard i C:\_OtMoveIt oraz jeżeli zajdzie taka potrzeba - zresetujemy ustawienia zegara systemowego, ukryjemy rozszerzenia znanych typów plików, ukryjemy systemowe ukryte pliki i zresetujemy przywracanie systemu. Deckard's System Scanner » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis: Deckard's System Scanner - jest to typowe narzędzie do wykonywania logów. Nie jest wypoasażone w mechanizmy usuwające. Pobieramy: Deckard's System Scanner Uruchamiamy program poprzez kliknięcie na ikonę: Zrzut ekranu / Screen shot Pokaże się nam komunikat, w którym klikamy ma OK: Zrzut ekranu / Screen shot Następnie naciskamy ponownie przycisk OK:Zrzut ekranu / Screen shot Program rozpocznie skanowanie. Proces ten może trwać nawet do kilku minut:Zrzut ekranu / Screen shot Po zakończeniu tworzenia loga ukaże się takie okno:Zrzut ekranu / Screen shot Wciskamy OK ukażą się dwa logi main.txt i extra.txt zaznaczamy, kopiujemy i wklejamy je po kolei: CTRL+A, CTRL+C i CTRL+V reszta według zasad - wszystkie logi wklejamy na stronę paste.sgjps.com, a linki podajemy na forum lub wstawiamy w spoiler na forum. GMER » Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis: GMER to program, który wykrywa procesy typu rootkit. Jest bezkonkurencyjny - nie zastąpi go żadne narzędzie. Program wyszukuje: ukryte procesy ukryte pliki ukryte klucze rejestru ukryte moduły ( driver'y ) moduły przechwytujące wywołania systemowe moduły przechwytujące przerwania moduły kontrolujące działanie urządzeń Na obrazku widnieją 2 najważniejsze funkcje programu: Zabij wszystko - Działa bezpośrednio na uruchomionym systemie. AWARYJNY... - Gmer restartuje komputer i uruchamia system w swoim trybie (przed załadowaniem aplikacji).Zrzut ekranu / Screen shot CMD - Dzięki niemu w skarajnych przypadkach zazwyczaj udaje się usunac ciężkie do usunięcia wirusy. REGEDIT - Pozwala nam dokonywać zmian w rejestrze bez potrzeby tworzenia plików *.REG Zrzut ekranu / Screen shotAby usunąć rootkita wystarczy wpisać komendy i wybrać funkcje Zabij wszystko następnie uruchomić system ponownie i gotowe. Dzięki temu otrzymujemy przyjemny i wygodny a co najważniejsze skuteczny sposób na usuwanie szkodników. Jak utworzyć dwa logi z GMER-a? Ściagnij: GMER-a Rootkit > zaznaczone Pokaż wszystko > wskazane tylko Usługi > Szukaj > Kopiuj > CTRL+V Rootkit > odznaczone Pokaż wszystko > wskazane wszystkie obiekty do skanu > Szukaj > Kopiuj > CTRL+V - W rezultacie otrzymujemy 2 logi, które wklejamy na paste.sgjps.com, a linki podajemy na forum.Log 1 - Rootkit Log 2 - Usułgi Zrzut ekranu / Screen shot Jak odinstalować GMER-a? Wchodzimy w C:\Windows dwuklik na gmer_uninstall.cmd po operacji wciskamy dowolny klawisz. Zrzut ekranu / Screen shot Edytowane 11 Czerwca 2008 przez XaD_ Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...