Skocz do zawartości
CatchMe

HijackThis, Silent Runners, ComboFix...

Rekomendowane odpowiedzi

HijackThis

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis:
PAMIĘTAJ ! DO SPRAWDZENIA WKLEJAMY ZAWSZE 2 LOGI: HijackThis i Silent Runners

 

HijackThis - jest to narzędzie do skanowania poszczególnych segmentów naszego rejestru

dzięki temu, możemy dowiedzieć się czy system jest zainfekowany. Uwaga - HijackThis pokazuje szkodliwe oraz prawidłowe wpisy, dlatego tez prosimy nie wykonywać żadnych operacji na własną ręke. Pozwólcie działać nam 8O

Więcej informacji: http://www.trendsecure.com/portal/en-US/to...ools/hijackthis

 

Tworzenie loga

  • Pobieramy narzędzie: HijackThis
  • W lokalizacji do, której ściągneliśmy program pojawi nam się ikona:

    Zrzut ekranu / Screen shot

  • Po kliknięciu w nią ujrzymy, okno z 6 opcjami (opcje będą opisane w późniejszej części tematu)

    Zrzut ekranu / Screen shot

  • Do tworzenia loga używamy opcji:
  • Do a system scan and save a logfile
  • Po kliknięciu na nią, zacznie się generowanie loga, po krótkiej chwili ujrzymy:

    Zrzut ekranu / Screen shot

  • Zaznaczamy, kopiujemy i wklejamy log - CTRL+A, CTRL+C i CTRL+V reszta według zasad - wszystkie logi wklejamy na stronę paste.sgjps.com, a linki podajemy na forum lub wstawiamy w spoiler na forum.
Pozostałe opcje programu HijackThis

  • Do a system scan - Po użyciu tej opcji nastąpi tylko i wyłącznie skanowanie naszego rejestru, nie utrzymamy loga w postaci dokumentu tekstowego opcji tej używamy do usuwania wpisów powiązanych z infekcjami, jeżeli chcemy usunąć jakiś wpis, stawiamy przy nim V i klikamy Fix checked.
  • View the list of backup

    Zrzut ekranu / Screen shot

  • Open the Misc Tools section - Po otwarciu tej opcji, pojawią nam się dodatkowe zakładki które opisze niżej:
  • Main - podstawowe opcje narzędzia:

    Zrzut ekranu / Screen shot

    Tutaj nic nie zmieniamy, ustawienia domyślne są jak najbardziej poprawne.

  • Ignore list:

    Zrzut ekranu / Screen shot

    Lista ignorowanych wpisów, jezeli chcemy dodac jakis wpis do tej listy, zaznaczamy ten wpis i wciskamy Add checked to ignorelist

  • backups - ta sama opcja co View the list of backups

    Zrzut ekranu / Screen shot

  • Misc Tools

    Zrzut ekranu / Screen shot

    Tutaj znajduje się kilka kolejnych bardzo przydatnych opcji, opisanych nizej:

  • Generate StartupList log - po wcisnięciu tej opcji, otrzymamy duzo bardziej rozszerzonego, szczegółowego loga.
  • Open process manager - Jest to to samo co menedżer zadań.

    (Menedżera zadań uruchamiamy poprzez wciśnięcie kombinacji klawiszy CTRL+ALT+DEL lub PPM na pasek zadań > klik na menedżer zadań).

  • Open host file manager - opcja ta służy do edycji pliku HOSTS znajdującego sie w

    C:/WINDOWS/System32/drivers/etc/HOSTS

  • Delete a file on reboot - usuwanie pliku podczas restartu komputera, do tego używamy innych narzędzi np. KillBox.
  • Delete an NT service.... - Usuwanie usług, w HijackThis są one pod sekcja O23

    Zrzut ekranu / Screen shot

    Usuniętej usługi nie da sie przywrócić !

    Usługi te można także usuwać ręcznie w trybie awaryjnym poprzez:

    SC STOP nazwa uslugi - zatrzymujemy usługę

    SC DELETE nazwa uslugi - usunięcie usługi

  • Open ADS Spy - pokazuje ona ukryte strumienie...
  • Open Uninstall Manager - Jest to odpowiednik, Dodaj lub usuń programy (Start > Panel sterowania > Dodaj lub usuń programy)
  • Check for update online - Sprawdza czy istnieje nowsza wersja HijackThis
  • Uninstall HijackThis & exit - wyjście z narzędzia i usunięcie go.

Silent Runners

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis:
  • Pobieramy narzędzie: Silent Runners
  • Uruchamiamy narzędzie poprzez kliknięcie na:

    Zrzut ekranu / Screen shot

    Ukaże nam się:

    Zrzut ekranu / Screen shot

    Opcje:

    • Tak > generowanie skróconego loga > Nie używamy tej opcji, nie pokazuje ona wszystkich szkodników.
    • Nie.
    • Anuluj > wyjście z narzędzia.
  • Po wybraniu opcji nr 2, ujrzymy:

    Zrzut ekranu / Screen shot

  • Potwierdzamy klikając na Tak a następnie ujrzymy:

    Zrzut ekranu / Screen shot

  • Silent Runners zaczął swoją pracę - musimy cierpliwie czekać.
  • Po zakończeniu pracy programu pokaże się:

    Zrzut ekranu / Screen shot

  • Oznacza to, że Silent Runners zakończył już swoja pracę.
  • Nasz "Log" znajduje sie w tej samej lokalizacji, w dokumencie tekstowym o nazwie:

    Startup Programs, kopiujemy jego zawartość i wklejamy według zasad na forum: (paste.sgjps.com lub spoiler).

Problemy z uruchomieniem Silent Runners:

  • "Silent Runners" cannot use WMI to identify the operating system.

    This is caused by corruption of the WMI installation.

     

    WMI is complex and it is recommended that you use a Microsoft

    tool, "WMIDiag.vbs," to diagnose WMI on your system.

    W tym wypadku należy pobrać WMI Diagnosis Utility, rozpakować i uruchomić plik WMIDiag.vbs i cierpliwie czekać na pojawienie się komunikatu i wyświetlenie loga.
  • Brak aparatu skryptów dla plików o rozszerzeniu vbs

    Wchodzimy w Panel sterowania > Opcje folderów > Typy plików > Zaznaczamy rozszerzenie VBS (VBScript Script file) i klikamy Us. Nastepnie klikamy na Nowy > Rozszerzenie pliku: VBS > Zaawansowane >> Skojarzone typy plików: VBScript Script file
  • Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze. Skontaktuj się z administratorem, aby uzyskać szczegółowe inforamcje.

    Jeśli Silent Runners otwiera się w Notatniku lub wyskakuje nam taki sam jak ten zacytowany wyżej, to ten problem da się naprawić programem NoScript ustawiamy z Disable na Enable.

ComboFix

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis:
ComboFix jest to narzędzie do usuwania: VX2, SurfSideKick, Qoologic, Vundo, DollarRevenue, Alcan, E-Give, PurityScan. Dodatkowo wykrywa on rotkita pe386 i wiele, wiele innych syfów - wykryje i usunie!

 

Uwagi dotyczace uruchamiania:

  • Nasz Antivirus pokazauje komunikat, iz ComboFix jest niebezpieczny - Ignorujemy ten komunikat.
  • ComboFix-a uruchamiamy tylko na koncie z uprawnieniami administratora.
Instrukcja obsługi:

  • Ściągamy narzędzie ComboFix
  • Po uruchomieniu ComboFx-a pojawi nam się:

    Zrzut ekranu / Screen shot

  • Znajduje się tu informację, że jeżeli w naszym systemie wykryta zostanie infekcja, komputer zostanie zrestartowany, aby dokończyć usuwanie, narzędzie informuje nas też aby zamknać wszystkie okna przed rozpoczęciem pracy ComboFix'a.
  • Do wyboru mamy dwie opcje:

    - Tak

    - Nie

    Klikamy na: Tak

  • Następnie wyskoczy nam takie okienko:

    Zrzut ekranu / Screen shot

  • Znów klikamy na Tak

    Zrzut ekranu / Screen shot

  • Po tem narzędzie rozpocznie poszukiwanie plików bedących produktami robaka Alcan --> przeszkadza on w pracy ComboFix-a, następnie utworzy w katalogu %SystemRoot%\System32\erdnt\Hiv-backup kopie bezpieczeństwa rejestru przez program ERUNT - ERDNT.EXE i utworzy nowy punkt przywracania systemu.

    pliki od robaka Alcan

    %windir%system32cmd.com

    %windir%system32tracert.com

    %windir%system32bszip.dll

    %windir%system32netstat.com

    %windir%system32taskkill.com

    %windir%system32tasklist.com

    %windir%system32regedit.com

    %windir%system32ping.com

  • Nastepnie narzędzie rozpocznie poszukiwanie nastepujących plików:

    %windir%System32Command.com

    %windir%System32Autoexec.NT

    %windir%System32Config.nt

  • Jeśli któryś z wyżej wymienionych plików jest uszkodzony lub go nie ma pojawi się komunikat:

    16-bitowy podsystem MS-DOS

    ścieżka do programu, który próbujesz uruchomić

    C:/WINNT/system32/Nazwa pliku

    http://support.microsoft.com/default.aspx?...b%3Bpl%3B305521

    Zrzut ekranu / Screen shot
  • Następnie program zacznie skanować system i ewentualnie usuwać napotkane infekcje, które posiada w swojej bazie syfów, i jeszcze chwilowo przestawi ustawienia zegara systemowego.

    Zrzut ekranu / Screen shot

  • Na koniec dostajemy informacje o lokalizacji zapisu loga i o tym, że za moment wyskoczy okno z gotowym logiem.
Problemy z uruchomieniem ComboFix

  • Mimo tego, że jesteśmy zalogowani na koncie administratora, po próbie uruchomienia ComboFix-a dostajemy komunikat:

     

    You need to have Administrative privileges to run this tool

     

    Start > uruchom > %userprofile%XXXcombofix.exe /admin

     

    %userprofile% > Nazwa Twojego profilu

    XXX > Lokalizacja ComboFix

  • Combofix uruchamia sie i po chwili zamyka-moga byc 3 przyczyny.
  • W systemie znajduje sie rootkit HAXDOOR, można go usunąć programem HaxFix.
  • Niektóre programy moga blokowac skrypty VBS, jednym z takich programów jest Norton Antivirus. Start > uruchom > regsvr32 vbscript.dll
  • Nazwa pliku ComboFix.exe zostala zmieniona.
Jak łatwo i szybko usunąć ComboFix?

 

Wchodzimy w Start > Uruchom > wklejamy lub wpisujemy ComboFix /U wciskamy OK lub Enter

Tym poleceniem usuniemy: ComboFix.exe oraz pliki i foldery z nim powiązane, dodatkowo jeśli zostaną wykryte foldery VundoFix Backups, C:\Deckard i C:\_OtMoveIt oraz jeżeli zajdzie taka potrzeba - zresetujemy ustawienia zegara systemowego, ukryjemy rozszerzenia znanych typów plików, ukryjemy systemowe ukryte pliki i zresetujemy przywracanie systemu.

Deckard's System Scanner

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis:
Deckard's System Scanner - jest to typowe narzędzie do wykonywania logów. Nie jest wypoasażone w mechanizmy usuwające.

GMER

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - Opis:
GMER to program, który wykrywa procesy typu rootkit. Jest bezkonkurencyjny - nie zastąpi go żadne narzędzie.

 

Program wyszukuje:

  • ukryte procesy
  • ukryte pliki
  • ukryte klucze rejestru
  • ukryte moduły ( driver'y )
  • moduły przechwytujące wywołania systemowe
  • moduły przechwytujące przerwania
  • moduły kontrolujące działanie urządzeń
Na obrazku widnieją 2 najważniejsze funkcje programu:

  • Zabij wszystko - Działa bezpośrednio na uruchomionym systemie.
  • AWARYJNY... - Gmer restartuje komputer i uruchamia system w swoim trybie (przed załadowaniem aplikacji).

    Zrzut ekranu / Screen shot

  • CMD - Dzięki niemu w skarajnych przypadkach zazwyczaj udaje się usunac ciężkie do usunięcia wirusy.
  • REGEDIT - Pozwala nam dokonywać zmian w rejestrze bez potrzeby tworzenia plików *.REG
Zrzut ekranu / Screen shot

Aby usunąć rootkita wystarczy wpisać komendy i wybrać funkcje Zabij wszystko następnie uruchomić system ponownie i gotowe. Dzięki temu otrzymujemy przyjemny i wygodny a co najważniejsze skuteczny sposób na usuwanie szkodników.

 

Jak utworzyć dwa logi z GMER-a?

 

Ściagnij: GMER-a

  • Rootkit > zaznaczone Pokaż wszystko > wskazane tylko Usługi > Szukaj > Kopiuj > CTRL+V
  • Rootkit > odznaczone Pokaż wszystko > wskazane wszystkie obiekty do skanu > Szukaj > Kopiuj > CTRL+V
- W rezultacie otrzymujemy 2 logi, które wklejamy na paste.sgjps.com, a linki podajemy na forum.

Log 1 - Rootkit

Log 2 - Usułgi

Zrzut ekranu / Screen shot

Jak odinstalować GMER-a?

Wchodzimy w C:\Windows dwuklik na gmer_uninstall.cmd po operacji wciskamy dowolny klawisz.

Zrzut ekranu / Screen shot

Edytowane przez XaD_

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.


×
×
  • Dodaj nową pozycję...