FRST, OTL, GMER i inne - poradnik

HijackThis

(Narzędzie przestarzałe, obecnie nie stosujemy)

Program jest skonstruowany po to by szybciej i łatwiej zlokalizować oraz usunąć komponenty szpiegujące, trojany, wirusy ogólnie syf który można załapać w sieci. HijackThis generuje (pokazuje) wpisy prawidłowe jak i szkodliwe także amatorom i nie zaawansowanym użytkownikom zaleca się nie usuwać jakiegokolwiek wpisów na własną rękę, tylko wygenerować loga i wkleić go na forum by poddać go analizie.
Można go pobrać stąd HijackThis.


Duża liczba userów zadaje pytanie jak zrobić loga itp. więc postanowiłem krótko opisać trzy podstawowe rzeczy dotyczące loga HijackThis a są nimi:
1. Tworzenie loga.
2. Usuwanie szkodliwych wpisów.


1. Skanowanie i tworzenie loga.

Czyli uruchamiamy program i wybieramy opcję Do a system scan and save a logfile. Po tej operacji automatycznie wyskoczy nam dokument tekstowy z wygenerowanym logiem którego całą zawartość wklejamy na forum w tagach QUOTE.

Uwaga: Wyżej wymieniony dokument tekstowy zostanie automatycznie zapisany w folderze w którym znajduje się program.

2. Usuwanie szkodliwych wpisów.

Uruchamiamy program i wybieramy opcje Do a system scan only.

Po ukończeniu skanowania zaznaczamy wpisy które chcemy usunąć i klikamy Fix checked.

Problemy w korzystaniu z HijackThis

1. Nie mogę ściągnąć HijackThis.

Być może w systemie są szkodniki, które blokują stronę Trend Micro, z której chcesz ściągnąć program. Skorzystaj z alternatywnego linka naszego forum (wersja *.COM ).

2. Po ściągnięciu HijackThis znika z dysku!

Na komputerze jest prawdopodobnie rootkit Hacker Defender. Możliwy też inny rootkit z zaplanowanym ukrywaniem specyficznych narzędzi dezynfekujących.


3. HijackThis natychmiastowo się zamyka po uruchomieniu.

Oznacza to, że w tle działa infekcja, której zadaniem jest uniemożliwienie z korzystania z HijackThis. Jednym z pierwszych szkodników wpływających negatywnie na pracę HijackThis był trojan CWS.Smartsearch.2 (sprawę korygowało użycie CoolWWWSearch.Smartsearch Killer), aczkolwiek wieeeele się od tego czasu zmieniło. Obecnie jest bardzo dużo innych możliwości. Należy spróbować uruchomić wersję *.COM, którą zlikwidowałam na naszym serwerze. Lub podać inne logi.


4. Błędy HijackThis:

Błąd punktujący brak pliku msvbvm60.dll

Świadczy to o braku Visual Basic Runtime Libraries. Najnowsze Windowsy posiadają te biblioteki. Jest to błąd charakterystyczny dla Windows 98. Należy biblioteki ściągnąć ze strony Microsoftu i zainstalować: Visual Basic 6.0 SP5.


An unexpected error has occurred at procedure: modRegistry_GetFirstSubFolder

Twoja wersja Hijacka jest bardzo stara. Skąd tyś ją wytrzasnął???!!! Ściągnij NAJ-nowszą!


Unexpected error has occured at procedure : ModBackUp-MakeBackUp

Gdy Hijack ma problem ze stworzeniem kopii zapasowej usuwanych wpisów (a ta opcja tworzenia backupów jest domyślnie włączona), lub z przywracaniem z tejże kopii to wynik tego iż jeden z plików, które Hijack chce przenieść/skasować itd jest w użyciu. Sprawę rozwiąże puszczenie Hijacka w trybie awaryjnym.


Error: modMain_FIXUNIXHostsFile

Jest to problem przetwarzania przez Hijacka pliku HOSTS z nieprawidłowymi przełamaniami tekstu. Przed uruchomieniem należy więc ręcznie zedytować plik HOSTS usuwając z niego wszystko prócz linijki 127.0.0.1 localhost.


5. HijackThis nie pomógł lub nic nie wykrywa.

1. Jeśli po naprawieniu wszystkich wpisów będą wracać jak szalone w tej samej postaci lub o podobnym nazewnictwie to znaczy, że metoda usuwania jest nieprawidłowa lub istnieje na komputerze ukryty re-loader szkodnika.

2. Jeśli są znaki działania infekcji (pop-upy, przekierowania, zmiany stron startowych), ale log wygląda na czysty, to oznacza podobną sytuację co wyżej, czyli ukrytą metodę infekcji niewidzialną z poziomu Hijacka. Potrzebne dodatkowe logi: Silent Runners, DSS, Gmer.....

Ostatnio edytowany przez huber2t 12 Maj 2008, 06:11, edytowano w sumie 5 razy

[Mirahz]

ComboFix

ComboFixa używamy tylko wtedy, gdy zostaniemy o to wyraźnie poproszeni na forum. Nie korzystamy z niego na własną rękę
Dlatego, że to silnie ingerujące w system narzędzie, nie mamy pełnej kontroli nad tym, co usuwa, modyfikuje itp, więc jego użycie może mieć różne skutki. Nie można go traktować jak jakiś "skaner antywirusowy" czy "program do optymalizacji" i stosować od tak. Zresztą wystarczy przeczytać słowa autora, a on przecież najlepiej zna to narzędzie [link nie jest już aktualny]

UWAGA Jeżeli posiadamy oprogramowanie emulujące napędy takie jak Alkohol, Daemon Tools, AstroBurn itp. przed uruchomieniem narzędzia należy koniecznie wyłączyć ich sterowniki za pomocą Defoggera

1. Podczas pobierania i skanu ComboFixem należy wyłączyć wszelkie programy zabezpieczające (antywirus, firewall itp.), gdyż mogą one uszkodzić narzędzie lub zakłócać jego pracę.
2. Przed uruchomieniem zamykamy wszystkie otwarte okna i programy.
3. Uruchamiamy ComboFix poprzez dwuklik na ikonkę ComboFix.exe lub nakładamy plik CFScript.txt na ComboFix.exe (tylko w przypadku gdy osoba sprawdzająca o to poprosi).
4. Pojawią się napis: Proszę czekać. ComboFix rozpoczyna działanie.
5. Pojawi się okno "ZRZECZENIE SIĘ GWARANCJI NA OPROGRAMOWANIE", w którym klikamy TAK.
6. Następnie program utworzy punkt Przywracania Systemu oraz wykona kopię rejestru.
7. W przypadku systemów Windows 2000/XP ComboFix sprawdzi, czy jest zainstalowana Konsola Odzyskiwania. Jeśli nie pojawi się stosowny komunikat, w którym wyrażamy zgodę na instalację Konsoli.
8. W czasie instalacji Konsoli odzyskiwania pojawi się jeszcze kilka komunikatów, w które zatwierdzamy klikając TAK lub OK.
9. Następnie ComboFix przystąpi do skanowania i usuwania zainfekowanych plików. Jest ono wieloetapowe, więc może potrwać od kilku do kilkunstu minut.
5. Czekamy, w czasie pracy ComboFixa nie wolno nic robić, nawet poruszać myszką.
6. Po zakończeniu skanowania pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć w lokalizacji C:\ComboFix.txt
7. Log wklej na wklej.eu, a w poście daj tylko link.

Należy się także dokładnie zapoznać z tą instrukcją http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix


ComboFixa używamy tylko wtedy, gdy zostaniemy o to wyraźnie poproszeni na forum. Nie korzystamy z niego na własną rękę

Ostatnio edytowany przez Mirahz 22 Wrz 2021, 13:18, edytowano w sumie 14 razy
Powód: Uzupełnienie instrukcji

Silent Runners - jest to bezinstalacyjny program który tworzy dokładniejsze logi niż HijackThis.

(Narzędzie przestarzałe, obecnie nie stosujemy)

Program uruchamiamy dwuklikiem na ikonkę programu. Wyskoczy okienko -

[obrazek nie jest już dostępny]

Tak - Funkcja tworzenia szybkiego loga.
Nie - Funkcja tworzenia wolnego loga. Log jest dokładniejszy i tej opcji się trzymajmy.
Anuluj - Wyjście z programu

Wybieramy "Nie" wyskoczy komunikat -

[obrazek nie jest już dostępny]

Klikamy na Tak i cierpliwie czekamy aż program skończy tworzyć log. Kiedy program skończy wyskoczy następny komunikat -

[obrazek nie jest już dostępny]

Log będzie się znajdował w tym samym folderze co plik SR, treść logu wklejamy na wklejto.pl , a link na forum

Ostatnio edytowany przez huber2t 02 Paź 2008, 20:07, edytowano w sumie 7 razy

SDFix

(Narzędzie przestarzałe, obecnie nie stosujemy)

SDFix - narzędzie służące do usuwania różnego rodzaju trojanów, rootkitów, spambotów i wiele innych.

Po pobraniu narzędzia wchodzimy do trybu awaryjnego (F8 przed startem Windowsa). Następnie odpalamy SDFix'a . Pojawi się okienko instalacyjne.

[obrazek nie jest już dostępny]

Klikamy na Install. Po ukończeniu instalacji wchodzimy do katalogu C:\SDFix i uruchamiamy plik RunThis.bat. Ujrzymy następujące okno:

[obrazek nie jest już dostępny]

Wciskamy więc Y. Zacznie się skanowanie. Po jego ukończeniu (gdy dojdzie do 100%) ...

[obrazek nie jest już dostępny]

...naciskamy dowolny klawisz. Komputer uruchomi się ponownie. Po starcie Windowsa (uwaga!!! nie będzie jeszcze widocznych ikonek pulpitu!) SDFix będzie usuwał szkodniki. Czekamy spokojnie, dopóki nie ujrzymy Finished. Wciskamy po tym znów dowolny klawisz, zakończy to już pracę programu.

Po wszystkich czynnościach wchodzimy do katalogu SDFix'a i wklejamy na forum zawartość pliku Report.txt.

Ostatnio edytowany przez huber2t, 20 Kwi 2008, 19:49, edytowano w sumie 1 raz

Trojan Vundo

(Narzędzie przestarzałe, obecnie nie stosujemy)

Trojan Vundo - trojan o bardzo wysokim stopniu zagrożenia. To przez niego pojawiają się liczne błędy systemu, duża ilość pop-upów: WinFixer, WinAntiVirus, WinAntiVirus Pro.
System staje się niestabilny, ciężko jest na nim cokolwiek robić.

Usuwanie
Ściągnij VundoFix i uruchom w trybie awaryjnym.


Kliknij na Scan for Vundo. Rozpocznie się wyszukiwanie trojana. Kiedy skończy się skanowanie i zostaną wykryte zainfekowane pliki, kliknij na Remove Vundo. Ujrzysz zapytanie czy usunąć wybrane pliki. Zatwierdzasz. Po chwili system uruchomi się ponownie. Na dysku C zostanie zapisany log z usuwania.

Problem w tym że Vundo często się zmienia, dlatego samo w.w. narzędzie może nie usunąć trojana.
Zaleca się więc jeszcze dodatkowo przeskanowanie skanerami online, bądź też zastosowanie również w trybie awaryjnym:
Trojan.Vundo Removal Tool + VirtumundoBeGone.

Ostatnio edytowany przez huber2t, 20 Kwi 2008, 19:50, edytowano w sumie 1 raz

SmitFraudFix

(Narzędzie przestarzałe, obecnie nie stosujemy)

SmitFraudFix - narzędzie służy nam do usuwania bardzo wielu wirusów w tym rootkita pe386

Ściągamy program na pulpit, rozpakowujemy Odpalamy go klikając podwójnie na SmitfraudFix.cmd

[obrazek nie jest już dostępny]

Wkrótce pojawi się informacja z prośbą o wciśnięcie dowolnego klawisza, wciskamy i zostaniemy przeniesieni do głównego menu:

[obrazek nie jest już dostępny]

Możemy wybrać spośród tych opcji:

1. Search - skanuje system w poszukiwaniu zainfekowanych plików, po skanowaniu dostaniemy raport C:\rapport.txt
2. Clean (safe mode recommended) - automatycznie kasuje zainfekowane pliki, padnie również pytanie Do you want to clean the registry ? <y/n> wybieramy Y . W dalszej części narzędzie spyta o podmiane pliku wininet.dll , wybieramy Y i wciskamy enter. Po zakończeniu czyszczenia, komputer zostanie zrestartowany.
3. Delete Trusted zone - kasuje zaufane strony (wpisy O15 w hijaktis)
4. Check for updates - szuka aktualizacji programu
5. Search and clean DNS Hijack - szuka i kasuje szkodliwe adresy DNS
L. French Language - zmienia język na francuski
Q. Quit - wyjście z programu

Zazwyczaj będziemy prosili o uruchomienie programu z opcji nr. 2 lecz w razie czego osoba prosząca o ten log napisze z jakiej opcji ma zostać uruchomiony

Log z przebiegu usuwania znajdziecie w C:\rapport.txt .

Program jest aktualizowany codziennie

Ostatnio edytowany przez huber2t, 01 Paź 2008, 19:26, edytowano w sumie 1 raz

Fixwareout - Jest to narzędzie specjalistyczne do usuwania infekcji DNS-hijackers ( Rootkita Windows Security Center )

(Narzędzie przestarzałe, obecnie nie stosujemy)

Narzędzie ściągamy i instalujemy jak normalny program, standardowo zainstaluje się w C:\Fixwareout, uruchomiamy plikiem fixit.cmd w trybie awaryjnym i postępujemy zgodnie ze wskazówkami.
Log z przebiegu usuwania znajdziecie w C:\fixwareout\report.txt, pokazujemy go następnie na forum

EDIT:
Narzędzie zostało wycofane przez autora, więc zastępczo można użyć Malwarebytes' Anti-Malware

Windows Worms Doors Cleaner (WWDC) jest programem, służącym do zamykania portów i usług, przez które często przedostają się robaki. Nie trzeba już męczyć się edycją rejestru, czy innymi bardziej skomplikowanym narzędziami.
Jeśli po uruchomieniu WWDC widnieje jakiś czerwony krzyżyk, to zmieniamy go na zielony, tak jak poniżej:

[obrazek nie jest już dostępny]

Następnie komputer powinien uruchomić się ponownie. Porty, przez które przedostają się robaki powinny już być zamknięte (wszystkie znaczki zielone).

Czasem występują problemy z zamknięciem NetBIOSu, dlatego może on zostać ewentualnie na żółto.

Zamknięcie portów nie ma wpływu na przeglądanie stron WWW ani działanie programów P2P

Uwaga!!!
W systemie Windows Vista / Windows 7 proszę nie wyłączać DCOM (port 135). Jego wyłączenie blokuje niektóre usługi windows takie jak Raport kondycji systemu i Harmonogram zadań. Proszę poczytać: [strona nie jest już dostępna]

[mateo8898]

Gmer - jedno z najlepszych narzędzi do wykrywania i usuwania rootkitów.

Program działa w systemie Windows NT/W2K/XP/Vista/7/8 (i tu nadeszła zmiana, bo w końcu wspiera systemy 32-bit oraz 64-bit)

UWAGA Jeżeli posiadamy oprogramowanie emulujące napędy takie jak Alkohol, Daemon Tools, AstroBurn itp. przed uruchomieniem narzędzia należy koniecznie zapoznać się z tym tematem.

Uruchamiamy program poprzez dwuklik na tą ikonę:
[obrazek nie jest już dostępny]

Wygląda tak:
[obrazek nie jest już dostępny]

Jeśli chcemy wykonać log wybieramy zakładkę Rootkit/Malware, a następnie szukaj, zawartość kopiujemy i wklejamy na forum.

To jest tylko krótki poradnik dot. tworzenia loga, jeśli ktoś chce poznać inne funkcje tego programu zapraszam na tą stronę.

Ostatnio edytowany przez mateo8898 23 Sty 2013, 17:43, edytowano w sumie 2 razy

Flash Disinfector - Mini narzędzie do czyszczenia infekcji z pendrive oraz dysków twardych.

Podłączamy urządzenia przenośne, uruchamiamy program dwuklikiem

Rozpocznie się proces usuwania, na kilka sekund zniknie nam pulpit

Po ukończeniu skanowania pojawi się stosowny komunikat mówiący nam o tym że operacja została zakończona

Kaspersky Virus Removal Tool - Bardzo pomocne narzędzie do usuwania:
1. Rootkita "BAGLE"
2. Nowej wersji "VUNDO"
3. Infekcji "ntos.exe"

Po zainstalowaniu programu, uruchom go.
[obrazek nie jest już dostępny]

Kliknij: Scan

Skanowanie potrwa kilkanaście godzin!

Po zakończeniu skanowania kliknij "Reports" oraz "Save to file" z zapisanego raportu wklej tylko górną część - do napisu "Events"

Uwaga: by program dało się odinstalować należy: w uruchomionym skanie >>> zakładka Settings >>> Change settings >>> odznaczyć opcję Enable self-defence.

System Repair Engineer - program służy do naprawy systemu, a także można wykonać nim loga, potrafi wykryć ukryte procesy.

Program ściągamy na dysk, rozpakowujemy i uruchamiamy.
[obrazek nie jest już dostępny]


Przedstawię po krótce ciekawsze możliwości programu:
W tej zakładce możemy zoptymalizować nasz autostart
[obrazek nie jest już dostępny]

W tej zakładce możemy naprawiać rozszerzenia które są uszkodzone
[obrazek nie jest już dostępny]

Tutaj będziemy robić loga, proszę zaznaczyć ptaszkiem tam gdzie jest wykrzyknik i....naciskacie "Scan"
[obrazek nie jest już dostępny]

Proces skanowania w toku
[obrazek nie jest już dostępny]

Na koniec skanowania pojawi się komunikat jak poniżej:
[obrazek nie jest już dostępny]

klikamy "Save Reports", log podajemy na forum

[mateo8898]

OTL – jest to nieingerencyjne narzędzie służące do sporządzania szczegółowych logów danego komputera. Raport zawiera informacje na temat charakterystycznych lokalizacji systemowych, które są potrzebne przede wszystkim przy usuwaniu infekcji.

(Narzędzie przestarzałe, obecnie nie stosujemy)

Pobieramy stąd OTL
Alternatywne wersje w razie problemów z uruchomieniem: OTL.com, OTL.scr

Po pobraniu uruchamiamy go dwuklikiem (w Windows Vista/Windows 7/Windows 8 z prawokliku wybieramy Uruchom jako administrator)

[obrazek nie jest już dostępny]

Okno programu wygląda następująco:

[obrazek nie jest już dostępny]
Przed przystąpieniem do tworzenia loga należy zaznaczyć odpowiednie opcje jak na poniższym obrazku:

[obrazek nie jest już dostępny]

Następnym krokiem jest uruchomienie skanowania przez kliknięcie na Skanuj, po czym cierpliwie czekamy na utworzenie logów OTL.txt oraz Extras.txt, których zawartość podajemy na forum. Logi wklejamy na wklej.eu, a w poście podajemy tylko link.

Może się zdarzyć, że zostaniemy poproszeni o wprowadzenie skryptu. W tym celu uruchamiamy OTL i w dolnym białym oknie Własne opcje skanowania/skrypt

[obrazek nie jest już dostępny]

wklejamy podany skrypt, a następnie klikamy Wykonaj Skrypt. Po wykonaniu pojawi się log, który podajemy na forum.

Ostatnio edytowany przez mateo8898 07 Sty 2010, 18:52, edytowano w sumie 2 razy

RSIT – kolejne nieingerencyjne narzędzie do tworzenia logów.

(Narzędzie przestarzałe, obecnie nie stosujemy)

Jego obsługa jest bardzo prosta. Po uruchomieniu zobaczymy okno programu:

[obrazek nie jest już dostępny]

Klikamy Continue. Rozpocznie się skanowanie:

[obrazek nie jest już dostępny]

Po chwili zostaną wygenerowane logi log.txt oraz info.txt, które podajemy na forum. Możemy je także znaleźć w folderze C:\rsit

Logi wklejamy na wklej.eu, a w poście podajemy tylko link.

Defogger - niewielkie narzędzie do tymczasowego wyłączania sterowników oprogramowania wirtualnych napędów (Alkohol, Daemon Tools, AstroBurn itp). Jeśli posiadamy tego typu oprogramowanie należy go koniecznie użyć przed uruchomieniem narzędzi takich jak GMER oraz ComboFix.

Po uruchomieniu (Windows Vista / Windows 7 z prawokliku wybieramy Uruchom jako administrator) zobaczymy takie okienko:
[obrazek nie jest już dostępny]

Klikamy Disable. Padnie prośba o potwierdzenie:

[obrazek nie jest już dostępny]
Wybieramy oczywiście Tak. Następnie pokażą się jeszcze dwa okienka, w których potwierdzamy zakończenie procesu i zatwierdzamy restart komputera, w razie gdy nie nastąpi on automatycznie należy go wykonać samodzielnie.

Jeżeli chcemy z powrotem włączyć sterownik uruchamiamy program i klikamy Re-enable