Searchengines.pl: Kolekcja narzędzi usuwających (!) - Searchengines.pl

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Bootowalne płyty AV Opis skanerów online Mini skanery i szczepionki

Dodatkowe specjalne narzędzia usuwające:

. Uwaga: przeczytać! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ . Ogólniejszego przeznaczenia: ____. ComboFix Proszę nie stosować bez nadzoru! . Usuwanie rootkita TDSS - TDL (aka Alureon / Olmarik): ____. Kaspersky TDSSKiller ____. eSage Lab TDSS remover ____. ESET Win32/Olmarik Fixer ____. Norman TDSS Cleaner . Usuwanie rootkita MBR (aka Mebroot / Sinowal): ____. MBR.EXE ____. HelpAsst Mebroot Fix ____. Od producentów AV (stare wersje) . Usuwanie rootkita Bagle: ____. FindyKill ____. EliBagla ____. Zip_Scan . Infekcja Haxdoor / Goldun / SpyBanker: ____. HaxFix . Infekcja "z pendrive": ____. UsbFix ____. Flash Disinfector ____. Szczepionki na Conficker . Przekierowania w Firefox / Przekierowania Google: ____. GooredFix ____. Kenco . Infekcja Smitfraud / "kodeki": ____. SmitfraudFix ____. RogueFix ____. FixIEDef . Infekcja Vundo: ____. VundoFix . Infekcja Lop / CID: ____. Lop S&D . Usuwanie dodatków reklamowych / niechcianych pasków: ____. AD_Remover ____. Toolbar S&D ____. Multi-Toolbar Remover . Usuwanie innych infekcji: ____. KatesKiller ____. SDFix ____. Gromozon Rootkit Removal Tool ____. Navilog1 . Usuwanie z Winsock LSP: ____. LSP-Fix ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ . Inne pomoce czyszczące: ____. Disk cleaners ____. Registry cleaners ____. Deinstalatory narzędzi ochronnych ____. Usuwanie określonego oprogramowania

Programy kiedyś tu linkowane i usunięte (przestarzałe):
- RogueRemover Free (program zlikwidowany przez producenta na korzyść Malwarebytes Anti-Malware)
- Fixwareout (również usunięty przez autora, do tej infekcji zastosować powyższy)
- Smitrem, Roguescanfix, RVAXO (aktualnie program nierozwijany i niedostępny).

Użytkownik picasso edytował ten post 14 04 2010 - 10:54

Uwaga:

Antywirusy a specjalne narzędzia czyszczące:

Opisywane tu narzędzia usuwające przeważnie mają wbudowany zestaw mini narzędzi składowych o specyficznym charakterze. M.in. w skład większości tych paczek wchodzi:

Command Line Process Utility - Narzędzie process.exe umożliwiające operację zabijania procesów podczas dezynfekcji.
NirCmd - Kolejne konsolowe narzędzie mające m.in. zdolność resetowania komputera.

Antywirusy będą te narzędzia wykrywały jako "Risk Tool", "Potentially unwanted tool" etc. I będą je usuwały albo już podczas ściągania czyścicieli na dysk, albo podczas uruchamiania czyścicieli. Oczywiście dezynfektory nie będą chciały działać bez tych komponentów. Te komponenty są potrzebne i zupełnie niegroźne, ale AV ma ograniczoną zdolność interpretacji, czy zabijacz procesów jest skutkiem zainfekowania, czy też skutkiem potrzeb użytkownika. Wyniki należy absolutnie zignorować i przepuścić pracę narzędzi przez antywirusa. Najlepiej na czas usuwania AV wyłączyć.

Sprzątanie po .... czyścicielach:

Opisywane tu narzędzia w trakcie swoich operacji przekopiowują do C:\WINDOWS i/lub C:\WINDOWS\system32 pewną liczbę wbudowanych w siebie narzędzi. Process.exe i NirCmd.exe już wspomniane wyżej, ale jest tego ciut więcej. Automatycznie te odpadki (zbędne po ukończeniu dezynfekcji) usunie:

1. Narzędziem czyszczącym po dezynfektorach jest OTC. Na Windows Vista należy program zastartować opcją Uruchom jako Administrator:



2. To samo prowadzi funkcja CleanUp wbudowana do OTL / OTM.

3. Trzecim programem jest francuska aplikacja ToolsCleaner2. Jednakże z tego co notuję program ten opuszcza dodatkowe pliki sub-narzędzi z katalogów systemowych.

Użytkownik picasso edytował ten post 06 06 2009 - 08:54

Infekcja Vundo / Virtumonde

Objawy: Częściowo wiele podobnych elementów do infekcji Smitfraud. Przede wszystkim namolne reklamy fałszywych programów do usuwania spyware / czyszczenia systemu / naprawy rejestru. Popupy i dymki w zasobniku systemowym. M.in. może być oferta: ErrorSafe, WinFixer, WinAntiVirus, SystemDoctor, DriveCleaner, Amaena, BestSeller Antivirus. Komputer może wypluwać liczne błędy, a nawet BSOD. Opisy mutacji w Czytelni: klik. Proszę się tym nie sugerować, to stary temat i nie ma tam najnowszych wariantów. Podane tylko poglądowo.

Narzędzie nieaktualizowane.

Narzędzie do usuwania trojana Vundo. Uwzględnia też egzotyczny wariant podczepiający się dla odmiany nie pod winlogon.exe, ale lsass.exe. Obsługa narzędzia jest banalna:

* Z dwukliku uruchamiany VundoFix.exe i wybieramy opcję Scan for Vundo.
* Po ukończeniu skanu, wybieramy opcję Remove Vundo.
* Padną pytania o zatwierdzenie akcji kasacji - zatwierdzany przez Yes.
* Zostaje zabita powłoka (zniknie Pulpit) i rozpocznie się usuwanie.
* Finałowo będzie pytanie o reset komputera - zatwierdzamy OK.

Program tworzy log z akcji w postaci pliku C:\VundoFix.txt (do pokazania na forum), oraz kwarantannę usuwanych obiektów C:\VundoFix Backups (do kasacji, po naszej weryfikacji):





Inne narzędzia (przestarzałe): VirtumundoBeGone, F-vmonde, FixVundo.

Infekcja Gromozon

Dokładny opis tego rootkita w w tym PDF: gromozon.pdf. Tam też jest link do alternatywnego narzędzia Symantec. Jedyne znane w pełni "automatyczne" metody usuwania tego.

Użytkownik picasso edytował ten post 29 11 2009 - 02:01

Infekcja z pendrive

Uwaga: Likwiduje tylko bardzo wąską grupę wariantów. Natomiast narzędzie to ma predyspozycje ochronne.

Mini narzędzie do selektywnego likwidowania określonych infekcji z pendrive - opisanych TUTAJ. Wbrew nazwie nie służy tylko do czyszczenia penów, może czyścić też dyski twarde. Obsługa banalna. Wystarczy uruchomić narzędzie. Pojawi się pierwszy komunikat proszący o podpięcie pendrive (o ile to ma zostać poddane dezynfekcji):



Po zatwierdzeniu rozpocznie się proces usuwania sygnowany zabiciem powłoki explorer.exe. Po ukończeniu pojawi się komunikat Finished a powłoka explorer.exe zostanie przywrócona:



Żadne logi nie są tworzone.

UWAGA: Narzędzie na każdym dysku tworzy ukryty folder autorun.inf z plikiem:



Folder ten ma znaczenie ochronne - "przeszkadza" szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok). Te foldery są niekasowalne ze względu na wadę nazwy pliku siedzącego w folderach autorun.inf. Mimo iż da się to jednak usunąć pewną sztuczką:

Proszę tych folderów nie próbować kasować, mają znaczenie ochronne

Infekcja w MBR dysków

Aktualizacja: cały opis narzędzia MBR.EXE przeniesiony do nowego posta. Tutaj pozostawiam starsze szczepionki adresujące starsze warianty tej infekcji.





Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x950e4c1 size 0x1ca !
copy of MBR has been found in sector 62 !

Po pomyślnej dezynfekcji log będzie mieć postać:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Użytkownik picasso edytował ten post 24 03 2010 - 05:20

SDFix to narzędzie służące do automatycznego usuwania wybranej puli robaków sieciowych, trojanów i rootkitów, zwłaszcza tych trudnych w dezynfekcji. Również są sprawdzane pliki Windows na okoliczność szkodliwej ich modyfikacji: mswsock.dll, winlogon.exe, tcpip.sys, ip6fw.sys, null.sys, beep.sys. I jeśli to możliwe, są przywracane do czystej postaci ze znalezionych kopii systemowych. Dokładniejsze informacje o rodzajach usuwanych obiektów w readme narzędzia. SDFix ma wbudowany moduł anti-rootkit Catchme naszego Gmera oraz automatyczne tworzenie kopii zapasowej rejestru poprzez program ERUNT. Program jest przeznaczony tylko i wyłącznie dla systemów Windows 2000 i XP w wersji 32-bit. Proszę nie uruchamiać tego na Vista i edycjach 64-bit.

Narzędzie nie jest aktualizowane od roku 2008.


Instrukcja obsługi

1. Pobieramy z linka program na dysk, przez dwuklik uruchamiamy:



2. Pojawi się okno depakera proszące o wskazanie ścieżki dostępu, w której SDFix ma zostać "zainstalowany" (czytaj: po prostu rozpakowany). Zostawiamy domyślną lokalizację tzn. główny katalog dysku (np. C:\SDFix).

3. Wynikowo uzyskamy folder SDFixa:



4. Jak uruchomić narzędzie? SDFix posiada dwa różne tryby uruchomienia, które są ściśle uzależnione od tego w jakim trybie jest zastartowany Windows:

• SDFix uruchomiony w trybie awaryjnym: Taki tryb uruchomienia egzekwuje moduł samodezynfekujący wbudowany do SDFix. M.in. są usuwane różne ciężkie rootkity.
  
• SDFix uruchomiony w trybie normalnym: Daje dostęp do alternatywnych metod skanowania oraz pozwala utworzyć specyficzne logi systemowe.

SDFix, niezależnie od tego w jakim trybie startuje, wymaga uprawnień administratora, by działać.



SDFix URUCHOMIONY W TRYBIE AWARYJNYM

Startujemy komputer w trybie awaryjnym = OPIS. W folderze, do którego rozpakowaliśmy SDFix, przez dwuklik uruchamiamy plik RunThis.bat (plik może mieć też nazwę RunThis.cmd):



Otrzymamy dosowe okno z pytaniem o kontynuację działania:

*** SDFix Version 1.240 *** SDFix was developed with the greatest attention to detail, However, Use of this program is at your own discretion. The program is provided "as is" without warranty of any kind. Backups will be made of registry entries and files before they are removed Type Y to proceed or N to Exit....

N anuluje działanie, więc wpisujemy z klawiatury Y i ENTER:

Type Y to proceed or N to Exit....Y

SDFix rozpocznie czyszczenie komputera:

Starting Repairs: Checking Running Processes and Services ... Please Be Patient As This May Take Up To 10 Minutes Restoring Windows Registry Values Restoring Default Hosts File Checking Files Please Wait

Na ekranie pojawią się kolejne fazy sprawdzania oraz dezynfekowania. Podczas tego procesu zostaną zabite procesy powłoki (zniknie Pulpit). Nic nie robić, tylko czekać cierpliwie, aż SDFix zada finałowe pytanie o wciśnięcie dowolnego klawisza, by kontynuować:

The PC will now restart, SDFix will run again after reboot Press any key to continue . . .

Klik w ENTER, co doprowadzi do samoczynnego resetu komputera. Po resecie SDFix jeszcze raz się uruchomi, żeby dokończyć proces usuwania. Windows będzie wyglądał jak "goły" - pusta plansza. Resety mogą być dwa, w zależności od sytuacji. Pierwszy reset - i prośba wciśnięcie jakiegokolwiek klawisza, by kontynuować:

Complete the uninstallers first Your PC will reboot now Press any key to continue . . .

Kolejny reset, a po nim SDFix finiszuje (hmmm ten "finisz" to może być dość długi). Prawie na końcu uruchomi się jeszcze skan Catchme, co również może trochę potrwać:

Final check Running Catchme, Please Wait...

Zdrowo dodusi na odcinku "Finishing...". Po ukończeniu pracy SDFix powinien wyświetlić napis Finished, zawiadamiający też o skopiowaniu loga do schowka / folderu SDFixa, z prośbą o wciśnięcie jakiegokolwiek klawisza by kontynuować:

Finished! Report.txt has been copied to Clipboard and the SDFix folder (Right click and choose Paste to post logfile back on forums) Press any key to continue . . .

Klik w ENTER. Okno SDFix zamknie się i automatycznie zostanie otworzony w Notatniku log, do pokazania na forum. Log jest na dysku pod postacią pliku report.txt w folderze SDFix:



Jeśli SDFix wykonywał dezynfekcję i usuwał szkodniki, zostanie stworzona jego kwarantanna w postaci extra folderu backups:



Tej kwarantanny należy się pozbyć, ale dopiero wtedy, gdy potwierdzimy to na forum (możliwe pomyłki narzędzia). Pojawia się też folder C:\WINDOWS\ERUNT trzymający kopię rejestru wykonaną przez SDFix (pliki NTUSER.DAT, SAM, SOFTWARE, SYSTEM, DEFAULT, CONFIG).





SDFix URUCHOMIONY W TRYBIE NORMALNYM

Dosłownie i bez kombinacji. Z folderu SDFix przez dwuklik uruchamiamy plik RunThis.bat (plik może mieć też nazwę RunThis.cmd):



Menu wygląda zupełnie inaczej:

To run the SDFix tool please reboot to Safe Mode (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu) (SDFix Requires Administrator Account Privileges) 1. Download/Run a-squared from EMSI Software) 2. Download/Run Norman Malware Cleaner from Norman) 3. Download/Run SAV32CLI from Sophos) 4. Download/Run AVPTool from Kaspersky A. Create System Report B. Create Service/Driver List C. Create Catchme Log D. Export SafeBoot Key H. Add Windows Default Hosts File R. Repair SafeBoot Key U. Download latest version of SDFix E. EXIT (Active Internet Connection Required To Download Files) Type A,B,C,D,R,U,1,2,3,4 or E to Exit....

OPCJE 1-4

Wymagają do swojego działania aktywnego połączenia internetowego. Umożliwiają pobranie na dysk i uruchomienie wybranych skanerów AV / antimalware. W zależności od wersji SDFix, mogą to być różne narzędzia. Na teraz są proponowane cztery: a-squared, Norman Malware Cleaner, Sophos i Kaspersky Removal Tool. Programy te można pobrać też oddzielnie, nie tylko via interfejs SDFix. Wpisanie w oknie z klawiatury danej liczby i kliknięcie w ENTER jest równoznaczne z uruchomieniem danego skanera:

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....2

Rozpocznie się proces pobierania na dysk skanera, a po jego ukończeniu prośba o wciśnięcie jakiegokolwiek klawisza by kontynuować:

Downloading Norman Malware Cleaner File Downloader - Version 1.01 (build 7.4) Downloads a file from a HTTP or a FTP server. Copyright © 2004, Noel Danjou Server: download.norman.no Port: 80 Protocol: HTTP Norman_Malware_Cleaner.exe: ......4766536 bytes Done. Press any key to continue . . .

Klikamy w ENTER i otrzymamy finałowe zawiadomienie o zamykaniu SDFix z ponowną prośbą o wciśnięcie jakiegokolwiek klawisza by kontynuować:

SDFix will now exit and Norman Malware Cleaner will start Please Be Patient as the tool may take afew seconds to open... Scan results will save to 'Desktop\NFix_DATE_TIME.log' Press any key to continue . . .

Klikamy w ENTER. SDFix samoczynnie się zamyka i startuje już właściwy skaner.



OPCJE A-D

Umożliwiają utworzenie specjalnych raportów systemowych. Opcja A tworzy ogólny log z całego systemu, opcja B tworzy listę usług + sterowników (odpowiednik loga z modułu Usługi w Gmerze, ale dokładniejszy), opcja C robi log z Catchme. Natomiast opcja D umożliwia wyeksportowanie z rejestru kopii klucza SafeBoot (trybu awaryjnego). Wpisanie w oknie z klawiatury danej litery i kliknięcie w ENTER jest równoznaczne z uruchomieniem konkretnej opcji np.:

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....A

W przypadku wprowadzania opcji A-C (czyli logi) dostaniemy "bezmyślny" ekran pouczający nas, by czekać cierpliwie, bo właśnie się tworzą logi:

Creating List, Please Wait... Please Be Patient As This Scan May Take Up To 5 Minutes _

Teoretycznie może to trwać do 5 minut, ale różnie to może być. Zwłaszcza log z opcji tworzenia raportu całego systemu będzie wyczerpujący. Wynikowo program samoczynnie otworzy w Notatniku dany log (do pokazania na forum). Logi te są zapisane w folderze SDFix:




OPCJE H-R

Te dwie szczególne funkcje prowadzą wybrane naprawy systemowe: H (przywracanie domyślnego pliku HOSTS Windows) i R (odtwarzanie skasowanego np. przez rootkita Bagle klucza trybu awaryjnego SafeBoot). Wpisanie w oknie z klawiatury danej litery i kliknięcie w ENTER jest równoznaczne z uruchomieniem konkretnej opcji np.:

Type A,B,C,D,R,U,1,2,3,4 or E to Exit....H

Dostaniemy ekran zawiadamiający o przeprowadzeniu akcji i zbackupowaniu uprzedniego pliku HOSTS:

Saving backup of existing hosts file to: C:\SDFix\HOSTS.BAK Restoring Windows default Hosts file Note: If any protective Hosts files exist such as MVPS/HP hosts or Spybots Immunizer feature, they should be reapplied after using this option Press any key to continue . . .

Problemy z użytkowaniem

Skasowany tryb awaryjny (np. na skutek aktywności rootkita Bagle):

Start >>> Uruchom >>> wklejamy komendę (stosownie do posiadanego systemu operacyjnego):

Windows XP SP3:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_WindowsXP_SP3.reg

Windows XP SP2:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_WindowsXP_SP2.reg

Windows 2000 SP4:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_Windows2000_SP4.reg

"The command prompt has been disabled by your administrator. Press any key to continue . . ."

Start >>> Uruchom >>> wklejamy jedną z poniższych komend:

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

lub:

rundll32 setupapi,InstallHinfSection DefaultInstall 128 %systemdrive%\SDFix\apps\Enable_Command_Prompt.inf

Uruchamiamy SDFix ponownie.

Program nie uruchamia się

Start >>> Uruchom >>> wklejamy komendę:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Reset komputera. Uruchamiamy SDFix ponownie. Jeśli nadal nie startuje, na sprawdzenie jeszcze jedna rzecz:

Panel sterowania >>> System >>> Zaawansowane >>> Zmienne środowiskowe >>> sekcja System

Powinna być tam zlokalizowana zmienna o nazwie ComSpec kierująca do X:\WINDOWS\system32\cmd.exe (gdzie X = literka na której "stoi" wasz Windows):



Jeśli to co ujrzycie, nie odpowiada powyższemu schematowi, należy podświetlić ComSpec, kliknąć Edytuj i skorygować ścieżkę wpisując tam %SystemRoot%\system32\cmd.exe. Jeśli w ogóle nie ma takiej wartości, należy ją utworzyć opcją Nowy.

Niechciane paski narzędziowe

Narzędzie przeznaczone do automatycznego usuwania określonych pasków narzędziowych z przeglądarki Internet Explorer. W skład usuwanych toolbarów wchodzą m.in. Crawler, Dealio, DAEMON Tools Toolbar, Burn4Free_Toolbar, Ask Toolbar, AskBar / AskBarDis, Accoona, WhenUSave, Starware, MyWebSearch, MyGlobalSearch, Multi_Media, Torrent Search, ShopperReports, Seekmo, Zango, Online_TV_toolbar. Jest tego znacznie więcej (do oglądnięcia changelog narzędzia). Należy zaznaczyć, że narzędzie nie usuwa wszystkich możliwości świata, ma selektywny smak na paski, i w razie problemów należy zgłosić się na forum z odpowiednimi logami.


OBSŁUGA PROGRAMU:

1. Ściągnięty plik uruchamiamy przez dwuklik. Vista: z prawokliku opcją Uruchom jako Administrator.



2. Pojawi się konsolowe okno z wyborem języka komunikacyjnego. Z klawiatury wpisać E i ENTER:

.  >_

3. Następnie otrzymamy komunikat ostrzeżeniowy do zatwierdzenia:



4. Zostanie wywołane właściwe okno adresujące operacje z paskami. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:

Type your choice then press "Enter" to validate :_

Narzędzie tworzy raport (%systemdrive%\TB.txt) oraz kopie zapasowe (%SystemDrive%\ToolBar SD\Backup-TB).






OPCJA 1 (WYSZUKIWANIE PASKÓW)

Funkcja nieingerencyjna składająca tylko raport sytuacyjny. Na ekranie wyboru z klawiatury wpisujemy 1 i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :1

Rozpocznie się sprawdzanie systemu. W tej fazie narzędzie wyszukuje pliki / foldery / usługi pasków narzędziowych, listuje adresy zgromadzone w kluczach HKLM i HKCU\..\Internet Explorer\Main, skanuje rozszerzenia (tylko na XP), sprawdza pod kątem innych infekcji, i rzuca wszystko do raportu tekstowego.

Searching for Files - Folders ... XXXToolbar

Finałowo otrzymamy komunikat o ukończeniu operacji skanowania:

Scan completed at 7:28:33,71

Narzędzie automatycznie otworzy w Notatniku log.



OPCJA 2 (USUWANIE PASKÓW)

Funkcja czyszcząca. Na ekranie wyboru z klawiatury wpisujemy liczbę 2 i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :2

Narzędzie prowadzi w tej fazie usuwanie plików / folderów / usług pasków, czyszczenie rejestru, usuwanie rozszerzeń (tylko XP), a także tworzy raport i kopie zapasowe.

Użytkownik picasso edytował ten post 28 03 2009 - 08:20

Infekcja Lop / CID / Trojan Swizzor

Narzędzie przeznaczone do usuwania infekcji Lop. Typowo możemy ją złapać instalując: dodatek Messenger Plus (sponsorzy w instalotorze to właśnie to), fałszywy archiwizer WinZix, NetPumper, różne "torrent-dodatki" (BitDownload, BitGrabber, BitRoll, Get-Torrent, TorrentQ, TorrentSpeeder, BitTorrent Fastest Tool), czy podrabiane odtwarzacze (3wPlayer, DomPlayer, DivoPlayer, KitPlayer, GalaPlayer). Lop S&D dodatkowo posiada możliwość wyszukiwania innych infekcji i plasowania informacji o tym w swoich wynikowych logach. Integruje w sobie Catchme Gmera. Aplikacja wspiera Windows Vista, wymogiem jest tryb administracyjny.



OBSŁUGA PROGRAMU:

1. Ściągnięty plik uruchamiamy przez dwuklik. Vista: z prawokliku opcją Uruchom jako Administrator.



2. Pojawi się konsolowe okno z wyborem języka komunikacyjnego. Z klawiatury wpisać E i ENTER:

.  >_

3. Następnie otrzymamy komunikat ostrzeżeniowy do zatwierdzenia:



4. Zostanie wywołane właściwe okno adresujące akcje z infekcją. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:

Type your choice then press "Enter" to validate :_

Narzędzie tworzy raport (%systemdrive%\LopR.txt ) oraz kopie zapasowe (%SystemDrive%\Lop SD\Backup-Lop).






OPCJA 1 (WYSZUKIWANIE INFEKCJI)

Funkcja "tylko-do-odczytu" umożliwiająca przeskanowanie komputera bez żadnej ingerencji i zaprezentowanie raportu. Na ekranie wyboru z klawiatury wpisujemy 1 i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :1

Rozpocznie się sprawdzanie systemu. W tej fazie narzędzie listuje foldery (%AppData%(s) %ProgramFiles% %CommonProgramFiles% %ProgramData% ( Vista ) i zaplanowane zadania (%Windir%\Tasks), wyszukuje pliki i foldery Lop, sprawdza plik HOSTS, wyszukuje wpisy rejestru, uruchamia skan Catchme, przeszukuje pod kątem innych infekcji, i rzuca wszystko do raportu tekstowego.

Searching for Lop Files - Folders -- cdrom 1

Finałowo otrzymamy komunikat o ukończeniu operacji skanowania:

Scan completed at 10:48:32

Narzędzie automatycznie otworzy w Notatniku log.



OPCJE 2 i 3 (AUTO-DEZYNFEKCJA)

Te funkcje są przeznaczone do czyszczenia komputera z infekcji Lop. Program daje dwie możliwości: 2 (uwzględnia naprawę pliku HOSTS) i 3 (pomija naprawę pliku HOSTS). Na ekranie wyboru z klawiatury wpisujemy wybraną liczbę i zatwierdzamy przez ENTER:

Type your choice then press "Enter" to validate :2

Narzędzie prowadzi w tej fazie usuwanie plików i folderów Lop, zapisów rejestru, regenerację pliku HOST Windows (ten krok jest pomijany przy wyborze opcji 3), a także tworzy raport i kopie zapasowe.

!! DO NOT CLOSE THIS WINDOW !! Fixing in progress ... ... SkinCrafterDll.dll

Na koniec dostaniemy zawiadomienie o ukończeniu procesu:

Scan completed at 14:53:42

I otworzy się raport w Notatniku.



OPCJA 4 (RĘCZNE USUWANIE PRZEZ SKRYPT)

Funkcja umożliwiająca ręczne wskazanie listy folderów / plików na usunięcie. To implikuje dużą znajomość tematu lub otrzymanie konkretnych instrukcji od nas z forum.

Type your choice then press "Enter" to validate :4

Otworzy się okno Notatnika, w którym wklejamy listę plików / folderów do usuwania:



Zamykamy okno Notatnika i na prośbę o zapis pliku odpowiadamy twierdząco. Uruchomi się konsola:

Please Wait ... LopScript

Dalszy ciąg wygląda tak samo jak w przypadku automatycznej opcji dezynfekującej.



DEINSTALACJA PROGRAMU

Należy wejść do folderu C:\Lop S&D i wywołać stamtąd plik uninstal.exe.

Użytkownik picasso edytował ten post 28 03 2009 - 08:49

Usuwanie określonych komponentów adware

.... opis w budowie ....


OBSŁUGA PROGRAMU:

1. Narzędzie instalujemy jak normalny program. Instalator jest po francusku.

2. Pojawi się pierwsze z dosowych okien z "Proszę czekać":

Veuillez patienter ... 100% _

W tym punkcie ujawnia się klauzula użytkowa programu po francusku, którą należy zatwierdzić.

3. Następną fazą jest pojawienie się menu programowego z wyborem akcji:

Choisissez et appuyez sur entrée pour continuer ('A','B','C','D') :_

Wpisanie określonego znaku z klawiatury uruchomi wybrane zadanie: A (tworzenie raportu), B (dezynfekcja), C (deinstalacja narzędzia), D (opuszczenie narzędzia).

Program bardzo podobny do SmitfraudFix i też często aktualizowany. Na stronie autora jest lista adresowanych infekcji. Przeznaczony tylko dla Windows XP. Instrukcje uruchomienia:


OBSŁUGA NARZĘDZIA:

1. Ze strony programu pobieramy plik *.bat. Nazwy pliku będą różne zgodnie z postępem aktualizowania programu - narzędzie ma w nazwie stan własnej wersji (np: roguefix_2.241.bat). Firefox / Opera: należy kliknąć prawym i wybrać opcję zapisu na dysk, w przeciwnym przypadku plik bat otworzy się wprost w przeglądarce.



2. Po ściągnięciu pliku na dysk, resetujemy komputer do trybu awaryjnego = OPIS. Z dwukliku plik *.bat uruchamiamy. Zainicjuje się dosowe okno, oczywiście z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować:

Roguefix Removal Tool ©internetinspiration ******************* This tool will check your XP system for files and registry keys belonging to rogue spyware applications and their installing trojans Files detected will be removed Internet Inspiration assumes no liability for damage or loss as a result of running this tool If you do not wish to continue with the dectection/removal process Close this program by clicking on the 'x' top right hand corner of this window Press any key to continue . . .

Klik w ENTER.

3. Rozpocznie się proces skanowania plików i dezynfekcji:

roguefix is searching your system. Please wait .........

W tej fazie narzędzie sprawdza rozmiar pliku beep.sys na okoliczność modyfikacji:

check file size of beep.sys ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ beep.sys has been overwritten Your PC cannot be cleaned unless the file is deleted along with the back up file This will result in you no longer hearing the system beep, you can replace the file by installing a clean one from your windows disk or from the internet. further information and help is available at http://www.interneti...n.co.uk/replace beep.sys.htm Do you wish to delete this file? Select Y or N and press ENTER:

Ta procedura zwraca false positivy i przy zawiadomieniu o "zmienionym rozmiarze" + propozycji kasacji pliku proszę wprowadzić odpowiedź negatywną (i zgłosić się potem na forum). Wpisujemy N i ENTER.

4. W dalszej kolejności narzędzie rozpocznie skan rejestru.

The detection of files is complete checking registry, please wait

Po drodze padną dwie propozycje - resetowania ustawień Pulpitu i stron startowych Internet Explorer. Poczynione tu zmiany nie będą zatwierdzone, dopóki komputer nie zostanie zresetowany po pracy RogueFixa.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Do you want to set your DESKTOP BACKGROUND back to the Windows default settings? These changes will not take effect untill you reboot Press N then ENTER if your desktop background has not changed or you prefer to do it manually Press Y then ENTER to reset

Jeśli mamy zablokowany Pulpit (nie można zmienić tapety), wpisujemy Y i ENTER. Jeśli nie chcemy nic zmieniać, wpisujemy N i ENTER.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Do you want to set your HOMEPAGE back to the Windows default settings? These changes will not take effect untill you reboot Press N then ENTER if your Homepage has not changed or you prefer to do it manually Press Y then ENTER to reset

Podobnie tutaj: wpisanie Y i ENTER zresetuje nam stronę startową IE. Wpisanie N opuści ten krok.

5. Finalnie narzędzie wyświetli ekran zawiadamiający o utworzeniu loga, z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować:

########################################################## This removal tool has completed its functions. A logfile of any files found and deleted has been made. You will find roguefix.txt on your desktop Restart your computer in normal mode Complete the cleaning process as instructed at RogueFix homepage Pressing any key will close this program ########################################################## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Press any key to continue . . .

Klikamy w ENTER. Narzędzie się zamknie, a my możemy już zresetować komputer do trybu normalnego. Log jest na Pulpicie, w postaci pliku roguefix.txt. Do pokazania na forum.




UWAGA:

Narzędzie, podobnie jak SmitfraudFix, ma wbudowaną detekcję hijackera Winsock - plików typu lafX.dll (gdzie X = numery, np. laf1.dll, laf2.dll...). Jeśli taka infekcja zostanie wykryta, narzędzie o tym zawiadomi:

******************* WARNING ****************** "C:\WINDOWS\system32\laf2.dll" IS PRESENT ON YOUR SYSTEM To prevent damage or disruption to your internet connection you must run LSP.fix If you have already downloaded LSPfix to your desktop, press any key to continue If you have downloaded LSPfix to any other location open the program manually and press any key for the instructions. If you have not downloaded LSPfix, DO NOT RUN ROGUEFIX YET Restart your PC in normal mode and visit homepage of LSPFix to obtain a copy Press any key to continue . . .

Koniecznym krokiem tej fazy jest operacja przez narzędzie LSP-Fix. RogueFix daje trzy scenariusze:

• Jeśli jeszcze nie pobrano na dysk LSPFix, nie wolno kontynuować, tylko najpierw go ściągnąć.
  
• Jeśli LSPFix jest już zapisany na Pulpicie, można wcisnąć jakikolwiek klawisz, by kontynuować.
  
• Jeśli LSPFix jest zapisany w innej lokalizacji niż Pulpit, należy go uruchomić, i dopiero wtedy kliknąć jakikolwiek klawisz, by kontynuować.

Pojawi się kolejny ekran, tym razem z instrukcjami jak skorzystać z LSP-Fix:

IMPORTANT - FOLLOW THESE INSTRUCTIONS CAREFULLY ............................................................. If LSPfix has not opened, go to the location you downloaded it and open the program. ........................................................ If laf2.dll (where 2 is a number) appears in the left panel of LSPFix - 1) Click on the entry then on the ">>" button to move it into the right panel DO NOT SELECT ANY OTHER ENTRY FOR REMOVAL 2) Click the box marked "iKnow what I'm doing" 3) Click finish 4) Click 'yes' to any message needing confirmation to remove. If laf2.dll (where 2 is a number) already appears in the right panel of LSPFix - 1) Click the box marked "iKnow what I'm doing" 2) Click finish 3) Click 'yes' to any message needing confirmation to remove. Close LSPfix to continue.

To macie opisane w linku LSPFix, do którego kieruję. Czyli za pomocą LSP-Fix należy usunąć pokazany przez RogueFix plik (tylko i wyłącznie ten!). I dopiero jak ukończymy tę operację, można kontynuować z RogueFixem. Kontynuacja oznacza zamknięcie okna LSP-Fix.

Użytkownik picasso edytował ten post 28 03 2009 - 02:30

Czyściciel wycinkowy usuwający z systemu: AntiSpyPro, Antivirus 2010, Files Secure, IE-Security, IE AntiSpyware, IE AntiVirus, IEDefender, Malware Bell, Malware Protector 2008, RichVideoCodec, Total Secure 2009, WinDefender 2009. Eliminuje fałszywe alterty zagrożeniowe generowane przez Trojan-Downloader.Win32.Delf, również usuwając i tego trojana.


OBSŁUGA NARZĘDZIA:

1. Pobrany plik uruchamiamy przez dwuklik:



2. Pierwszym ekranem będzie zatwierdzenie licencji.

3. Następnie ujawni się okno inicjujące skanowanie. Należy kliknąć w Scan. W tym momencie narzędzie będzie tworzyć kopie bezpieczeństwa, czyli punkt Przywracania systemu oraz kopię rejestru przy udziale narzędzia ERUNT.



4. Następnie zostaną zabite wszelkie instancje Internet Explorer oraz powłoka Windows Explorer (zniknie Pulpit / Pasek zadań), a na pasie postępu możemy obserwować postęp naprawczy:



5. Finałowo narzędzie obwieści ukończenie operacji, zostanie przywrócony normalny wygląd Pulpitu.



Na Pulpicie pojawi się log narzędzia. Do pokazania na forum.

Navilog1

Platforma: Windows 2000/XP/Vista

http://pagesperso-or...ioso/index2.htm

.... opis w budowie.....

Użytkownik picasso edytował ten post 28 03 2009 - 13:15

Conficker aka Downadup / Confi / Kido

Seria szczepionek adresujących ostatnią plagę zarażniową tym robakiem. M.in. jedna z dróg to media przenośne. Microsoft spłodził nawet cały artykuł w swojej bazie i powstała też strona poświęcona temu zjawisku:

Microsoft: KB962007
Conficker Working Group

Szczepionki

• BDTools (wersje domowa + sieciowa)
  
• EConfickerRemover
  
• KKiller + klwk.com
  
• Stinger for W32/Conficker
  
• Conficker Removal Tool
  
• Conficker/Downadup Removal Tool
  
• W32.Downadup Removal Tool
  
• SysClean-WORM_DOWNAD
  
• v3conficker

[/list]

Usuwanie jest również załączone w zbiorczych Trend Micro Sysclean (z najnowszym patternem), F-Secure Easy Clean, Norman Cleaner, Microsoft Malicious Removal Tool. Wszystko linkowane tutaj: klik.
Pod kątem rozbudowanych sieci korporacyjnych = audyt online Panda Malware Radar.

Pobieranie szczepionek do wykonania spod dowolnego czystego komputera, gdyż oznaką działania tego robaka jest niemoc wejścia na strony producentów oprogramowania AV.

Użytkownik picasso edytował ten post 29 11 2009 - 01:57

Przekierowania wyszukiwarki Firefox

Narzędzie do usuwania infekcji implementowanej do Firefoxa, chrzczonej kryptonimem "goored" (od jednego z przekierowań). Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki: Google, Yahoo, MSN, AOL i Ask. Wyniki wyszukiwania są przekierowywane przez dziwne strony.
Zasada infekcji: jest montowana ukryta wtyczka Firefox (niewidoczna na liście wtyczek), która monitoruje pasek adresów pod kątem kluczowych typu "google" etc, a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki. Następuje monitoring wyników wyszukiwania, które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych.
Znaki infekcji: alternatywne przeglądarki (IE / Opera etc.) nie cierpią na ten sam defekt, po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki, choć nic nie było ręcznie montowane. Podczas używania wyszukiwarek na pasku statusu są widoczne różne "dziwne" adresy np. v1.adwarefeed.com, clickfraudmanager, google.goored, goougly.com, zfsearch.com, msnooze.com....



Aktualizacja: Usuwam stąd nieaktualny opis narzędzia. Teraz GooredFix działa na zasadzie automatu, nie ma już wyboru opcji między skanowaniem "tylko do odczytu" a wyborem dezynfekcji.




OBSŁUGA NARZĘDZIA:

1. Ściągnięty plik uruchamiamy przez dwuklik.



2. Narzędzie zwróci adnotację tyczącą zamknięcia przeglądarki Firefox. Pooprosi także o zatwierdzenie procesu.

3. Zostanie wykonany automatyczny skan i usuwanie. Zostanie wygenerowany na Pulpicie log GooredFix.txt i automatycznie otworzony w Notatniku.


Przykładowy log z czyszczenia:




DEINSTALACJA NARZĘDZIA:

Wystarczy skasować z Pulpitu wykonywalny narzędzia + katalog kopii zapasowych GooredFix Backups. Tylko tyle.

Użytkownik picasso edytował ten post 24 03 2010 - 12:01