Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

INSTRUKCJE:

. Różne instrukcje

____. Czyszczenie folderów Przywracania systemu (Windows Me/XP/Vista/7)
____. Czyszczenie folderów "Temp" i cache przeglądarek
____. Start do trybu awaryjnego
____. Włączenie pokazywania ukrytych plików i rozszerzeń

. Narzędzia do usuwania plików

____. ESET UnDLL - The DLL Remover
____. Pocket Killbox - obsługa narzędzia
____. OTM - obsługa narzędzia
____. Avenger - obsługa narzędzia
____. Instrukcje usuwania strumieni NTFS czyli ADS
____. Inne narzędzia do usuwania plików (LockHunter / FileASSASSIN / Unclocker ...)
____. Pomoce: skanery i specjalne narzędzia usuwające

. Specyficzne sytuacje usuwania z rejestru

____. Kasowanie kluczy rejestru typu NULL (krycie rootkit)
____. Kasowanie kluczy rejestru do których nie ma uprawnień ("Błąd przy usuwaniu klucza")

. Sposoby dezynfekcji z zewnątrz (bez załadowanego systemu)

____. Bootowalne antywirusowe CD
____. LiveCD Windows
____. Recovery Disc Windows Vista / Windows 7
____. Konsola Odzyskiwania Windows 2000/XP/2003

CZYSZCZENIE FOLDERÓW PRZYWRACANIA SYSTEMU:

Ten punkt programu dotyczy tylko i wyłącznie Windows Me / XP / Vista / Windows 7, które posiadają funkcję Przywracania systemu. Windowsy 9x / 2000 / 2003 / 2008 omijają tę instrukcję. Funkcja ta odpowiada za tworzenie kopii systemu w postaci tzw. punktów przywracania. Są one zgromadzone w specjalnych ukrytych folderach:

Windows XP/Vista/7: System Volume Information
Windows Me: _RESTORE

Jeżeli komputer jest zainfekowany, to prawdopodobnie kopia zapasowa szkodnika może być utworzona przez mechanizm Przywracania w folderach System Volume Information. I szkodnik z tej kopii się odtworzy (podczas procesu uruchamiania cofania systemu wstecz za pomocą funkcji Przywracania). Antywirusy mogą w tej kopii wykrywać infekcje i nie potrafić tego wyczyścić, a nawet jeśli to zrobią = ingerencja oprogramowania zabezpieczającego w tych sferach nie jest do końca pożądana, potencjalne skutki to zerwanie ciągłości punktu Przywracania. Dlatego jest obierana inna, bardziej naturalna droga oczyszczania tego typu folderów System Volume Information. Skasowanie zawartości folderów odbywa się za pomocą wyłączenia tej funkcji. Po wyłączeniu można ją ponownie włączyć - wtedy jest tworzony pierwszy punkt przywracania z aktualnego (czystego po dezynfekcji) stanu systemu.

Na forum po pomyślnej dezynfekcji zawsze prosimy o zresetowanie zawartości folderów Przywracania systemu - instrukcje zgodne z platformą:



Windows 7:

Control Panel (Panel sterowania) > System and Security (System i zabezpieczenia) > System > System Protection (Ochrona systemu)

Pojawi się lista dysków. Podświetlamy po kolei dyski i wybieramy opcję Configure / Konfiguruj. Otworzy się nowe okno, na spodzie w sekcji "Delete all restore points ..." / "Usuń wszystkie punkty przywracania ..." wybieramy opcję Delete / Usuń.

Windows Vista:

Control Panel (Panel sterowania) > System and Maintenance (System i konserwacja) > System > System Protection (Ochrona systemu)

Wymagane są uprawnienia administracyjne i należy zatwierdzić dialog UAC. Pojawi się lista dysków. Odznaczamy w boxach dyski objęte Przywracaniem systemu i zatwierdzamy dialog wyłączania Przywracania. Po chwili ponownie ptaszkujemy uprzednio odznaczone dyski, by włączyć ochronę. Nie polecam pozostawiać trwale wyłączone Przywracania na systemie Vista - to cenna funkcja ratunkowa na tej platformie.

Windows XP:

Control Panel (Panel sterowania) > Wydajność i konserwacja > System > System Restore (Przywracanie systemu)

Zaznaczamy opcję Turn off System Restore on all drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzmy wszystkie zmiany. Po chwili można tę funkcję ponownie włączyć. Decyzja należy jednak do użytkownika - więcej w "tweakerskim" temacie tutaj: KLIK.

Windows Me:

Control panel (Panel Sterowania) >>> System >>> Performance (Wydajność)

Klikasz na File system (System plików) i w nowym okienku, które wyskoczy przechodzisz do zakładki Troubleshooting (Rozwiązywanie problemów). Tam zaznaczasz opcję Disable System Restore (Wyłącz przywracanie systemu).

USUWANIE PLIKÓW Z "Temp" i cache przeglądarek

TFC - Temp File Cleaner by OldTimer

Platforma: Windows 32-bit i 64-bit
Licencja: freeware

Pobierz: TFC.exe

TFC (Temp File Cleaner) - Miniaturowy sprzątacz finalizujący proces dezynfekcji. Jego przeznaczeniem jest przeczyszczenie lokalizacji tymczasowych. Obsługuje czyszczenie: folderów Temp użytkowników (wszystkich kont, w tym systemowych Administrator / LocalService / NetworkService / All Users), folderu Temp systemu (%systemroot%\temp), luźnych plików *.tmp w głównych lokalizacjach (%systemdrive% / %systemroot% / system32) oraz cache wszystkich głównych przeglądarek (Internet Explorer / Firefox / Chrome / Safari) i Java.
Narzędzie przeprowadza proces w trybie zbiorczym i całkowicie automatycznym. Przed uruchomieniem procesu przez buttonik Start należy zapisać wszystko nad czym pracujemy, ponieważ proces może wymagać ukończenia przez restart komputera. W trakcie czyszczenia są pokazywane skanowane lokalizacje wraz z liczbą bajtów z nich usuniętą oraz sumaryczne podliczenie usuniętej całości w MB.

NIEWIDOCZNE PLIKI W "Downloaded Program Files"

Antywirusy mogą znajdować szkodliwe pliki w folderze C:\WINDOWS\Downloaded Program Files jednakże po przejściu do tego folderu nie widać tych plików. By pliki stały się widoczne należy podjąć specjalną akcję wyrejestrowania systemowego pliku occache.dll (Podgląd formantów obiektowych):

1. Wyrejestrować plik: Start >>> Uruchom >>> regsvr32 /u occache.dll

2. Zrestartować komputer do trybu awaryjnego. Ponownie zresetować do normalnego.

3. Przejść do C:\WINDOWS\Downloaded Program Files i skasować już widoczny szkodliwy plik.

4. Zarejestrować ponownie plik: Start >>> Uruchom >>> regsvr32 occache.dll

START W TRYBIE AWARYJNYM (Safe Mode):

Metody startu do trybu awaryjnego:

1. Przez klawisz F8 (lub F5):

W momencie kiedy komputer startuje, w fazie czarnego ekranu tupiemy nieustannie i szybko w klawisz F8. Na starszych komputerach może być przypisany inny klawisz. Np. jeśli komuś po wciśnięciu F8 wyskoczy wybór urządzenia bootującego, to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Strzelanie w klawisz ma się odbyć we właściwym momencie: na czarnym ekranie, ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). Adnotacja dla klawiatur "programowanych" przez producentów - jeżeli klawisze funkcyjne mają podwójne oznakowania, realizują główną funkcję + alternatywną zaprogramowaną przez producenta. Za przełączanie zachowania odpowiada klawisz F-lock, i musi on być zapalony, by klawisz F8 działał w pożądany sposób. W takiej sytuacji należy przy starcie komputera szybko wywołać ten klawisz, a następnie F8.



2. Przez narzędzie systemowe MSCONFIG.

Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść, jeśli w systemie jest infekcja blokująca narzędzie msconfig. Poza tym bardzo istotna uwaga:

UWAGA: jeśli nie startuje awaryjny metodą F8, a jest podejrzenie infekcji, jest mocno niewskazane próbować startować do awaryjnego przez msconfig. Przy rootkicie Bagle kasującym w całości tryb awaryjny ma to krytyczne skutki w niemożności wejścia w ogóle do Windows!

(Patrz opis rootkita Bagle > KLIK)

Windows 7:

1. Metoda przez klawisz F8. Po wybraniu metody przez F8 pojawi się menu startowe Advanced Boot Options / Zaawansowane opcje rozruchu. Domyślnie podświetloną pozycją jest Repair Your Computer / Napraw komputer. Przy pomocy strzałki z klawiatury zaznaczamy odpowiednią pozycję i ENTER:



Pojawi się ekran ładowania plików trybu awaryjnego:



W dalszej kolejności na użytkownika oczekuje ekran logowania i wreszcie Pulpit trybu awaryjnego, na którym automatycznie otwiera się pomoc systemu Windows:




2. Lub użycie narzędzia MSCONFIG:

Start > w polu szukania wpisz msconfig > w karcie Rozruch/ Boot zaznacz Bezpieczny rozruch / Safe boot:



Potwierdzenie opcji sprowokuje ujawnienie się komunikatu, na którym wybieramy Uruchom ponownie / Restart:



Metoda przez msconfig omija etap pokazywania menu startowego i przechodzi bezpośrednio do ładowania trybu awaryjnego. A dalej jak na obrazkach.






Windows Vista:

1. Metoda przez klawisz F8.

2. Lub użycie narzędzia MSCONFIG:

Start > w polu szukania wpisz msconfig > w karcie Rozruch/ Boot zaznacz Bezpieczny rozruch / Safe boot:



Potwierdzenie opcji sprowokuje ujawnienie się komunikatu, na którym wybieramy Uruchom ponownie / Restart:





Windows XP:

1. Metoda przez klawisz F8.

2. Lub użycie narzędzia MSCONFIG:

Start > Uruchom > msconfig > w karcie BOOT.INI zaznacz /SAFEBOOT:



OK i na prośbę o reset kompa potwierdź. Mam tu uwagę co do podparametrów /SAFEBOOT, które można dobrać inaczej:

/minimal = zaznaczone domyślnie i tak zostawiacie, jest to tryb awaryjny BEZ INTERNETU
/network = jest to tryb awaryjny Z INTERNETEM
/alternateshell = jest to tryb awaryjny z linią komend

Ekran przechodzenia w tryb awaryjny wygląda następująco:



Pojawi się wybór kont:



I tu kluczowa uwaga: zawsze ukażą się przynajmniej dwa konta: użytkownika i Administrator. Należy zalogować się na konto własne użytkownika.



Windows 2000:

1. Domyślnie jedyna metoda to F8, bo Windows 2000 nie posiada MSCONFIG.

2. Narzędzie MSCONFIG może się pojawić na kompie z 2000, gdyż niektórzy dostarczyciele kompów mogą to dodatkowo umieścić (w zależności od widzimisie wersja z 98 lub XP). Możecie też doinstalować: msconfig-w2k.exe. Narzędzie rozpakowujecie i umieszczacie w C:\WINNT\system32.

Jak przejść do trybu awaryjnego dzięki msconfig, jak wyglądają ekrany przechodzenia w tryb awaryjny, patrz na opis Windows XP, gdyż jest to identyczne.



Windows 98/Me:

1. Metoda przez klawisz F8.

2. Lub użycie narzędzia MSCONFIG:

Start >>> Uruchom >>> msconfig >>> w zakładce Ogólne kliknij w Zaawansowane (Advanced):



W nowym oknie zaznacz Włącz menu Autostart (Enable Startup Menu):



OK i OK i na prośbę o reset komputera zgadzasz się na to. Ekran przechodzenia w tryb awaryjny wygląda następująco:



1. Normal (Normalny)
2. Logged (Rejestrowany)
3. Safe mode (Tryb awaryjny) <<<< ten wybieracie
4. Sep-by-Step confirmation (Potwierdzanie krok po kroku)
5. Command prompt only (Tylko wiersze poleceń)
6. Safe mode command Prompt only (Tylko wiersz poleceń trybu awaryjnego)

Po skończeniu działań należy przywrócić ustawienia oryginalne w msconfig czyli odznaczyć opcję "Włącz menu Autostart".

WŁĄCZENIE POKAZYWANIA UKRYTYCH PLIKÓW i ROZSZERZEŃ

Windows 2000/XP/2003

My Computer (Mój komputer) >>> Tools (Narzędzia) >>> Folder Options (Opcje folderów) >>> View (Widok)

Ustawiasz 3 opcje:

Show hidden files and folders / Pokaż ukryte pliki i foldery = zaptaszkować

Hide protected system files / Ukryj chronione pliki systemu operacyjnego = odptaszkować

Hide extensions for known file types / Ukrywaj rozszerzenia znanych plików = odptaszkować

Windows 98

My computer (Mój komputer) >>> View (Widok) >>> Folder options (Opcje folderów) >>> View (Widok)

Ustawiasz dwie opcje:

Show all files / Pokaż wszystkie pliki = zaptaszkować

Hide extensions for known file types / Ukrywaj rozszerzenia znanych plików = odptaszkować

UWAGA:

Jeśli jest prawidłowo odznaczona opcja Ukryj chronione pliki systemu operacyjnego a pomimo tego nie widać folderu system32 to znaczy iż w rejestrze jest nadal wprowadzone ukrywanie więc:

Start >>> Uruchom >>> regedit i przejdź do klucza:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Kliknij podwójnie wartość ShowSupperHidden i SuperHidden i zmień 0 na 1. Czyli ma to wyglądać dokładnie tak:



Po edycji zresetować komputer.

UnDLL ze stajni (włoskiej) NOD32 umożliwia eliminowanie zainfekowanych plików DLL będących składowymi większych infekcji (np. typu Agent.CS czy Virtumonde). UnDLL neutralizuje DLL załadowane w pamięci, wymazuje je oraz likwiduje powiązane z nim wpisy rejestru (uwzględnia zapis BHO / Winlogon Notify / AppInit_DLLs). Aplikacja jest banalna w obsłudze. Należy zamknąć wszystkie otwarte programy + okna i uruchomić program. Wszystko co należy zrobić w programiku, to tylko wskazać ręcznie plik DLL, który ma zostać poddany likwidacji. UnDll rozpocznie przeszukiwanie pamięci na okoliczność procesów związanych z tym DLL, i wykona wszystkie planowane etapy. Może być konieczność finalizacji czyszczenia resetem komputera. Po dezynfekcji do wglądu będzie log z przebiegu akcji.

Linkuję program w dwóch wersjach: tradycyjnej oraz beta. Beta ma inaczej rozwiązaną opcję killowania procesów oraz dodatkowe opcje w menu File. Różnice nie są zbyt wielkie = tam gdzie wersja standard zachowuje się inaczej jest wyszczególnione w opisie).


OPIS OPCJI PROGRAMU:


Combobox




Opcje usuwania






Menu File:



File > Open !KillBox Backups:

Opcja ta służy automatycznemu otwieraniu folderu kopii usuniętych plików przez KillBoxa. Folder ten zawsze jest tworzony w roocie partycji systemowej pod nazwą !KillBox. Czyli C:\!KillBox, D:\!KillBox etc. w zależności na którym dysku jest zamontowany system.



File > Paste from Clipboard:

Opcja służy wklejeniu ze schowka systemowego tekstowej listy ścieżek dostępu do plików, które mają zostać hurtowo usunięte. Podczas wklejania KillBox sprawdza poprawność wprowadzanych ścieżek i obecność plików na dysku a po pomyślnym zweryfikowaniu ładuje listę plików do Combobox. Jeśli KillBox nie potrafił znaleźć pliku na dysku, jego ścieżka dostępu nie jest dodawana do ComboBox! Opcja Paste from Clipboard może być uzupełniona dodatkowymi opcjami zlokalizowanymi w menu Options: Remove Duplicates + Remove Directories + Auto Parse + 8.3 names. Opis tych opcji poniżej.

File > Run as System Task:

Opcja dostępna tylko w wersji beta. Umożliwia uruchomienie Killboxa jako zadanie systemowe to znaczy następuje zmiana uprawnień konta z którego startuje Killbox (do podglądnięcia w Menedżerze zadań). Opcja ta powoduje reset Killboxa w ciągu 5 sekund i jego ponowne uruchomienie w nowej postaci. W naturalnych okolicznościach Killbox uruchamia się jako zadanie użytkownika:



Po użyciu tej opcji Killbox dostanie najwyższe uprawnienia SYSTEM umożliwiające mocniejsze kasacje:



Tryb uruchomienia Killboxa będzie zaznaczony na spodzie jego okna:




File > Logs:

Menu dotyczące zarządzania logami Killboxa zlokalizowanymi w ukrytym folderze C:\!KillBox\Logs w postaci plików kb*.log.



Do wyboru mamy:

File > Logs > Actions History Log:

Opcja służy otwieraniu loga z sesji używania KillBox (od jego otworzenia do zamknięcia, ponownego otwarcia i ponownego zamknięcia .....). Wszystko jest datowane w celu rozpoznania które akcje kiedy miały miejsce i czy użytkownik prawidłowo wykonał zadania. Rozmiar logów jest limitowany do 100kb. Jeśli rozmiar zostanie przekroczony użytkownik dostanie zawiadomienie o tworzeniu nowego świeżego loga. Stare logi zostaną automatycznie przemianowane na nazwy zawierające datę i czas wykonania loga: kb.miesiąc-dzień-czas.log. Nowy log zaś będzie miał w swojej zawartości wskazówkę pod jaką nazwą został zapisany ostatni z poprzednich logów.

File > Logs > Current items Log:

Opcja sprawdzająca. Umożliwia otworzenie Notatnika i podgląd wszystkich ścieżek aktualnie wklejonych w Combobox.

File > Logs > * Start New Log:

Opcja usuwa poprzedni log zastępując go całkowicie świeżym.

File > Cleanup > Delete all Backups:

Opcja porządkowa automatycznie usuwająca kopie zapasowe usuwanych plików oraz stare logi programu. Po użyciu tej opcji pozostanie tylko pusty folder !KillBox wraz z najświeższym logiem.

File > Cleanup > Delete all Dummy Files:

Kolejna opcja porządkowa dla opcji Replace on Reboot + Use Dummy automatycznie usuwająca fałszywe pliki, którymi KillBox zastępował inne pliki. Pliki faków są zlokalizowane w folderach tymczasowych (np. C:\Documents and settings\Konto użytkownika\Ustawienia lokalne\Temp) w postaci plików o schemacie nazwy kbdummy.* (gdzie gwiazdka oznacza kolejne numery).

File > Cleanup > Create Backup:

Opcja dostępna tylko w wersji beta. Dzięki niej można zadecydować czy mają być tworzone kopie usuwanych plików czy nie. Brakowało tego w standardowej wersji Killbox.....



Menu Tools:



Tools > File Find:

Jak wspomniane na samym początku, użycie tej opcji spowoduje transformację okna Combobox do postaci "Type something to Search for":



Można wpisać fragment lub pełną nazwę wyszukiwanego pliku. Po każdym wyszukiwaniu opcja szukania jest resetowana to znaczy wygląd okna Combobox wraca do pierwotnej postaci a znalezione z szukania obiekty są automatycznie "wklejone" w polu Path czekając na akcję. Jeśli wyszukiwanie prowadzono wielokrotnie KillBox dodaje wyniki do Combobox z zachowaniem ich nazw i bez usuwania poprzednich wyników = jeśli wyniki wyszukiwania zwróciły kilka plików spełniających to samo kryterium szukania, wszystkie będą obecne w Combobox. By wyczyścić wyniki wyszukiwania należy posłużyć się opcją Remove Item >>> Clear all items.

Tools > Start Explorer Shell:

Wspomniane we wstępnym opisie opcji Combobox. Jest to opcja służąca przywracaniu Pulpitu jeśli po użyciu opcji End Explorer Shell While Killing File powłoka explorer.exe nie zastartowała ponownie.

Tools > Delete Temp Files:

Opcja porządkowa dysku. Jej buruchomienie uaktywnia menu w którym można wybrać czyszczenie lokalizacji tymczasowych takich jak cache IE, Javy Sun etc. Opcje są zszarzone wtedy jeśli nie są dostępne.

Tools > Go to SessionManager:

Opcja systemów typu NT (Windows 2000/XP/2003). Opcja powoduje otworzenie edytora rejestru w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager



Wartość PendingFileRenameOperations to właśnie ta, która trzyma listę usuwanych / podmienianych plików podczas resetowania komputera za pomocą opcji: Delete on Reboot + Replace on Reboot. Można oczywiście ręcznie usunąć te zaplanowane zadania ale nie ma potrzeby prowadzenia tego bezpośrednio w edytorze rejestru. Killbox posiada znacznie prostszą w obsłudze opcję Remove Item > Remove PendingFileRenameOperations umożliwiającą dokładnie to samo ale w automatycznym zakresie.

Tools > Open Wininit.ini:

Opcja systemów typu 9x. Opcja powoduje automatyczne otworzenie zawartości pliku C:\WINDOWS\wininit.ini w celu podglądnięcia (lub usunięcia) listy usuwanych / podmienianych plików podczas resetowania komputera za pomocą opcji: Delete on Reboot + Replace on Reboot. Nie ma potrzeby korzystania z tej opcji w celu kasowania planowanych zadań. Killbox umożliwi to w super prosty sposób automatyczną opcją Remove Item > Delete Wininit.ini.

Tools > Hosts File:

Otwiera plik HOSTS w Notatniku do ręcznej edycji a jeśli plik HOSTS nie istnieje generuje nowy domyślny plik HOSTS. Dokładny opis pliku HOSTS od dawna na forum: klik.

Tools > Open Services:

Opcja systemów typu NT (Windows 2000/XP/2003). Uruchamia przystawkę services.msc służącą zarządzaniu usługami. Dokładny opis jest w dziale Windows: klik.



Menu Remove Item:



Remove Item > Clear Text:
Opcja czyszczenia pola Full Path of File to Delete. Jest to kosmetyka i nie usuwa plików dodanych wcześniej do Combobox a zaplanowanych do usuwania.

Remove Item > Remove Selected:
Opcja kasowania wybranej pozycji z rozwijalnej listy pola Full Path of File to Delete. W zamian można posłużyć się klawiszem DEL.

Remove Item > Clear All Items:
Opcja resetowania / usuwania wszystkich pozycji pola Full Path of File to Delete pozostawiając puste Combobox. To inna opcja niż Clear Text! W zamian można posłużyć się skrótem klawiaturowym SHIFT + DEL.

Remove Item > Remove PendingFileRenameOperations:
Opcja systemów typu NT (Windows 2000/XP/2003). Wspomniane wcześniej. Opcja automatycznie usuwająca z rejestru wartość PendingFileRenameOperations trzymającą listę plików gotowych do skasowania / zamiany podczas resetowania komputera.

Remove Item > Delete Wininit.ini:
Opcja systemów typu 9x. Wspomniane wcześniej. Opcja automatycznie usuwająca z dysku plik C:\WINDOWS\wininit.ini trzymający listę plików gotowych do skasowania / zamiany podczas resetowania komputera.



Menu Options:




Options > Remove Duplicates:

Opcja umożliwiająca automatyczne usuwanie zduplikowanych ścieżek dostępu wklejonych omyłkowo w okno Combobox. Typowo duplikaty mogą mieć miejsce jeśli ścieżki dostępu do plików wklejano w dwóch różnych formatach tzn. jako nazwy długie (np. C:\Documents and settings) oraz jako nazwy krótkie (np. C:\DOCUME~1). Załóżmy że mamy tę samą ścieżkę wklejoną raz jako C:\Program files\Folder i raz jako C:\PROGRA~1\FOLDER = Killbox traktuje je domyślnie jako dwie różne mimo iż są dokładnie takie same. Format wklejonych ścieżek jest zależny od tego która opcja jest zaznaczona w menu Options > 8.3 names (opis opcji w dalszej części).

Options > Remove Directories:

Opcja umożliwiająca automatyczne usunięcie z kasacyjnej listy Combobox wszystkich folderów z pozostawieniem jedynie plików, które mają zostać skasowane.

Options > Auto Parse:

Pomocnicza opcja dla schowka systemowego i opcji File > Paste from Clipboard. Umożliwia czytanie zawartości schowka w celu wyekstraktowania prawidłowej ścieżki dostępu z tekstu, który ma błędy składni. Przykładowo załóżmy że w schowku mamy wklejony omyłkowo szajs "blaC:\WINDOWS\system32\trojan.exewwww345656bbb" (ale plik istnieje na dysku). Jeśli opcja Auto Parse jest zaznaczona Killbox prawidłowo wyciągnie z tego chaotycznego tekstu ścieżkę "C:\WINDOWS\system32\trojan.exe" i zostanie ona dodana jako prawidłowa do okna Combobox czekając na kasację. Jeśli opcja Auto Parse nie jest zaznaczona całość jest kompletnie ignorowana i plik zostaje ominięty na liście kasacyjnej. Przykład zastosowania: w Combobox można wkleić cały log skanera online z listą plików, których nie udało się skasować a opcja Auto Parse wyciągnie tylko ścieżki dostępu (!) ignorując całą resztę tekstu. No to jest super przydatne.

Options > 8.3 Names:

Opcja, która służy konwertowaniu formatu ścieżek dostępu do plików z nazw długich (np. C:\Program files) do nazw krótkich schematu DOS 8+3 (np. C:\PROGRA~1) i vice versa. Domyślnie jest ustawiona opcja Original format oznaczająca iż ścieżki zostaną zinterpretowane bez zmian, tak jak je wpisano / wklejono. Zostawcie to domyślne ustawienie.

Options > Shutdown:

Opcja systemów typu NT (Windows 2000/XP/2003).

Options > Shutdown > Forced Shutdown:
Wymuszenie zamknięcia systemu niezależnie od tego czy użytkownik jest zalogowany czy nie.

Options > Shutdown > Forced Reboot:
Wymuszenie resetu komputera niezależnie od tego czy użytkownik jest zalogowany czy nie.

Alternatywa dla programu PocketKillBox, którego obsługa może wydawać się momentami niejasna. Narzędzie umożliwiające hurtowe wklejenie listy ofensywnych / szkodliwych plików i ich przeniesienie w inne miejsce na dysku (skąd w łatwy sposób można już kasować). To działa jak "kwarantanna". Proces przenoszenia folderów i plików odbywa się w tej samej technologii co Killbox tzn. przez wartość PendingFileRenameOperations.

Dodatkowa opcja CleanUp spowoduje wyczyszczenie dysku z narzędzi, którymi posługiwano się przy dezynfekcji (ComboFix, Avenger, SmitfraudFix, Haxfix, Fixwareout, VundoFix, Killbox, Gmer). Jeśli ktoś nie chce usuwać Gmera = po ściągnięciu i załadowaniu się listy należy wyedytować tę listę w oknie po lewej usuwając po prostu linijki z plikami Gmera, następnie kontynuować processing opcji CleanUp.


INSTRUKCJA OBSŁUGI:

Uruchamiamy program - pojawi się główny interfejs.



Na forum po ukończeniu dezynfekcji często podaję jako końcowy krok użycie opcji CleanUp. Ta opcja - jak powiedziane na początku - jest tylko czyszczeniem odpadków po dezynfektorach. Jej uruchomienie kasuje bezśladowo = nie jest tworzona ani kopia zapasowa, ani log, a program OTM ulega samokasacji.

Natomiast w kwestii usuwania plików szkodliwych, podstawowe kroki:

1. W lewym oknie wklejamy listę plików na kasację. Klik w MoveIt!. Jeśli folder lub plik nie może być natychmiastowo przeniesiony (bo wiąże go proces) w prawym oknie pojawi się zawiadomienie "cleanup failed" i padnie pytanie o zatwierdzenie resetu komputera w celu dokończenia procesu.

2. Efekt przenoszenia pokaże się w prawym oknie.

3. Wszystkie przeniesione pliki są zlokalizowane w folderze C:\_OTM\MovedFiles. Kwarantanna ta jest zbudowana w postaci drzewa łatwo wskazującego z którego folderu jakie pliki przenoszono.


Plik log zawiera podsumowanie operacji. Do pokazania na forum.

The Avenger umożliwia szeroką pulę operacji zarówno na obiektach dyskowych jak i w rejestrze: kasowanie / podmiana plików, folderów, wartości oraz kluczy w rejestrze. Akcje te są wykonywane podczas resetowania komputera. Avenger jest programem skryptowym i do prowadzenia akcji wymaga wskazania pliku skryptu. Są to zwykłe pliki "TXT" z zestawem specyficznych komend = opis budowy skryptów ułatwiający ich własnoręczne tworzenie jest na samym końcu tematu, by nie rozpraszać początkujących. Wy będziecie je mieć podane gotowe na tacy Jest to pewnego typu alternatywa na mechanizm CFScript ComboFix oraz komendy w Gmerze, ale jest realizowane inną metodą.



PODSTAWOWA OBSŁUGA PROGRAMU / OPIS OPCJI:

Uruchamiacie program (wymaga uprawnień administratora!). Od razu dostaniecie komunikat ostrzeżeniowy o braku 100% bezpieczeństwa stosowania. Nie zostaje wam nic innego jak wyrażenie zgody. Po zatwierdzeniu komunikatu załaduje się główne okno programu.





1. Rzeczą podstawową jest wskazanie skryptu wykonującego zadania dezynfekcyjne. Skąd wziąźć skrypt? Każdy na forum go dostanie na podstawie przedstawionych logów. Opis budowy skryptów w dalszej części = dla tych którzy chcieliby samodzielnie zmalować. Klikacie prawym myszki na tło programu i opcją Paste wklejacie skrypt z forum.

2. Po wskazaniu skryptu (obojętną z wybranych metod) klikacie w buttonik Execute, by uruchomić skrypt. Dostaniecie pytanie "czy na pewno chcecie tego dokonać" .... co zatwierdzacie. To właśnie w tym momencie Avenger tworzy swoją losową usługę i plik *.bat.

3. Otrzymacie kolejne okno potwierdzające ustawienie Avengera na resetowanie komputera z pytaniem o zatwierdzenie resetu ... co potwierdzacie a komputer się zresetuje.

4. W trakcie procesu resetowania zostaną wykonane wszelkie zadania kasacyjne zaprojektowane do wykonania w Avengerze. Na chwilę mignie czarne dosowe okno będące znakiem wykonywania się pliku *.bat.

Kasowane obiekty zostaną automatycznie zbackupowane przez plik zip.exe do pliku C:\Avenger\backup.zip (tych kopii należy się po dezynfekcji pozbyć).



Zostanie też wygenerowany i auto-wyświetlony log przebiegu całości operacji. Zlokalizowany na dysku w postaci pliku C:\Avenger.txt.



Log ten należy pokazać na forum, jeśli poprosimy o to. Przykładowy log:




BUDOWA SKRYPTÓW:

W związku z faktem skryptowej funkcjonalności niezbędnym jest poznanie składni skryptów / (Script syntax). Skrypt Avengera składa się z prostego nieformatowanego tekstu o budowie "jedna komenda na jedną linię". Komend jest 12:

Comment:
Files to delete:
Files to replace with dummy:
Files to move:
Folders to delete:
Registry keys to delete:
Registry keys to replace with dummy:
Registry values to delete:
Registry values to replace with dummy:
Programs to launch on reboot:
Drivers to delete:
Drivers to disable:

Tak. Komendy mają właśnie takie dziwne "zdaniowe" nazwy z dwukropkiem..... Są budowane piętrowo tzn. każda komenda zajmuje tylko jedną linię - to samo dotyczy list plików / obiektu rejestru wprowadzonych na kasację.

1. Comment: Najzwyklejszy komentarz służący jedynie informacji. Nie ma znaczenia, nic się nie wykonuje.

2. Files to delete: Komenda kasuje z dysku wybrane pliki tworząc równocześnie ich kopię zapasową.

3. Files to replace with dummy: Komenda podstawia wskazany plik pustym o tej samej nazwie (kopia oryginału jest tworzona).

4. Files to move: Umożliwia przeniesienie wskazanych plików źródłowych do innej lokalizacji docelowej. To oznacza również kopiowanie "pliku do istniejącego pliku"= kopia istniejących plików docelowych jest automatycznie generowana. Jak w wielu podobnych rozwiązaniach skryptowo-konsolowych, komenda ta działa tylko w obrębie tego samego dysku / woluminu. To oznacza iż przenoszenie pliku z dysku C:\ na dysk D:\ i vice versa jest niewykonalne. W praktyce ta komenda będzie miała rzecz jasna zawężenie tylko do partycji systemowej.

5. Folders to delete: Komenda kasuje z dysku wybrane foldery tworząc równocześnie ich kopię zapasową.

6. Registry keys to delete: Umożliwia skasowanie z rejestru wybranych kluczy włącznie z utworzeniem kopii zapasowanych usuwanych obiektów. Jest rozpoznawana tylko jedna gałąź rejestru: HKEY_LOCAL_MACHINE i jej skrót HKLM. Ta komenda nie powinna być stosowana do kasowania kluczy sterowników z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, gdyż jeśli działa aktywnie rootkit, próba takiej kasacji może doprowadzić do zablokowania systemu. W takim przypadku stosuje się inne komendy Avengera: "Drivers to delete:" lub "Drivers to disable:".

• UPDATE: Duża zmiana między wersją Avenger 1 i obecną Avenger 2. Avanger 2 rozpoznaje tylko jedną gałąź HKEY_LOCAL_MACHINE. Nie czyta HKEY_USERS, bo działa w fazie kiedy ta gałąź jeszcze nie jest "zbudowana". Tu obejściem może być połączenie tej komendy z inną "Programs to launch on reboot:" wskazującą do importu plik REG usuwający wpisy z tych innych miejsc.

7. Registry keys to replace with dummy: Komenda zastępuje rekursywnie wszystkie wartości wybranego klucza przez wartości "dummy" (nazwijmy to falsyfikatem ogłupiającym ) ? czyli null dla String Values / Wartość ciągu i 0 dla wartości numerycznych. Mówiąc po ludzku jest to pustoszenie wartości bez ich kasowania.

8. Registry values to delete: Komenda podobna w działaniu do komendy numer 6, z tym że kasowanie i backup dotyczą wartości a nie kluczy.

9. Registry values to replace with dummy: Identyczna w działaniu jak komenda z punktu numer 7 z tym że zamianie jest poddawana tylko konkretna wskazana wartość.

10. Programs to launch on reboot: Ustawia jednorazowe ("run once") uruchamianie wybranego programu przy następnym resetowaniu komputera. Komenda ta umożliwi płynne poszerzenie działalności Avengera i przejście do wykonania dalszej części dezynfekcji. Przykładowo można wskazać na wykonanie jakiś plik BAT, import pliku REG, HijackThis, szczepionki, narzędzia czyszczenia dysku itp. itd.

11. Drivers to delete: Komenda umożliwiająca odładowanie i skasowanie systemowych sterowników poziomu kernel i boot. Proces ten wymaga aż dwóch resetów komputera. Resety te zostaną automatycznie ustawione do wykonania w przypadku wklejenia w komendach nazw usług sterowników (chodzi o nazwy systemowe zapisane w rejestrze).

11. Drivers to disable: Komenda ta tylko wyłącza sterownik / usługę zmieniając typ startu na liczbę 4. Pliki nie są kasowane.

Puste linie oraz tzw. "białe znaki" /"whitespace" (czyli spacje, znaki nowej linii etc.) są domyślnie przez Avenger ignorowane stąd nie ma zupełnie konieczności posługiwania się cudzysłowiem przy obiektach zawierających spacje (tak ma to rozwiązane Gmer). Aczkolwiek jeśli z jakiś względów chcecie wymusić odwrotne zachowanie można wpisać cudzysłów co przestempluje domyślne zachowanie. Wszystkie komendy ignorują wielkość liternictwa (tak jak to ma Windows jako taki). Nie ma absolutnego znaczenia czy wpiszemy C:\WINDOWS czy C:\Windows, HKLM czy hklm. W ścieżkach dostępu można stosować zmienne środowiskowe czyli:

Zamiast C:\ = %systemdrive%
Zamiast C:\WINDOWS = %windir% lub %systemroot%
Zamiast C:\Documents and settings\Konto\Ustawienia lokalne\Temp = %temp%
Zamiast C:\Documents and Settings\Konto\Dane aplikacji = %appdata%

Zmienne środowiskowe można podglądnąć w Start >>> Uruchom >>> cmd i komendę set.


Przykładowy skrypt w całości wygląda więc tak:

Comment:
Przerwa na papierosa... Komentarz może być nawet kilkuliniowy. Avenger ignoruje tekst aż do momentu napotkania pierwszej z charakterystycznych komend własnych.

Files to delete:
C:\WINDOWS\system32\wvursrq.dll
%windir%\system32\xxyyyab.dll

Files to replace with dummy:
%SystemRoot%\system32\ms0b920b.dll

Comment:
Można wklejać ścieżki w schemacie nazw długich i krótkich 8+3, również korzystać z "procentowych" zmiennych środowiskowych.

Files to move:
C:\Windows\system32\dllcache\iexplore.exe | C:\Program files\Internet explorer\iexplore.exe
"C:\Windows\system32\dllcache\iexplore.exe" | "C:\Program files\Internet explorer\iexplore.exe"
C:\ndis.sys | %WinDir%\system32\drivers\ndis.sys

Comment:
Zwróćcie uwagę na znak krechy | Znak ten służy oddzieleniu ścieżki dostępu pliku źródłowego od pliku docelowego. Pierwsza ścieżka jest źródłowa (ten plik podstawi docelowy), druga ścieżka jest docelowa (ten plik zostanie podstawiony tym pierwszym). Cudzysłów niekonieczny.

Folders to delete:
%windir%\webwork
C:\Program Files\IntCodec
C:\DOCUME~1\a\DANEAP~1\LOUDME~1

Comment:
Można wklejać ścieżki w schemacie nazw długich i krótkich 8+3, również korzystać z "procentowych" zmiennych środowiskowych.

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Notify\rpcc

Registry keys to replace with dummy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Comment:
Ponownie podkreślam: w grę wchodzi tylko klucz HKEY_LOCAL_MACHINE i jego korespondujący skrót HKLM. Klucz zawierający spacje nie musi być zamknięty cudzysłowiem (ale można zamknąć).

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | SvcManager
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | usrinit
"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks" | "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved | {EC358C5A-CCDE-4F4B-B676-871CA20D6AD8}

Registry values to replace with dummy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Comment:
Ponownie zwróćcie uwagę na znak krechy | Znak ten służy oddzieleniu nazwy klucza od nazwy wartości. Dotyczy obu powyższych komend.

Programs to launch on reboot:
regedit.exe /s C:\fix.reg
C:\fix.reg
C:\fix.bat
C:\WINDOWS\gmer_commands.cmd
C:\Documents and Settings\Aretuza\Desktop\HiJackThis_v2.exe
C:\Program files\CureIt\cureit.exe

Drivers to delete:
avpi32
rnuk_h
winmgmt6019-5504

Drivers to disable:
test

Comment:
Nazwa tu wprowadzana jest nazwą systemową (w rejestrze) a nie wyświetlaną (w services.msc / devmgmt.msc). Widać ją będzie w rejestrze w kluczu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Również takie nazewnictwo pokazuje log z Gmer >>> Usługi.

ZAAWANSOWANE URUCHOMIENIE (z linii komend):

Wątek ten umieszczam na samiutkim spodzie bo jest to trudne zadanie dla zupełnie zielonych. The Avenger w pełnej jego funkcjonalności można uruchomić przez linię komend a co więcej jego skóra może być kompletnie ukryta a komunikaty wymagające zatwierdzania przez użytkownika ominięte. Rozwiązanie wygodne przy łączeniu działania Avengera z potężniejszymi skryptami i innymi akcjami dezynfekcyjnymi. Składnia polecenia (kolejność parametrów istotna):

avenger.exe /nogui [/q] [/qq [/r]] [/s LokalizacjaSkryptu]

/nogui - Ukrycie powłoki graficznej narzędzia. Jeśli nie wybrano tego parametru wszelkie inne są ignorowane (czytaj = Avenger będzie się zachowywał gtradycyjnie)
/q - Tryb cichy. Dialogi informacyjne i ostrzeżenia zostaną pominięte ale błędy zostaną pokazane.
/qq - Tryb "nienadzorowany". Wszystkie komunikaty włącznie z niekrytycznymi błędami zostaną ominięte. Z wyjątkiem super krytycznego błędu wymagającego zamknięcia programu.
/r - Automatyczny reset bez zatwierdzania ze strony użytkownika. Ustawienie ignorowane jeśli nie wybrano trybu nienadzorowanego.
/s LokalizacjaSkryptu - Dokładne wypunktowanie pliku skryptu - można wskazać ścieżkę dyskową pliku lub adres URL. Jeśli parametr ten jest wybrany musi być wpisany jako ostatni. Jeśli parametru tego nie skonfigurowano w ogóle Avenger będzie szukał pliku script.txt w bieżącym katalogu.




.

Narzędzie należy wypakować a finalne exe umieścić w folderze C:\WINDOWS\system32. Obsługa narzędzia:

Przykładowo usuwanie strumieni z całego dysku C:\ z uwzględnieniem podkatalogów:

C:\Documents and settings\Administrator>streams -s -d c:\ NTFS Streams Erasing on disc C: completed

Przykładowo usuwanie strumieni z głównego folderu C:\

C:\Documents and settings\Administrator>streams -d c:\ No files with streams found

Jeśli komuś sprawia trudność obsługa z linii komend, może pobrać graficzną nakładkę: NTFS Streams Eraser. Plik nakładki i Streams muszą być w jednym folderze (dowolnym), by nakładkę dało się uruchomić.


INNE NARZĘDZIA DO USUWANIA STRUMIENI:

1. Moduł ADS Spy wbudowany do naszego starego dobrego HijackThis:

HijackThis >>> Config >>> Misc Tools >>> ADSSpy >>> Full system scan >>> usunąć wybrane

2. Predefiniowany zestaw szkodliwych rootkitowych strumieni usuwają w trybie automatycznym ogólne narzędzia dezynfekujące: SDFix + ComboFix





OPIS ZAGADNIENIA STRUMIENI:

Alternate Data Streams (ADS) - w tłumaczeniu wielokrotne / alternatywne strumienie danych - są to dodatkowe dane na partycjach NTFS umożliwiające stworzenie ukrytych plików "pod" innym plikiem / folderem. Frontowy plik jest jedynym widocznym spod Explorera , linii komend i menedżera plików zaś pliki ukryte czyli strumienie widoczne nie są. Dane zapisane w strumieniach są "bezśladowe" - waga pliku głównego widziana w Exploratorze / linii komend / menedżerze plików nie zmienia się wcale za to magicznie ucieka miejsce na dysku. Dobrze czytacie: można mieć dysk 60GIG, na nim tylko jeden widoczny plik o wadze 20KB i ukryć w nim strumienie o wadze prawie całego dysku. Nie zobaczycie gdzie się podziała reszta miejsca..... Zapis strumieni jest z "dwukropkiem" czyli:

Plik główny:

plik.xxx

Plik główny ze strumieniem:

plik.xxx:plik2.xxx

O tworzeniu i ręcznych manipulacjach na ADS możecie poczytać w wypracowaniu The Dark Side of NTFS

MOŻLIWOŚCI SYSTEMOWE PRZEGLĄDANIA STRUMIENI:

Windows Vista/2008/7:

Systemy Vista+ posiadają wbudowaną możliwość przeglądania strumieni. Przez polecenie DIR z przełącznikiem /R. Niestety nadal brak definitywnie wygodnej metody i solidnego GUI adresującego tę przypadłość.



Windows 2000/XP/2003:

System nie posiada żadnej możliwości bezpośredniego oglądania strumieni. Ewentualnym posunięciem jest skorzystanie z dodatkowej paczki Microsoftu NTFSExt.exe, rozpakować i wyszukiwać tam plik StrmExt.dll, który należy umieścić w folderze system32 i zarejestrować komendą Start >>> Uruchom >>> regsvr32 StrmExt.dll. Po tej akcji we Właściwościach plików pojawi się nowy tab Streams. Jeśli ktoś chce takie same taby też dla dysków i folderów może skorzystać z tego tweaka: adstab.reg

Są jednak inne programy do przeglądania strumieni: Stream Viewer / Stream Explorer / LADS / Fi.exe. Potrafi to HijackThis z modułem ADS Spy i nasz Gmer.

Przykłady strumieni

Przykład strumienia rootkita Pe386:



Przykład strumieni KAVICHS od Kasperskiego:



Przykład strumieni {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

Są to strumienie folderów i plików tyczące zakładki Właściwości i tabu Podsumowanie. Można to podejrzeć za pomocą aplikacji FileMon ustawionej z filtrem {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}. Poniżej odczyt z narzędzia podczas edycji tabu podsumowanie na testowo utworzonym pliku o nazwie test.test:





Przykład strumieni Zone.Identifier

Jest to strumień generowany via Internet Explorer / Outlook Express / Messenger XP SP2 podczas zapisywania z i na lokalny dysk plików, które są w różnych strefach zabezpieczeń. Strumień ten identyfikuje przynależność strefową. O jakie strefy zabezpieczeń chodzi macie wyjaśnione w opisie HijackThis pod identyfikatorem O15 - ProtocolDefaults TUTAJ (identyfikatory od 0 do 4). Więc plik ściągnięty z internetu na dysk ma przynależność do strefy Internet czyli numer 3 i zawartość jego strumienia to:

[ZoneTransfer]
ZoneId=3

Otwierając jakiś plik system sprawdza Zone.Identifier i jeśli identyfikator oznacza Internet właśnie dlatego na XP SP2 dostajecie ten uroczy komunikat ostrzeżeniowy:



Zawartość strumienia pliku z obrazka podejrzałam poleceniem:

Narzędzie należy wypakować a finalne exe umieścić w folderze C:\WINDOWS\system32. Narzędzie jest obsługiwane z linii komend.

Start >>> Uruchom >>> cmd i przykładowe polecenia:

regdelnull HKLM -s

regdelnull HKCU -s

regdelnull -s HKLM\SOFTWARE\Classes\CLSID

regdelnull -s HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion



Wyjaśnienie "null"

Znaki zerowe NULL "\ 0" to metoda pozwalająca na ukrywanie w rejestrze wpisów w taki sposób by nie można się było do nich dostać. Wykorzystywana zarówno przez rootkity jak i ... triale Ujmę to bardzo skrótowo by nie namieszać słabo zorientowanym. Ogólnie mamy kwestie dwóch modeli nazewniczych:

Win32 API:

Nazwa\ 0

Zerówka "\ 0" jest traktowana jako znacznik końcówki nazwy, nie brany pod uwagę. Jako nazwa jest brana tylko nie zerowa zawartość "Nazwa" czyli 5 znaków. Ten model nazewnictwa czytają narzędzia takie jak regedit.

Native API:

Nazwa\ 0

Zerówka "\ 0" jest traktowana jako część nazwy. Jako nazwa jest brany pod uwagę cały ciąg czyli 6 znaków. Taką nazwę widzi system per se.

Czyli jeśli NULL miał być częścią faktycznej nazwy następuje zafałszowanie jej wyglądu w takich narzędziach które korzystają z Win32 API. Możecie sami potestować jak to wygląda w praktyce. Koleś z Sysinternals udostępnia próbkę RegHide. Po uruchomieniu zostanie utworzony w rejestrze klucz null (po zamknięciu narzędzia samoczynnie ulegnie kasacji ta "prezentacja". ):

HKEY_LOCAL_MACHINE\Software\Systems Internals\Can't touch me!\ 0

Edytor rejestru regedit zobaczy tylko:

HKEY_LOCAL_MACHINE\Software\Systems Internals\Can't touch me!

Nie dostaniecie się do środka, bo nazwa nie jest właściwie przeczytana i zwróci oczywiście błąd:



Log z Gmera ładnie prezentuje nam ukrytą zawartość tego klucza:



I teraz jest pytaniem jak skasować te klucze w realnych świecie rootkitów. Odpowiedzią jest właśnie aplikacja RegDelNull od Sysinternals obsługiwana z linii komend. Ponadto znalazłam baaaaardzo ciekawy projekt NtRegEdit - Native Registry Editor (by pobrać trzeba się za darmo zarejestrować na tej stronie). Otóż jest to edytor rejestru który operuje w natywnym API i WIDZI, pozwala również kasować czy tworzyć takie ukryte klucze jakby to się działo na regedit wbudowanym w system. Oto co widzi ten edytor na kluczu Can't touch me!:



Bez trudu go otworzył i pokazuje nam dokładnie to co Gmer czyli schowaną w środku wartość o nazwie Hidden Value. I za jego pomocą skasowałam ten nullowy klucz z rejestru.




.

Do kompletu mała aplikacja portable (nie wymagająca instalacji a ważąca tylko 68KB) umożliwiająca kasowanie z rejestru kluczy, które przy usuwaniu zwracają Odmowę dostępu / Błąd przy usuwaniu klucza co jest wynikiem braku uprawnień. Typowymi przykładami są klucze LEGACY. Program ma opcję resetowania uprawnień i rekursywnego kasowania całego klucza wraz z jego zawartością. Wystarczy program uruchomić, wkleić w pasek adresów ofensywny klucz, pozostawiając ptaszki na Reset permissions i Delete registry key and all subkeys, i kliknąć w button Delete:



Uwaga: jeśli jest aktywny rootkit RegASSASSIN może nie widzieć kluczy, które chcemy poddać kasacji. Program jest ogromnym ułatwieniem, zwłaszcza dla bardzo zielonych użytkowników, gdyż w normalnych okolicznościach z takimi kluczami postępuje się wg tych sposobów:




RĘCZNE METODY KASACJI:

1. Metoda przez zmianę uprawnień kasowanych kluczy:

Windows 2000/XP/2003


Start >>> Uruchom >>> regedit

UWAGA: Użytkownicy Windows 2000 zamiast regedit muszą użyć regedt32 by mieć dostęp do manipulacji na uprawnieniach. A opcje uprawnień nie są w prawokliku lecz w menu narżędziowym.

Z prawokliku na dany klucz LEGACY wybierz Permissions / Uprawnienia:



Kliknij Add / Dodaj:



Wpisz dokładną nazwę swojego konta i potwierdź:



Podświetl swoje konto na liście a na dole zaznacz Full Control / Pełna kontrola i potwierdź:



Teraz z prawokliku ten klucz możesz kasować. Jeżeli nadal będzie błąd usuwania klucza: Uprawnienia >>> Zaawansowane >>> w pierwszej zakładce na dole zaptaszyć Zamień wpisy uprawnień na wszystkich obiektach podrzędnych.



Windows Vista

Jest drobna różnica w operacji. Po pierwsze regedit ma być zastartowane w trybie uprawnień administracyjnych. Po drugie przed przyznaniem Uprawnień w sposób wyżej opisany, należy dodatkowo przejąć klucz na własność stając się jego Właścicielem:

1. W Start wpisujemy na szukanie słowo regedit, na wyniku z prawokliku Uruchom jako administrator:



2. Przechodzimy do klucza, który chcemy skasować, i z prawokliku nań wybieramy Permissions / Uprawnienia:



3. Otworzy się główne okno z listą użytkowników. Wybieramy button Advanced / Zaawansowane:



4. Przechodzimy do zakładki Owner / Właściciel, zaznaczamy nasze konto, na dole ptaszkujemy opcję Zamień właściciela dla podkontenerów i obiektów i zatwierdzamy wszystko:



5. Powrót na listę >>> button Dodaj >>> wpisać nazwę naszego konta i zatwierdzić >>> zaznaczyć je na liście i zaptaszyć dla niego Pełna kontrola >>> zatwierdzić:



Po zmianie właściciela i dograniu praw dostępowych klucz bez trudu się usuwa wraz z całą zawartością.

2. Metoda przez zastartowanie regedit z uprawnieniami konta SYSTEM:

Pobierz pakunek PsTools zawierający m.in. narzędzie PsExec:

http://technet.microsoft.com/pl-pl/sysinternals/bb897553(en-us).aspx


Rozpakuj ściągnięty zip i skopiuj pliki psexec.exe i pdh.dll:



... do folderu system32:



UWAGA: Biblioteka pdh.dll może już być obecna w systemie i w takim przypadku ominąć kopiowanie tego pliku.



Windows 2000/XP/2003:

Start >>> Uruchom >>> cmd i wpisz komendę psexec -s -i -d regedit

UWAGA: Jeśli ta komenda zwróci błąd "nie znaleziono" wpiszcie z pełnymi ścieżkami dostępu: C:\WINDOWS\system32\psexec.exe -s -i -d C:\WINDOWS\regedit.exe


Windows Vista:

W Start w polu szukania wpisz cmd. Na wynikach szukania z prawokliku wybierz opcję Uruchom jako Administrator.



W linii komend wpisz polecenie psexec -s -i -d regedit






***************************************************************************

To uruchomi edytor rejestru w taki sposób że klucze, które chcemy usunąć są od razu gotowe do kasacji i nie trzeba przyznawać im praw. Na Vista ta metoda ma mniejsze znaczenie - to konto TrustedInstaller jest kluczowym. Znakiem, że edytor rejestru regedit jest uruchomiony z tak wysokimi uprawnieniami, jest widoczność m.in. podkluczy klucza SAM (klik). W normalnie uruchomionym regedit są one całkowicie niewidoczne.

.

Adnotacja dla czytających zarówno ten, jak i inne tematy przyklejone/ogłoszenia:

Jak wiemy, użytkowniczka @picasso nie gości już na tym forum. Co za tym idzie, tematy napisane przez nią tu nie pozostaną. Zostaną zastąpione nowymi, zaktualizowanymi opisami użycia programów/wykonania czynności/lekko zmienionym regulaminem działu (jak widać większość z nich jest po prostu przestarzała) już za jakiś czas. Nie zdziwcie się, jeśli na razie będą one częściowo rozwalone (np. odniesienia w pierwszym poście nie będą odnosić się do tego opisu lub podobne), będzie brakować kliku postów lub po prostu któryś wątek zniknie na kilka dni.

Miłego czytania