 Kolekcja narzędzi usuwających (!), Skanery, szczepionki, specjalne fiksy, boot AV |
|
|
|
|
 18/01/2005, 6:38
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Uwaga: Antywirusy a specjalne narzędzia czyszczące:
Opisywane tu narzędzia usuwające przeważnie mają wbudowany zestaw mini narzędzi składowych o specyficznym charakterze. M.in. w skład większości tych paczek wchodzi:
Command Line Process Utility - Narzędzie process.exe umożliwiające operację zabijania procesów podczas dezynfekcji.
NirCmd - Kolejne konsolowe narzędzie mające m.in. zdolność resetowania komputera.
Antywirusy będą te narzędzia wykrywały jako "Risk Tool", "Potentially unwanted tool" etc. I będą je usuwały albo już podczas ściągania czyścicieli na dysk, albo podczas uruchamiania czyścicieli. Oczywiście dezynfektory nie będą chciały działać bez tych komponentów. Te komponenty są potrzebne i zupełnie niegroźne, ale AV ma ograniczoną zdolność interpretacji, czy zabijacz procesów jest skutkiem zainfekowania, czy też skutkiem potrzeb użytkownika. Wyniki należy absolutnie zignorować i przepuścić pracę narzędzi przez antywirusa. Najlepiej na czas usuwania AV wyłączyć.
Sprzątanie po .... czyścicielach:
Opisywane tu narzędzia w trakcie swoich operacji przekopiowują do C:\WINDOWS i/lub C:\WINDOWS\system32 pewną liczbę wbudowanych w siebie narzędzi. Process.exe i NirCmd.exe już wspomniane wyżej, ale jest tego ciut więcej. Automatycznie te odpadki (zbędne po ukończeniu dezynfekcji) usunie:
1. Narzędziem czyszczącym po dezynfektorach jest OTC. Na Windows Vista należy program zastartować opcją Uruchom jako Administrator:
2. To samo prowadzi funkcja CleanUp wbudowana do OTL / OTM.
3. Trzecim programem jest francuska aplikacja ToolsCleaner2. Jednakże z tego co notuję program ten opuszcza dodatkowe pliki sub-narzędzi z katalogów systemowych.
Ten post został edytowany przez picasso: 6/06/2009, 8:54
|
|
|
|
|
|
|
|
10/12/2006, 1:54
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Infekcja Vundo / VirtumondeObjawy: Częściowo wiele podobnych elementów do infekcji Smitfraud. Przede wszystkim namolne reklamy fałszywych programów do usuwania spyware / czyszczenia systemu / naprawy rejestru. Popupy i dymki w zasobniku systemowym. M.in. może być oferta: ErrorSafe, WinFixer, WinAntiVirus, SystemDoctor, DriveCleaner, Amaena, BestSeller Antivirus. Komputer może wypluwać liczne błędy, a nawet BSOD. Opisy mutacji w Czytelni: klik. Proszę się tym nie sugerować, to stary temat i nie ma tam najnowszych wariantów. Podane tylko poglądowo.
Narzędzie nieaktualizowane.Narzędzie do usuwania trojana Vundo. Uwzględnia też egzotyczny wariant podczepiający się dla odmiany nie pod winlogon.exe, ale lsass.exe. Obsługa narzędzia jest banalna: * Z dwukliku uruchamiany VundoFix.exe i wybieramy opcję Scan for Vundo. * Po ukończeniu skanu, wybieramy opcję Remove Vundo. * Padną pytania o zatwierdzenie akcji kasacji - zatwierdzany przez Yes. * Zostaje zabita powłoka (zniknie Pulpit) i rozpocznie się usuwanie. * Finałowo będzie pytanie o reset komputera - zatwierdzamy OK. Program tworzy log z akcji w postaci pliku C:\VundoFix.txt (do pokazania na forum), oraz kwarantannę usuwanych obiektów C:\VundoFix Backups (do kasacji, po naszej weryfikacji):  Inne narzędzia (przestarzałe): VirtumundoBeGone, F-vmonde, FixVundo.
|
|
|
|
|
|
|
|
13/12/2006, 7:16
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Infekcja z pendriveUwaga: Likwiduje tylko bardzo wąską grupę wariantów. Natomiast narzędzie to ma predyspozycje ochronne.Mini narzędzie do selektywnego likwidowania określonych infekcji z pendrive - opisanych TUTAJ. Wbrew nazwie nie służy tylko do czyszczenia penów, może czyścić też dyski twarde. Obsługa banalna. Wystarczy uruchomić narzędzie. Pojawi się pierwszy komunikat proszący o podpięcie pendrive (o ile to ma zostać poddane dezynfekcji):  Po zatwierdzeniu rozpocznie się proces usuwania sygnowany zabiciem powłoki explorer.exe. Po ukończeniu pojawi się komunikat Finished a powłoka explorer.exe zostanie przywrócona:  Żadne logi nie są tworzone. UWAGA: Narzędzie na każdym dysku tworzy ukryty folder autorun.inf z plikiem:  Folder ten ma znaczenie ochronne - "przeszkadza" szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok). Te foldery są niekasowalne ze względu na wadę nazwy pliku siedzącego w folderach autorun.inf. Mimo iż da się to jednak usunąć pewną sztuczką: Proszę tych folderów nie próbować kasować, mają znaczenie ochronne
|
|
|
|
|
|
|
|
25/02/2008, 13:46
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Infekcja w MBR dyskówAktualizacja: cały opis narzędzia MBR.EXE przeniesiony do nowego posta. Tutaj pozostawiam starsze szczepionki adresujące starsze warianty tej infekcji. Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej: KOD Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x950e4c1 size 0x1ca !
copy of MBR has been found in sector 62 ! Po pomyślnej dezynfekcji log będzie mieć postać: KOD Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Ten post został edytowany przez picasso: 24/03/2010, 5:20
|
|
|
|
|
|
|
|
11/11/2008, 9:52
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
SDFix to narzędzie służące do automatycznego usuwania wybranej puli robaków sieciowych, trojanów i rootkitów, zwłaszcza tych trudnych w dezynfekcji. Również są sprawdzane pliki Windows na okoliczność szkodliwej ich modyfikacji: mswsock.dll, winlogon.exe, tcpip.sys, ip6fw.sys, null.sys, beep.sys. I jeśli to możliwe, są przywracane do czystej postaci ze znalezionych kopii systemowych. Dokładniejsze informacje o rodzajach usuwanych obiektów w readme narzędzia. SDFix ma wbudowany moduł anti-rootkit Catchme naszego Gmera oraz automatyczne tworzenie kopii zapasowej rejestru poprzez program ERUNT. Program jest przeznaczony tylko i wyłącznie dla systemów Windows 2000 i XP w wersji 32-bit. Proszę nie uruchamiać tego na Vista i edycjach 64-bit. Narzędzie nie jest aktualizowane od roku 2008.Instrukcja obsługi 1. Pobieramy z linka program na dysk, przez dwuklik uruchamiamy:  2. Pojawi się okno depakera proszące o wskazanie ścieżki dostępu, w której SDFix ma zostać "zainstalowany" (czytaj: po prostu rozpakowany). Zostawiamy domyślną lokalizację tzn. główny katalog dysku (np. C:\SDFix). 3. Wynikowo uzyskamy folder SDFixa:  4. Jak uruchomić narzędzie? SDFix posiada dwa różne tryby uruchomienia, które są ściśle uzależnione od tego w jakim trybie jest zastartowany Windows: - SDFix uruchomiony w trybie awaryjnym: Taki tryb uruchomienia egzekwuje moduł samodezynfekujący wbudowany do SDFix. M.in. są usuwane różne ciężkie rootkity.
- SDFix uruchomiony w trybie normalnym: Daje dostęp do alternatywnych metod skanowania oraz pozwala utworzyć specyficzne logi systemowe.
SDFix, niezależnie od tego w jakim trybie startuje, wymaga uprawnień administratora, by działać. SDFix URUCHOMIONY W TRYBIE AWARYJNYMStartujemy komputer w trybie awaryjnym = OPIS. W folderze, do którego rozpakowaliśmy SDFix, przez dwuklik uruchamiamy plik RunThis.bat (plik może mieć też nazwę RunThis.cmd):  Otrzymamy dosowe okno z pytaniem o kontynuację działania: *** SDFix Version 1.240 ***
SDFix was developed with the greatest attention to detail,
However, Use of this program is at your own discretion.
The program is provided "as is" without warranty of any kind.
Backups will be made of registry entries and files before they are removed
Type Y to proceed or N to Exit.... |
N anuluje działanie, więc wpisujemy z klawiatury Y i ENTER: | Type Y to proceed or N to Exit....Y |
SDFix rozpocznie czyszczenie komputera: Starting Repairs:
Checking Running Processes and Services ...
Please Be Patient As This May Take Up To 10 Minutes
Restoring Windows Registry Values
Restoring Default Hosts File
Checking Files
Please Wait |
Na ekranie pojawią się kolejne fazy sprawdzania oraz dezynfekowania. Podczas tego procesu zostaną zabite procesy powłoki (zniknie Pulpit). Nic nie robić, tylko czekać cierpliwie, aż SDFix zada finałowe pytanie o wciśnięcie dowolnego klawisza, by kontynuować: The PC will now restart, SDFix will run again after reboot
Press any key to continue . . . |
Klik w ENTER, co doprowadzi do samoczynnego resetu komputera. Po resecie SDFix jeszcze raz się uruchomi, żeby dokończyć proces usuwania. Windows będzie wyglądał jak "goły" - pusta plansza. Resety mogą być dwa, w zależności od sytuacji. Pierwszy reset - i prośba wciśnięcie jakiegokolwiek klawisza, by kontynuować: Complete the uninstallers first
Your PC will reboot now
Press any key to continue . . . |
Kolejny reset, a po nim SDFix finiszuje (hmmm ten "finisz" to może być dość długi). Prawie na końcu uruchomi się jeszcze skan Catchme, co również może trochę potrwać: Final check
Running Catchme, Please Wait... |
Zdrowo dodusi na odcinku "Finishing...". Po ukończeniu pracy SDFix powinien wyświetlić napis Finished, zawiadamiający też o skopiowaniu loga do schowka / folderu SDFixa, z prośbą o wciśnięcie jakiegokolwiek klawisza by kontynuować: Finished!
Report.txt has been copied to Clipboard and the SDFix folder
(Right click and choose Paste to post logfile back on forums)
Press any key to continue . . . |
Klik w ENTER. Okno SDFix zamknie się i automatycznie zostanie otworzony w Notatniku log, do pokazania na forum. Log jest na dysku pod postacią pliku report.txt w folderze SDFix:  Jeśli SDFix wykonywał dezynfekcję i usuwał szkodniki, zostanie stworzona jego kwarantanna w postaci extra folderu backups:  Tej kwarantanny należy się pozbyć, ale dopiero wtedy, gdy potwierdzimy to na forum (możliwe pomyłki narzędzia). Pojawia się też folder C:\WINDOWS\ERUNT trzymający kopię rejestru wykonaną przez SDFix (pliki NTUSER.DAT, SAM, SOFTWARE, SYSTEM, DEFAULT, CONFIG). SDFix URUCHOMIONY W TRYBIE NORMALNYMDosłownie i bez kombinacji. Z folderu SDFix przez dwuklik uruchamiamy plik RunThis.bat (plik może mieć też nazwę RunThis.cmd): Menu wygląda zupełnie inaczej: To run the SDFix tool please reboot to Safe Mode
(Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)
(SDFix Requires Administrator Account Privileges)
1. Download/Run a-squared from EMSI Software)
2. Download/Run Norman Malware Cleaner from Norman)
3. Download/Run SAV32CLI from Sophos)
4. Download/Run AVPTool from Kaspersky
A. Create System Report
B. Create Service/Driver List
C. Create Catchme Log
D. Export SafeBoot Key
H. Add Windows Default Hosts File
R. Repair SafeBoot Key
U. Download latest version of SDFix
E. EXIT
(Active Internet Connection Required To Download Files)
Type A,B,C,D,R,U,1,2,3,4 or E to Exit.... |
OPCJE 1-4 Wymagają do swojego działania aktywnego połączenia internetowego. Umożliwiają pobranie na dysk i uruchomienie wybranych skanerów AV / antimalware. W zależności od wersji SDFix, mogą to być różne narzędzia. Na teraz są proponowane cztery: a-squared, Norman Malware Cleaner, Sophos i Kaspersky Removal Tool. Programy te można pobrać też oddzielnie, nie tylko via interfejs SDFix. Wpisanie w oknie z klawiatury danej liczby i kliknięcie w ENTER jest równoznaczne z uruchomieniem danego skanera: | Type A,B,C,D,R,U,1,2,3,4 or E to Exit....2 |
Rozpocznie się proces pobierania na dysk skanera, a po jego ukończeniu prośba o wciśnięcie jakiegokolwiek klawisza by kontynuować: Downloading Norman Malware Cleaner
File Downloader - Version 1.01 (build 7.4)
Downloads a file from a HTTP or a FTP server.
Copyright © 2004, Noel Danjou
Server: download.norman.no
Port: 80
Protocol: HTTP
Norman_Malware_Cleaner.exe: ......4766536 bytes
Done.
Press any key to continue . . . |
Klikamy w ENTER i otrzymamy finałowe zawiadomienie o zamykaniu SDFix z ponowną prośbą o wciśnięcie jakiegokolwiek klawisza by kontynuować: SDFix will now exit and Norman Malware Cleaner will start
Please Be Patient as the tool may take afew seconds to open...
Scan results will save to 'Desktop\NFix_DATE_TIME.log'
Press any key to continue . . . |
Klikamy w ENTER. SDFix samoczynnie się zamyka i startuje już właściwy skaner. OPCJE A-D Umożliwiają utworzenie specjalnych raportów systemowych. Opcja A tworzy ogólny log z całego systemu, opcja B tworzy listę usług + sterowników (odpowiednik loga z modułu Usługi w Gmerze, ale dokładniejszy), opcja C robi log z Catchme. Natomiast opcja D umożliwia wyeksportowanie z rejestru kopii klucza SafeBoot (trybu awaryjnego). Wpisanie w oknie z klawiatury danej litery i kliknięcie w ENTER jest równoznaczne z uruchomieniem konkretnej opcji np.: | Type A,B,C,D,R,U,1,2,3,4 or E to Exit....A |
W przypadku wprowadzania opcji A-C (czyli logi) dostaniemy "bezmyślny" ekran pouczający nas, by czekać cierpliwie, bo właśnie się tworzą logi: Creating List, Please Wait...
Please Be Patient As This Scan May Take Up To 5 Minutes
_ |
Teoretycznie może to trwać do 5 minut, ale różnie to może być. Zwłaszcza log z opcji tworzenia raportu całego systemu będzie wyczerpujący. Wynikowo program samoczynnie otworzy w Notatniku dany log (do pokazania na forum). Logi te są zapisane w folderze SDFix:  OPCJE H-R Te dwie szczególne funkcje prowadzą wybrane naprawy systemowe: H (przywracanie domyślnego pliku HOSTS Windows) i R (odtwarzanie skasowanego np. przez rootkita Bagle klucza trybu awaryjnego SafeBoot). Wpisanie w oknie z klawiatury danej litery i kliknięcie w ENTER jest równoznaczne z uruchomieniem konkretnej opcji np.: | Type A,B,C,D,R,U,1,2,3,4 or E to Exit....H |
Dostaniemy ekran zawiadamiający o przeprowadzeniu akcji i zbackupowaniu uprzedniego pliku HOSTS: Saving backup of existing hosts file to:
C:\SDFix\HOSTS.BAK
Restoring Windows default Hosts file
Note:
If any protective Hosts files exist such as MVPS/HP hosts or Spybots
Immunizer feature, they should be reapplied after using this option
Press any key to continue . . . |
Problemy z użytkowaniem Skasowany tryb awaryjny (np. na skutek aktywności rootkita Bagle):
Start >>> Uruchom >>> wklejamy komendę (stosownie do posiadanego systemu operacyjnego):
Windows XP SP3:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_WindowsXP_SP3.reg
Windows XP SP2:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_WindowsXP_SP2.reg
Windows 2000 SP4:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Restore_SafeBoot_Windows2000_SP4.reg
"The command prompt has been disabled by your administrator. Press any key to continue . . ."
Start >>> Uruchom >>> wklejamy jedną z poniższych komend:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg
lub:
rundll32 setupapi,InstallHinfSection DefaultInstall 128 %systemdrive%\SDFix\apps\Enable_Command_Prompt.inf
Uruchamiamy SDFix ponownie.
Program nie uruchamia się
Start >>> Uruchom >>> wklejamy komendę:
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
Reset komputera. Uruchamiamy SDFix ponownie. Jeśli nadal nie startuje, na sprawdzenie jeszcze jedna rzecz:
Panel sterowania >>> System >>> Zaawansowane >>> Zmienne środowiskowe >>> sekcja System
Powinna być tam zlokalizowana zmienna o nazwie ComSpec kierująca do X:\WINDOWS\system32\cmd.exe (gdzie X = literka na której "stoi" wasz Windows):
Jeśli to co ujrzycie, nie odpowiada powyższemu schematowi, należy podświetlić ComSpec, kliknąć Edytuj i skorygować ścieżkę wpisując tam %SystemRoot%\system32\cmd.exe. Jeśli w ogóle nie ma takiej wartości, należy ją utworzyć opcją Nowy.
|
|
|
|
|
|
|
|
20/01/2009, 5:10
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Niechciane paski narzędzioweNarzędzie przeznaczone do automatycznego usuwania określonych pasków narzędziowych z przeglądarki Internet Explorer. W skład usuwanych toolbarów wchodzą m.in. Crawler, Dealio, DAEMON Tools Toolbar, Burn4Free_Toolbar, Ask Toolbar, AskBar / AskBarDis, Accoona, WhenUSave, Starware, MyWebSearch, MyGlobalSearch, Multi_Media, Torrent Search, ShopperReports, Seekmo, Zango, Online_TV_toolbar. Jest tego znacznie więcej (do oglądnięcia changelog narzędzia). Należy zaznaczyć, że narzędzie nie usuwa wszystkich możliwości świata, ma selektywny smak na paski, i w razie problemów należy zgłosić się na forum z odpowiednimi logami. OBSŁUGA PROGRAMU:1. Ściągnięty plik uruchamiamy przez dwuklik. Vista: z prawokliku opcją Uruchom jako Administrator.  2. Pojawi się konsolowe okno z wyborem języka komunikacyjnego. Z klawiatury wpisać E i ENTER: 3. Następnie otrzymamy komunikat ostrzeżeniowy do zatwierdzenia: 4. Zostanie wywołane właściwe okno adresujące operacje z paskami. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:
Type your choice then press "Enter" to validate :_
|
Narzędzie tworzy raport (%systemdrive%\TB.txt) oraz kopie zapasowe (%SystemDrive%\ToolBar SD\Backup-TB).  OPCJA 1 (WYSZUKIWANIE PASKÓW)Funkcja nieingerencyjna składająca tylko raport sytuacyjny. Na ekranie wyboru z klawiatury wpisujemy 1 i zatwierdzamy przez ENTER: Type your choice then press "Enter" to validate :1 |
Rozpocznie się sprawdzanie systemu. W tej fazie narzędzie wyszukuje pliki / foldery / usługi pasków narzędziowych, listuje adresy zgromadzone w kluczach HKLM i HKCU\..\Internet Explorer\Main, skanuje rozszerzenia (tylko na XP), sprawdza pod kątem innych infekcji, i rzuca wszystko do raportu tekstowego. | Searching for Files - Folders ... XXXToolbar |
Finałowo otrzymamy komunikat o ukończeniu operacji skanowania: | Scan completed at 7:28:33,71 |
Narzędzie automatycznie otworzy w Notatniku log. OPCJA 2 (USUWANIE PASKÓW)Funkcja czyszcząca. Na ekranie wyboru z klawiatury wpisujemy liczbę 2 i zatwierdzamy przez ENTER: Type your choice then press "Enter" to validate :2 |
Narzędzie prowadzi w tej fazie usuwanie plików / folderów / usług pasków, czyszczenie rejestru, usuwanie rozszerzeń (tylko XP), a także tworzy raport i kopie zapasowe.
Ten post został edytowany przez picasso: 28/03/2009, 8:20
|
|
|
|
|
|
|
|
20/01/2009, 5:11
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Infekcja Lop / CID / Trojan SwizzorNarzędzie przeznaczone do usuwania infekcji Lop. Typowo możemy ją złapać instalując: dodatek Messenger Plus (sponsorzy w instalotorze to właśnie to), fałszywy archiwizer WinZix, NetPumper, różne "torrent-dodatki" (BitDownload, BitGrabber, BitRoll, Get-Torrent, TorrentQ, TorrentSpeeder, BitTorrent Fastest Tool), czy podrabiane odtwarzacze (3wPlayer, DomPlayer, DivoPlayer, KitPlayer, GalaPlayer). Lop S&D dodatkowo posiada możliwość wyszukiwania innych infekcji i plasowania informacji o tym w swoich wynikowych logach. Integruje w sobie Catchme Gmera. Aplikacja wspiera Windows Vista, wymogiem jest tryb administracyjny. OBSŁUGA PROGRAMU:1. Ściągnięty plik uruchamiamy przez dwuklik. Vista: z prawokliku opcją Uruchom jako Administrator.  2. Pojawi się konsolowe okno z wyborem języka komunikacyjnego. Z klawiatury wpisać E i ENTER: 3. Następnie otrzymamy komunikat ostrzeżeniowy do zatwierdzenia: 4. Zostanie wywołane właściwe okno adresujące akcje z infekcją. Wpisujemy z klawiatury wybraną liczbę (patrz dalej) i ENTER:
Type your choice then press "Enter" to validate :_
|
Narzędzie tworzy raport (%systemdrive%\LopR.txt ) oraz kopie zapasowe (%SystemDrive%\Lop SD\Backup-Lop).  OPCJA 1 (WYSZUKIWANIE INFEKCJI)Funkcja "tylko-do-odczytu" umożliwiająca przeskanowanie komputera bez żadnej ingerencji i zaprezentowanie raportu. Na ekranie wyboru z klawiatury wpisujemy 1 i zatwierdzamy przez ENTER: Type your choice then press "Enter" to validate :1 |
Rozpocznie się sprawdzanie systemu. W tej fazie narzędzie listuje foldery (%AppData%(s) %ProgramFiles% %CommonProgramFiles% %ProgramData% ( Vista ) i zaplanowane zadania (%Windir%\Tasks), wyszukuje pliki i foldery Lop, sprawdza plik HOSTS, wyszukuje wpisy rejestru, uruchamia skan Catchme, przeszukuje pod kątem innych infekcji, i rzuca wszystko do raportu tekstowego. | Searching for Lop Files - Folders -- cdrom 1 |
Finałowo otrzymamy komunikat o ukończeniu operacji skanowania: | Scan completed at 10:48:32 |
Narzędzie automatycznie otworzy w Notatniku log. OPCJE 2 i 3 (AUTO-DEZYNFEKCJA)Te funkcje są przeznaczone do czyszczenia komputera z infekcji Lop. Program daje dwie możliwości: 2 (uwzględnia naprawę pliku HOSTS) i 3 (pomija naprawę pliku HOSTS). Na ekranie wyboru z klawiatury wpisujemy wybraną liczbę i zatwierdzamy przez ENTER: Type your choice then press "Enter" to validate :2 |
Narzędzie prowadzi w tej fazie usuwanie plików i folderów Lop, zapisów rejestru, regenerację pliku HOST Windows (ten krok jest pomijany przy wyborze opcji 3), a także tworzy raport i kopie zapasowe. !! DO NOT CLOSE THIS WINDOW !!
Fixing in progress ... ... SkinCrafterDll.dll |
Na koniec dostaniemy zawiadomienie o ukończeniu procesu: | Scan completed at 14:53:42 |
I otworzy się raport w Notatniku. OPCJA 4 (RĘCZNE USUWANIE PRZEZ SKRYPT)Funkcja umożliwiająca ręczne wskazanie listy folderów / plików na usunięcie. To implikuje dużą znajomość tematu lub otrzymanie konkretnych instrukcji od nas z forum. Type your choice then press "Enter" to validate :4 |
Otworzy się okno Notatnika, w którym wklejamy listę plików / folderów do usuwania:  Zamykamy okno Notatnika i na prośbę o zapis pliku odpowiadamy twierdząco. Uruchomi się konsola: | Please Wait ... LopScript |
Dalszy ciąg wygląda tak samo jak w przypadku automatycznej opcji dezynfekującej. DEINSTALACJA PROGRAMUNależy wejść do folderu C:\Lop S&D i wywołać stamtąd plik uninstal.exe.
Ten post został edytowany przez picasso: 28/03/2009, 8:49
|
|
|
|
|
|
|
|
14/03/2009, 13:51
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Usuwanie określonych komponentów adware.... opis w budowie .... OBSŁUGA PROGRAMU:1. Narzędzie instalujemy jak normalny program. Instalator jest po francusku. 2. Pojawi się pierwsze z dosowych okien z "Proszę czekać": Veuillez patienter ... 100%
_
|
W tym punkcie ujawnia się klauzula użytkowa programu po francusku, którą należy zatwierdzić. 3. Następną fazą jest pojawienie się menu programowego z wyborem akcji:
 Choisissez et appuyez sur entrée pour continuer ('A','B','C','D') : _
|
Wpisanie określonego znaku z klawiatury uruchomi wybrane zadanie: A (tworzenie raportu), B (dezynfekcja), C (deinstalacja narzędzia), D (opuszczenie narzędzia).
|
|
|
|
|
|
|
|
18/03/2009, 10:33
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Infekcja Smitfraud / Zlob / PuperSmitfraudFix to narzędzie czyszczące infekcję określaną zbiorczym kryptonimem "Smitfraud". W skład wchodzą rozmaite podróbki programów antyspyware, fałszywe kodeki i różne powiązane trojany. Nie sposób wyliczyć wszystkiego - do oglądnięcia LISTA usuwanych infekcji. Charakterystyka tych infekcji: podmiana tapety i niemożność wybrania własnej, inne uprzykrzenia ustawień Pulpitu, zgłoszenia w balonikach w zasobniku systemowym oferujące fałszywe programy do usuwania spyware / czyszczenia systemu / naprawy rejestru, popupy o treściach zagrożeniowo - reklamiarskich, "na sztywno" ustawiona strona startowa IE z kolejną reklamówką, w Menu Start fałszywe "Security Center", samoczynny montaż tychże programów na komputerze. Takich programów jest baaaardzo wiele - szybko się rodzą i wymieniają. OBSŁUGA PROGRAMU:1. Ściągamy z powyższego linka plik SmitfraudFix.exe i go uruchamiamy przez dwuklik:  2. Zainicjuje się linia komend i dostaniemy pierwszy z ekranów z prośbą o "wciśnięcie jakiegokolwiek klawisza, by kontynuować", więc z klawiatury ENTER: joedanger is NOT involved with Smitfraudfix in any way!
This tool was created by S!Ri, and is available for FREE.
Voluntary donations will be accepted by S!Ri, at his main website only.
Anyone, other than the creator, trying to make a profit
or solicit money from its use would be involved in fraudulent activity.
Press a key to continue... |
3. Dostaniemy menu wyboru opcji na niebieskim ekranie: SmitFraudFix v2.405
1. Search
2. Clean (safe mode recommended)
3. Delete Trusted zone
4. Check for updates
5. Search and clean DNS Hijack
L. French Language
Q. Quit
Close all applications
Computer may reboot
Enter your choice (1,2,3,4,5,L,Q) : |
4. Wybieramy, jaką akcję chcemy przeprowadzić. Odbywa się to przez wpisanie z klawiatury korespondującego numeru / litery opcji i zatwierdzenie przez ENTER. Opcja 1 robi tylko raport, opcje 2 / 3 / 5 prowadzą różne aspekty dezynfekcji, opcja Q zamyka narzędzie, a opcja L zupełnie bezużyteczna. Szczegółowy opis poszczególnych operacji poniżej. Z wywołania funkcji 1, 2 i 5 powstanie log narzędzia. Log jest na dysku pod postacią C:\rapport.txt. Do pokazania na forum.  OPCJA 1 (TWORZENIE LOGA):Jest to zwyczajne inicjowanie skanu bez dezynfekowania, tylko tworzące raport. Wpisujemy z klawiatury liczbę 1 i klikamy na ENTER: | Enter your choice (1,2,3,4,5,L,Q) : 1 |
Uruchomi się skanowanie, będzie widoczny postęp, które obiekty są aktualnie w fazie skanowania: SmitFraudFix v2.405
Scanning Process...
Scanning hosts...
Scanning C:\...
Scanning C:\WINDOWS\...
Scanning C:\WINDOWS\system...
Scanning C:\WINDOWS\Web...
Scanning C:\WINDOWS\system32...
Scanning C:\Documents and Settings\Aretuza... |
Po ukończeniu pracy narzędzie samoczynnie się zamyka, otwierając też w sposób automatyczny log w Notatniku. OPCJA 2 (DEZYNFEKCJA):Funkcja czyszcząca. Resetujemy komputer do trybu awaryjnego = OPIS. Uruchamiamy SmitfraudFix.exe i wpisujemy liczbę 2 i ENTER: | Enter your choice (1,2,3,4,5,L,Q) : 2 |
Zostanie uruchomione czyszczenie właściwe rozpoczęte od zabicia procesu explorer.exe (zniknie Pulpit i pasek zadań). W oknie programu będzie widoczny postęp operacji. Padnie pytanie o czyszczenie rejestru: SmitFraudFix v2.274
Killing process...
hosts...
Winsock2 Fix...
Generic Renos Fix...
Deleting infected files...
Scanning DNS
Deleting Temp Files...
Registry Cleaning
Do you want to clean the registry ? (y/n) |
Odpowiadamy wpisując z klawiatury Y i ENTER: | Do you want to clean the registry ? (y/n)y |
W dalszej kolejności narzędzie sprawdzi, czy plik wininet.dll jest zainfekowany a jeśli = może paść pytanie o podmianę pliku (o ile czystą kopię znaleziono): Replace infected file? = Y i ENTER. Finalnie może być wymagany reset komputera, by ukończyć sprzątanie. UWAGA: SmitfraudFix ma wbudowane wykrywanie specyficznej infekcji w łańcuchu Winsock (LSP) - plików lafX.dll (gdzie X = numery, np. laf1.dll, laf2.dll...). Jeśli taka infekcja jest, w trakcie procesu dezynfekcji może pokazać się komunikat: | C:\WINDOWS\system32\laf1.dll Detected, use LSPFix.exe to delete ! |
W takim przypadku należy użyć narzędzia LSP-Fix. Za jego pomocą usunąć z Winsock tylko i wyłącznie plik, który został wykryty przez SmitfraudFix, i zresetować komputer. Po resecie i upewnieniu się, że plik nie jest już pokazywany w oknie LSP-Fix, można plik ręcznie skasować z dysku. I kontynuować operację ze SmitfraudFix. OPCJA 3 (WITRYNY)Funkcja czyszcząca. Punkt opcjonalny, ale jakże przydatny. Akcja czyści strefę Witryn Zaufanych / Ograniczonych. Jest to odpowiednik KillTrusted. Tym razem wpisujemy 3 i ENTER: | Enter your choice (1,2,3,4,5,L,Q) : 3 |
Padnie pytanie o kontynuację, które należy potwierdzić przez wpisanie z klawiatury Y i ENTER: | Restore Trusted Zone ? (y/n) Y |
Narzędzie wyczyści Trusted Zone, tworząc też kopię zapasową, i poprosi o "wciśnięcie jakiegokolwiek klawisza, by kontynuować": Saving BackUp...
Trusted Zone deleted.
Press any key to continue . . . |
A więc z klawiatury w ENTER. OPCJA 5 (DNS):Funkcja czyszcząca. Częściowa realizacja zadania wbudowanego do FixwareOut (ale to nie to samo). Służy do sprawdzania i czyszczenia szkodliwego DNS, wykonuje komendę ipconfig /flushdns. Z klawiatury wpisujemy 5 i ENTER: | Enter your choice (1,2,3,4,5,L,Q) : 5 |
Program wykona operację i zostanie automatycznie otworzony log.
Ten post został edytowany przez picasso: 27/03/2009, 23:53
|
|
|
|
|
|
|
|
18/03/2009, 20:40
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Program bardzo podobny do SmitfraudFix i też często aktualizowany. Na stronie autora jest lista adresowanych infekcji. Przeznaczony tylko dla Windows XP. Instrukcje uruchomienia: OBSŁUGA NARZĘDZIA:1. Ze strony programu pobieramy plik *.bat. Nazwy pliku będą różne zgodnie z postępem aktualizowania programu - narzędzie ma w nazwie stan własnej wersji (np: roguefix_2.241.bat). Firefox / Opera: należy kliknąć prawym i wybrać opcję zapisu na dysk, w przeciwnym przypadku plik bat otworzy się wprost w przeglądarce.  2. Po ściągnięciu pliku na dysk, resetujemy komputer do trybu awaryjnego = OPIS. Z dwukliku plik *.bat uruchamiamy. Zainicjuje się dosowe okno, oczywiście z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować: Roguefix Removal Tool ©internetinspiration
*******************
This tool will check your XP system for files and registry keys
belonging to rogue spyware applications and their installing trojans
Files detected will be removed
Internet Inspiration assumes no liability for
damage or loss as a result of running this tool
If you do not wish to continue with the dectection/removal process
Close this program by clicking on the 'x' top right hand corner of this window
Press any key to continue . . . |
Klik w ENTER. 3. Rozpocznie się proces skanowania plików i dezynfekcji: | roguefix is searching your system. Please wait ......... |
W tej fazie narzędzie sprawdza rozmiar pliku beep.sys na okoliczność modyfikacji:
check file size of beep.sys
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
beep.sys has been overwritten
Your PC cannot be cleaned unless the file is deleted
along with the back up file
This will result in you no longer hearing the system beep,
you can replace the file by installing a clean one
from your windows disk or from the internet.
further information and help is available at
http://www.internetinspiration.co.uk/replace beep.sys.htm
Do you wish to delete this file?
Select Y or N and press ENTER: |
Ta procedura zwraca false positivy i przy zawiadomieniu o "zmienionym rozmiarze" + propozycji kasacji pliku proszę wprowadzić odpowiedź negatywną (i zgłosić się potem na forum). Wpisujemy N i ENTER. 4. W dalszej kolejności narzędzie rozpocznie skan rejestru. The detection of files is complete
checking registry, please wait |
Po drodze padną dwie propozycje - resetowania ustawień Pulpitu i stron startowych Internet Explorer. Poczynione tu zmiany nie będą zatwierdzone, dopóki komputer nie zostanie zresetowany po pracy RogueFixa. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Do you want to set your DESKTOP BACKGROUND back to the Windows default settings?
These changes will not take effect untill you reboot
Press N then ENTER if your desktop background has not changed or
you prefer to do it manually
Press Y then ENTER to reset |
Jeśli mamy zablokowany Pulpit (nie można zmienić tapety), wpisujemy Y i ENTER. Jeśli nie chcemy nic zmieniać, wpisujemy N i ENTER. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Do you want to set your HOMEPAGE back to the Windows default settings?
These changes will not take effect untill you reboot
Press N then ENTER if your Homepage has not changed or
you prefer to do it manually
Press Y then ENTER to reset |
Podobnie tutaj: wpisanie Y i ENTER zresetuje nam stronę startową IE. Wpisanie N opuści ten krok. 5. Finalnie narzędzie wyświetli ekran zawiadamiający o utworzeniu loga, z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować: ##########################################################
This removal tool has completed its functions.
A logfile of any files found and deleted has been made.
You will find roguefix.txt on your desktop
Restart your computer in normal mode
Complete the cleaning process as instructed at RogueFix homepage
Pressing any key will close this program
##########################################################
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Press any key to continue . . . |
Klikamy w ENTER. Narzędzie się zamknie, a my możemy już zresetować komputer do trybu normalnego. Log jest na Pulpicie, w postaci pliku roguefix.txt. Do pokazania na forum. UWAGA: Narzędzie, podobnie jak SmitfraudFix, ma wbudowaną detekcję hijackera Winsock - plików typu lafX.dll (gdzie X = numery, np. laf1.dll, laf2.dll...). Jeśli taka infekcja zostanie wykryta, narzędzie o tym zawiadomi: ******************* WARNING ******************
"C:\WINDOWS\system32\laf2.dll" IS PRESENT ON YOUR SYSTEM
To prevent damage or disruption to your internet connection you must run LSP.fix
If you have already downloaded LSPfix to your desktop, press any key to continue
If you have downloaded LSPfix to any other location open the program manually
and press any key for the instructions.
If you have not downloaded LSPfix, DO NOT RUN ROGUEFIX YET
Restart your PC in normal mode and visit homepage of LSPFix to obtain a copy
Press any key to continue . . . |
Koniecznym krokiem tej fazy jest operacja przez narzędzie LSP-Fix. RogueFix daje trzy scenariusze: - Jeśli jeszcze nie pobrano na dysk LSPFix, nie wolno kontynuować, tylko najpierw go ściągnąć.
- Jeśli LSPFix jest już zapisany na Pulpicie, można wcisnąć jakikolwiek klawisz, by kontynuować.
- Jeśli LSPFix jest zapisany w innej lokalizacji niż Pulpit, należy go uruchomić, i dopiero wtedy kliknąć jakikolwiek klawisz, by kontynuować.
Pojawi się kolejny ekran, tym razem z instrukcjami jak skorzystać z LSP-Fix: IMPORTANT - FOLLOW THESE INSTRUCTIONS CAREFULLY
.............................................................
If LSPfix has not opened, go to the location you downloaded it
and open the program.
........................................................
If laf2.dll (where 2 is a number) appears in the left panel of LSPFix -
1) Click on the entry then on the ">>" button to move it into the right panel
DO NOT SELECT ANY OTHER ENTRY FOR REMOVAL
2) Click the box marked "iKnow what I'm doing"
3) Click finish
4) Click 'yes' to any message needing confirmation to remove.
If laf2.dll (where 2 is a number) already appears in the right panel of LSPFix -
1) Click the box marked "iKnow what I'm doing"
2) Click finish
3) Click 'yes' to any message needing confirmation to remove.
Close LSPfix to continue. |
To macie opisane w linku LSPFix, do którego kieruję. Czyli za pomocą LSP-Fix należy usunąć pokazany przez RogueFix plik (tylko i wyłącznie ten!). I dopiero jak ukończymy tę operację, można kontynuować z RogueFixem. Kontynuacja oznacza zamknięcie okna LSP-Fix.
Ten post został edytowany przez picasso: 28/03/2009, 2:30
|
|
|
|
|
|
|
|
19/03/2009, 11:32
|
Expert Rank
Grupa: Na emeryturze
Postów: 36.724
Dołączył: 27/05/03
Skąd: Był Kraków Jest Holandia
Użytkownik nr: 2.797
|
Czyściciel wycinkowy usuwający z systemu: AntiSpyPro, Antivirus 2010, Files Secure, IE-Security, IE AntiSpyware, IE AntiVirus, IEDefender, Malware Bell, Malware Protector 2008, RichVideoCodec, Total Secure 2009, WinDefender 2009. Eliminuje fałszywe alterty zagrożeniowe generowane przez Trojan-Downloader.Win32.Delf, również usuwając i tego trojana. OBSŁUGA NARZĘDZIA:1. Pobrany plik uruchamiamy przez dwuklik:  2. Pierwszym ekranem będzie zatwierdzenie licencji. 3. Następnie ujawni się okno inicjujące skanowanie. Należy kliknąć w Scan. W tym momencie narzędzie będzie tworzyć kopie bezpieczeństwa, czyli punkt Przywracania systemu oraz kopię rejestru przy udziale narzędzia ERUNT.  4. Następnie zostaną zabite wszelkie instancje Internet Explorer oraz powłoka Windows Explorer (zniknie Pulpit / Pasek zadań), a na pasie postępu możemy obserwować postęp naprawczy:  5. Finałowo narzędzie obwieści ukończenie operacji, zostanie przywrócony normalny wygląd Pulpitu.  Na Pulpicie pojawi się log narzędzia. Do pokazania na forum. 
|
|
|
|
|
|
|
|
Internet & Windows & Hardware FORUM => Searchengines.pl > KAWIARENKA PC - oprogramowanie > Wirusy i Spyware - Bezpieczeństwo w sieci
Pobierz: 
PRACA w IT