Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Diagnostyka: infekcje typu rootkit


  • Zamknięty Temat jest zamknięty
2 odpowiedzi w tym temacie

#1
picasso

picasso

    Administrator

  • Administratorzy
  • 36552 postów
  • Skąd:Holandia

Tworzenie raportów z poziomu startującego Windows:



Proszę nie pobierać linkowanych tu narzędzi z portali / stron innych niż strony domowe podane tu w temacie. Wysoka podatność pobrania zdezaktualizowanej wersji i złapania portalowych "bonusów".




Obowiązkowe raporty dołączane do każdej prośby o pomoc:Dodatkowe czynności dla systemów XP po ukończeniu skanu:



Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba):

W zależności od przebiegu określonego tematu możemy poprosić o dodatkowe materiały:


Programy przestarzałe / nierozwijane:

Spoiler


Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#2
picasso

picasso

    Administrator

  • Administratorzy
  • 36552 postów
  • Skąd:Holandia

Raport obowiązkowy dołączany do każdej prośby o pomoc

 
 

GMER

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Strona domowa

Proszę kliknąć bezpośrednio w poniższy button numer jeden w poście:

button.png button.png button.png

Każdorazowy klik generuje plik EXE o innej nazwie. Jest to zalecana wersja o charakterystyce losowej. Proszę mieć na uwadze, że obecnie są infekcje reagujące na słowo "gmer" i skutecznie blokujące pobranie i uruchomienie programu. Niestety nie da się tego uniknąć, musiałyby zostać usunięte wszystkie hasła "gmer" i odnośniki. Proszę nie pobierać wersji wynalezionych gdzieś na Google, czy linkowanych w portalach oprogramowania.





Przygotowanie prawidłowego podłoża do uruchomienia programu:

Sterownik + procedury skanujące wywoływane przez aplikację mogą wejść w kolizję z innym oprogramowaniem, które stosuje techniki niskopoziomowego dostępu / wykazuje aktywność rootkit-podobną. Widocznym znakiem może być: zawieszenie programu, jego natychmiastowe zamykanie się z błędem, fatalny niebieski ekran śmierci (na komputerach z zaznaczoną opcją auto-resetu BSOD zostanie przykryty samoresetem komputera).

Wirtualne napędy (Alcohol / DAEMON i podobne): Ten typ albo całkowicie uniemożliwia uruchomienie GMER, a jeśli nawet zdoła on wykonać zadanie, wynikowy log jest zaciemniony i prawdziwa infekcja może być ukryta "pod" działaniem tego softu. Niezbędnym jest usunięcie tego na czas diagnostyki. Szczegółowy opis eliminacji jest zlokalizowany w poniżej linkowanym ogłoszeniu. Niezależnie od tego co się danemu użytkownikowi wydaje, powinien sprawdzić dokładnie czy przypadkiem nie ma w systemie czynnej emulacji. Znam takich, którzy zapewniali, że odmontowali lub nie posiadają wcale. Logi wykazały coś wręcz przeciwnego. Należy zwrócić uwagę, że prosta deinstalacja danego oprogramowania nie usuwa sterownika SPTD i może pozostać on w formie czynnej, zresztą sterownik ten to nie jedyna możliwość w obszarze sterowników emulacji.


Obowiązkowe kroki do wykonania opisane w ogłoszeniu: Ważne - Oprogramowanie emulujące napędy



Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu.

 

Pierwsze uruchomienie / konfiguracja programu / zapis raportu:

1. Pobrany wcześniej plik EXE uruchamiamy przez dwuklik.

gm1.png

Windows 10 - Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

gm2.png

2. Aplikacja otwiera się automatycznie w karcie Rootkit/Malware. Inicjuje się automatycznie pre-skanowanie, o formie skróconej. Proszę cierpliwie przeczekać ten etap. Niezależnie od tego czy okno finałowe będzie puste, czy pojawi się w nim określony odczyt, czy będzie zgłoszenie o rootkicie, należy wywołać kompletne skanowanie systemu - patrz na punkt 3. Wielu użytkowników na forum zakańcza zadanie z GMER na tym etapie, silnie zasugerowanych, że pojawiło się coś w oknie, ergo jest to wynik końcowy. Wyniki z wstępnego skanowania mogą być rozbieżne od wyników skanowania pełnego.

gm3.png


Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!



3. Przed uruchomieniem skanu pełnego należy zweryfikować ustawienia skanera (patrz na powyższy obrazek). Proszę zostawić wszystko na domyślnej konfiguracji i nie zmieniać układu proponowanego domyślnie. Tzn.:
  • Wszystkie boxy od pozycji "System" do "Pliki" + "ADS" powinny być zaptaszkowane. Opcja "Pokaż wszystko" powinna pozostać odptaszkowana i zszarzona w takiej konfiguracji.
  • W sekcji dysków twardych domyślnie będzie zaznaczony tylko dysk systemowy (tu w przykładzie C:). Przy obecności większej ilości dysków pozostałe są odptaszkowane i proszę ich nie nie zaznaczać. Interesuje nas tylko partycja systemowa. Zaznaczenie wszystkich dysków spowoduje też potworne wydłużenie się skanowania, bez widocznych benefitów w "rozszerzonym raporcie".
4. Po upewnieniu się w kwestii prawidłowości ustawień należy kliknąć w buttonik Szukaj. Rozpocznie się skanowanie właściwe zobrazowane przez zmieniające się lokalizacje na spodzie okna GMER i zamianę buttonika Szukaj w Stop:

gm4.png

W zależności od dostępnych zasobów systemowych, rozległości skanowanego dysku, oraz innych czynników skanowanie może długo trwać (nawet kilka godzin). Proszę cierpliwie czekać, zostawić system "na bezczynności" dopóki GMER wykazuje objawy życia. Znakiem ukończenia skanowania jest zmiana buttonika "Stop" w "Szukaj". Wynikowa zawartość okna może być znacznie szersza niż z początkowego pre-skanowania:

gm5.png

Jeżeli wśród obiektów wystąpi zjawisko rootkit, korespondujące wyniki zostaną zamalowane na czerwono, a GMER w osobnym okienku to ogłosi:

gm7.png


Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!



4. Po ukończeniu skanu należy wybrać buttonik Kopiuj. Pojawi się poniższy komunikat. Log jest w schowku. CTRL+V do Notatnika (lub posta), by zachować / wkleić wyniki.

gm6.png


Wielu użytkowników nie czyta tego fragmentu i się dziwi, że nie może dołączyć raportu (błąd załączników "Nie masz uprawnień..."). Jest dobrana opcja Kopiuj i ręczny zapis do pliku *.TXT a nie Zapisz tworząca plik o rozszerzeniu *.LOG zabroniony w załącznikach forum.






W przypadku wystąpienia trudności:

1. Jeżeli GMER przechodzi pomyślnie preskan, ale nie jest możliwe wykonanie skanowania pełnego, proszę umieścić w poście skopiowane wyniki preskanu, o ile wynik jest inny niż puste okno.

2. Na okoliczność zawieszeń programu / wystąpień błędów / BSOD pomocna może się okazać redukcja procesów, to znaczy próba uruchomienia programu z poziomu Trybu awaryjnego Windows. Należy jednak zwrócić uwagę, że raport powstały z poziomu Trybu awaryjnego może nie wykazać wszystkich aktywności rootkit (to zależy jeszcze od typu infekcji).

Kilku użytkowników zgłosiło mi problem obciętego okna GMER w Trybie awaryjnym (obrazek). Nie udało mi się zreprodukować tego efektu (zapewne coś do rzeczy ma określona rozdzielczość ekranowa), ale było to dawno temu już raz przeze mnie rozwiązywane. Powinna metoda działać i dziś. Należy posłużyć się narzędziem ResizeEnable i za jego pomocą wymusić rozciągnięcie okna GMER, by uwidocznić buttoniki. Zmiana jest sesyjna, zachodzi tylko podczas działania narzędzia ResizeEnable.

3. Jeżeli w ogóle jest niemożliwe uruchomienie GMER, dobierzemy alternatywę.

W temacie z prośbą o pomoc należy dokładnie opisać wszelkie dewiacje / trudności w uruchamianiu GMER.



Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
picasso

picasso

    Administrator

  • Administratorzy
  • 36552 postów
  • Skąd:Holandia

Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP):


Podczas skanu zbyt długa odpowiedź kontrolera dysku może doprowadzić do przypadkowego obniżenia szybkości transferu dysku z DMA do PIO. Skutkiem ubocznym PIO jest bardzo powolny start (nawet do kilku minut!) i praca systemu, wysokie obciążenie mimo braku widocznych procesów konsumujących zasoby oraz "trzeszczenie dźwięku". Jak sprawdzić tryb transferu dysku i skorygować go z PIO do DMA:

Start > Uruchom > devmgmt.msc

W menu Widok wybierz opcję Urządzenia według połączeń. W nowo posortowanym menedżerze rozwiń gałęzie zaczynając od "Komputer PC..." w dół szukając kontrolera IDE z Podstawowym i Pomocniczym kanałem IDE. Na jednym z nich jest zlokalizowany dysk twardy (napędy CD/DVD-ROM oraz kanały puste nas nie interesują). Zwykle, choć nie zawsze, będzie to Podstawowy kanał IDE.

Prawoklik na kanał IDE > Właściwości > karta Ustawienia zaawansowane > zweryfikuj linię Bieżący tryb transferu:

pio3.png

By naprawić usterkę, wystarczy z prawokliku odinstalować kanał na którym wykryto PIO i zresetować system.





Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych