Skocz do zawartości

Archiwum - Usuwanie bootkitów i rootkitów


picasso

Rekomendowane odpowiedzi

Ogólne narzędzia do operacji na MBR

Bootkity - Infekcje w MBR

Rootkit TDSS/TDL/Olmarik - Klony MaxSS/SST/Olmasco

Rootkit Max++/ZeroAccess/Sirefef (zamknięty botnet)

Rootkit Necurs

Odnośnik do komentarza
  • 1 miesiąc temu...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcje w MBR dysków (hasła powiązane: Stoned Bootkit / Whistler Bootkit / Black Internet)

 

 

index_console_m.png

 

MBRCheck

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit i 64-bit

 

Pobierz
 
Pobierz

 

 

Program od lat nierozwijany. Pod kątem funkcyjnym zastąpiły go nowsze produkcje Gmer. Obecnie żaden z programów Gmera (GMER, aswMBR) nie jest rozwijany i nie ma wsparcia dla najnowszych wersji Windows 10.

 

 

Uzupełnienie do wątków infekcji w MBR adresujące przypadki typu Whistler Bootkit. MBRCheck to narzędzie trybu user mode dedykowane detekcji i usuwaniu bootkitów, czyli rootkitów wykorzystujących obszar startowy MBR. MBRCheck to wariacja nierozwijanego już eSage Lab Bookit Remover. Jest unowocześniony, podaje lepsze informacje (typuje rodzaj infekcji), a prowadzenie naprawy jest rozplanowane na interakcję z użytkownikiem. Narzędzie także podaje informacje OEM i kilka innych szczegółów (np. przeliczenie hashu pierwszych bajtów MBR).

Narzędzie jest typem konsolowym, tzn. jest obsługiwane z wiersza poleceń.

 

 

 

OBSŁUGA PROGRAMU:

 

Pobrany plik uruchamiamy przez dwuklik. Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Zostanie otworzone okno konsolowe:

 

 

Tworzenie raportu

 

W oknie wiersza poleceń automatycznie pojawią się wyniki skanowania, formatowane w podobny sposób jak w narzędziu Bootkit Remover, z wyjątkiem rozszerzonych informacji OEM oraz innej treści w statusach:

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version:                Windows 7 Ultimate Edition

Windows Information:            (build 7600), 32-bit

Base Board Manufacturer:        ASUSTeK Computer INC.

BIOS Manufacturer:              American Megatrends Inc.

System Manufacturer:            System manufacturer

System Product Name:            P5Q-E

Logical Drives Mask:            0x0000003c

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000019`00200000 (NTFS)

\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000 (NTFS)

 

     Size  Device Name         MBR Status

 --------------------------------------------

   596 GB  \\.\PhysicalDrive0__Windows 7 MBR code detected

           SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

   596 GB  \\.\PhysicalDrive1__Windows XP MBR code detected

           SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

Done!

Press ENTER to exit...

 

Narzędzie, niezależnie skąd uruchomione, samoistnie tworzy na Pulpicie korespondujący plik tekstowego raportu z datowaniem w nazwie. Zawartość tego pliku należy przekleić do posta na forum.

 

Dla każdego z namierzonych dysków może się pokazać następujący stan:

 

     Size  Device Name         MBR Status

 --------------------------------------------

    40 GB  \\.\PhysicalDrive0  Windows (wersja) MBR code detected

  

     Size  Device Name         MBR Status

 --------------------------------------------

    40 GB  \\.\PhysicalDrive0  Unknown MBR code

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

  

     Size  Device Name         MBR Status

 --------------------------------------------

   596 GB  \\.\PhysicalDrive0  Known-bad MBR code detected (Whistler / Black Internet)!

   596 GB  \\.\PhysicalDrive1  MBR Code Faked!

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

 

 

 

Jeśli na forum prosimy o "log z MBRCheck", to oznacza dokładnie tylko to. Nie podejmujcie naprawy na własną rękę. Przejście do dalszych czynności naprawczych zapada na podstawie oceny dostarczonego raportu.

 

 

 

Dezynfekcja

 

W przypadku gdy wyniki są inne niż standardowe, narzędzie uaktywnia podopcje, które prowadzą do specyficznych operacji. By dostać się do modułu usuwania należy wklepać z klawiatury Y i ENTER:

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit: Y

 

Pokażą się trzy opcje wyboru. Pierwsza ma charakter analityczny dla zaawansowanych (zrzut kodu MBR). Druga to właściwa naprawa MBR. Trzecia zakańcza działanie narzędzia. Z klawiatury należy wpisań liczbę 2 i ENTER:

 

Options:

  [1] Dump the MBR of a physical disk to file

  [2] Restore the MBR of a physical disk with a standard boot code.

  [3] Exit.

 

Enter Your choice: 2

 

Pojawi się prośba o wpisanie numeru dysku fizycznego (liczby z zakresu 0 do 99) do naprawy lub ewentualne anulowanie działania przez wpisanie -1. Numer dysku fizycznego jest pobierany z ciągu \\.\PhysicalDriveX, czyli przykładowo dla \\.\PhysicalDrive0 wpisujemy 0 i ENTER:

 

Enter the physical disk number to fix (0-99, -1 to cancel): 0

 

Narzędzie poda listę kodów odpowiadających sygnaturom poszczególnych systemów operacyjnych i poprosi o dokonanie wyboru. Należy wpisać z klawiatury tę liczbę, która pasuje do naszej wersji systemu, np. dla Windows 7 będzie to 5 i ENTER:

 

Available MBR codes:

  [ 0] Default (Windows XP)

  [ 1] XP

  [ 2] Server 2003

  [ 3] Vista

  [ 4] 2008

  [ 5] 7

  [ 1] Cancel

 

Please select the MBR code to write to this drive: 5

 

Zgłosi się ostateczne zatwierdzanie operacji nadpisania MBR, wykonywane przez wpisanie YES i ENTER:

 

Do You want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES

 

Otrzymamy komunikat o przepisaniu MBR, prośbę o restart systemu w celu ukończenia operacji i zamknięcie aktualnie otwartego okna przez ENTER z klawiatury:

 

Successfully wrote new MBR code!

Please reboot your computer to complete the fix.

 

Done!

Press ENTER to exit...

 

Restartujemy komputer. Po restarcie uruchamiamy ponownie narzędzie, po pomyślnej naprawie wynik powinien być zgodny z sygnaturą systemową:

 

     Size  Device Name         MBR Status

 --------------------------------------------

    40 GB  \\.\PhysicalDrive0  Windows 7 MBR code detected

 

 

 

PROCEDURY ALTERNATYWNE:

 

Jeśli zawiedzie czyszczenie przy użyciu tego narzędzia, odpowiednikiem jest skorzystanie ze środowisk zewnętrznych:

  • Windows XP/2003: FIXMBR z Konsoli Odzyskiwania
  • Windows Vista/2008/7: BOOTREC /FIXMBR z Dysku Odzyskiwania WinRE

 

Odnośnik do komentarza

Infekcja w MBR dysków (hasła powiązane: Mebroot / Sinowal / MaosBoot / Torpig / TDL4)

 

 

index_console_m.png

 

MBR rootkit detector

 

Strona domowa

 

Platforma: Windows 2000, XP, Vista, Windows 7

 

Pobierz

 

 

Narzędzie zastąpione przez aswMBR, w późniejszym czasie także usunięte (poniżej kolejny opis). Obecnie żaden z programów Gmera (GMER, aswMBR) nie jest rozwijany i nie ma wsparcia dla najnowszych wersji Windows 10.

 

 

Program autorstwa Gmera do sprawdzania i czyszczenia z rootkitów obszaru Master Boot Record (MBR) dysku twardego. Od wersji 0.4.2 jest w stanie wykonać detekcję rootkita TDL4. MBR.EXE jest także integrowany w innych specjalistycznych narzędziach (ComboFix, DDS).

 

 

TWORZENIE RAPORTU:

 

1. Narzędzie pobieramy z linka i zapisujemy w katalogu głównym dysku C. Vista/7: wymagane przejście przez proces UAC (C jest lokalizacją domyślnie zabezpieczoną).

 

2. Uruchamiamy z dwukliku, by dostać log aktualnego stanu MBR. Vista/7: tryb Uruchom jako Administrator. Uruchomi się na chwilę konsolowe okno.

 

3. Okno cmd samoczynnie się zamknie, a wynikową jest wygenerowany w tym samym katalogu, z którego startowano narzędzie, plik tekstowy mbr.log.

 

 

DEZYNFEKCJA:

 

Narzędzie MBR.EXE jest obsługiwane z linii poleceń.

 

Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej (+ ze wskazówką użycia komendy naprawczej):

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, "http://www.gmer.net"
Windows 6.0.6002 Disk: ST350082 rev.SD1A -> Harddisk0\DR0 -> \Device\00000059

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85858446]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8585e504]; MOV EAX, [0x8585e580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 ntkrnlpa!IofCallDriver[0x81E46962] -> \Device\Harddisk0\DR0[0x857B0308]
3 CLASSPNP[0x881A18B3] -> ntkrnlpa!IofCallDriver[0x81E46962] -> [0x852F2F08]
5 acpi[0x824106BC] -> ntkrnlpa!IofCallDriver[0x81E46962] -> [0x852EFC90]
\Driver\nvstor32[0x8583FC68] -> IRP_MJ_CREATE -> 0x85858446
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
detected disk devices:
\Device\00000058 -> \??\SCSI#Disk&Ven_ST350082&Prod_0AS#4&3840d2d&0&000000#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi -> 0x84e1f1f8
user != kernel MBR !!!
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x88b8ecb8
NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

 

 

1. W celu wykonania czyszczenia MBR należy zastartować do trybu awaryjnego z obsługą wiersza polecenia.

 

 

W linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER.

 

C:\Documents and settings\Administrator>C:\mbr.exe -f

 

 

2. Restartujemy komputer już normalnie. Uruchamiamy narzędzie mbr.exe ponownie z dwukliku, by uzyskać kolejny log potwierdzający naprawę.

 

----> Jeśli była ona pomyślna, log będzie mieć postać:

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

 

----> Jeśli proces zawiedzie, log może przybrać postać:

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x88b8ecb8
NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
Use "Recovery Console" command "fixmbr" to clear infection !

 

 

PROCEDURY ALTERNATYWNE:

 

Jeśli zawiedzie czyszczenie przy użyciu MBR.EXE, odpowiednikiem jest skorzystanie ze środowisk zewnętrznych:

  • Windows 2000/XP/2003: FIXMBR z Konsoli Odzyskiwania
  • Windows Vista/2008/7: BOOTREC /FIXMBR z Dysku Odzyskiwania WinRE

 

Odnośnik do komentarza
  • 1 rok później...

 

webroot-logo.gif

 

Webroot AntiZeroAccess

 

Strona opisowa na blogu Webroot

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit

 

Pobierz

 

 

Narzędzie przeterminowane. Wykrywa tylko stary wariant infekcji (infekcja w sterownikach). Obecnie botnet ZeroAccess i tak zamknięty.

 

 

Narzędzie Webroot dedykowane usuwaniu głównych komponentów rootkita określonego aliasami ZeroAccess lub Max++ (jego aktywność Microsoft Security Essentials może wychwytywać pod nazwą "Sirefef"). Skrótowa charakterystyka: zaawansowane techniki hookowania / intercepcji systemowego sterownika disk.sys, infekcja losowych sterowników systemowych, przekierowania przy udziale linków symbolicznych kierujących na ścieżki falsyfikaty oraz manipulacje w Winsock. Jednym z widocznych znaków działania tej infekcji w omawianej tu wersji jest całkowity nokaut oprogramowania zabezpieczającego i narzędzi analizy - po uruchomieniu narzędzia są nagle zamykane, a próba ich ponownego uruchomienia zwraca już komunikat braku dostępu (rootkit przekształca cały zestaw uprawnień).

Infekcja ta jest zdolna także atakować systemy 64-bit, aczkolwiek ze względu na inną konstrukcję platformy komponent rootkit nie występuje i jest używana nieco inna metoda ładowania. Opis działania tej infekcji na systemie 64-bit jest zlokalizowany w tym artykule: MAX++ sets its sights on x64 platforms. Przykład infekcji 64-bit z forum: Win32:Malware-gen. Narzędzie Webroot jest przeznaczone tylko dla systemów 32-bit, próba uruchomienia na systemie 64-bit zwraca komunikat o braku wsparcia dla tej platformy.

 

 

 

OBSŁUGA NARZĘDZIA:

 

Uwaga: narzędzie nie usuwa wszystkich skutków tej infekcji. Pozostają zdefektowane uprawnienia, link symboliczny i komponenty poboczne.

 

Narzędzie uruchamiamy przez dwuklik.

 

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

antizr.png

 

 

Pojawi się konsolowe okno interakcyjne z pytaniem czy rozpocząć skanowanie:

 

Webroot ZeroAccess Remover

Copyright© 2011 Webroot

www.webroot.com

 

This program will scan and remove any form of ZeroAccess Rootkit.

Would you like to perform a System Scan? [Y/N]

 

Należy z klawiatury wpisać Y i ENTER. W oknie będzie notowany progres skanowania, a elementy wykryte jako zainfekowane zostaną stosownie wyróżnione kolorem. Narzędzie oczekuje wciśnięcia jakiegokolwiek klawisza w celu przeprowadzenia dalszej analizy.

 

Webroot ZeroAccess Remover

Copyright© 2011 Webroot

www.webroot.com

 

This program will scan and remove any form of ZeroAccess Rootkit.

Would you like to perform a System Scan? [Y/N] Y

 

Check rootkit device: Found!

System Disk class driver state: Infected!

Current analysis path: C:\Windows\system32\Drivers\

Check file "1313000667.sys"... Clean!

(...)

Check file "tdx.sys"... Infected!

(...)

Check file "WUDFRd.sys"... Clean!

 

Press any key to analyze results...

 

Dostosowanie się do prośby przez wciśnięcie jakiegokolwiek klawisza zwróci kolejny ekran z zestawieniem elementów infekcji i pytaniem czy rozpocząć dezynfekcję:

 

|-------------------------------------------------------------------|

|               WARNING! Your system is Infected!!                  |

|-------------------------------------------------------------------|

 

List of infected files: tdx.sys

Your pc is infected. Would you like to perform system cleanup? [Y/N]

 

Wpisanie z klawiatury Y i ENTER rozpoczyna czyszczenie, z podsumowaniem rezultatów oraz finałową prośbą o zamknięcie narzędzia i restart komputera w celu ukończenia procesu odładowania malware.

 

|-------------------------------------------------------------------|

|               WARNING! Your system is Infected!!                  |

|-------------------------------------------------------------------|

 

List of infected files: tdx.sys

Your pc is infected. Would you like to perform system cleanup? [Y/N] Y

 

Disk class driver new state: Cleaned!

File "tdx.sys" new state: Cleaned!

Rootkit self defense driver... Not found!

 

ZeroAccess rootkit has been succesfully removed from the system!

 

Note: Please restart your system because

some part of the infection could still be active...

 

 

 

Execution ended.

Press any key to exit...

 

Po restarcie ponowne uruchomienie narzędzia powinno zwrócić takie oto wyniki:

 

Copyright© 2011 Webroot

www.webroot.com

 

This program will scan and remove any form of ZeroAccess Rootkit.

Would you like to perform a System Scan? [Y/N] Y

Check rootkit device: Not found!

System Disk class driver state: OK

Current analysis path: C:\Windows\system32\Drivers\

Check file "1313000667.sys"... Clean!

(...)

Check file "tdx.sys"... Clean!

(...)

Check file "WUDFRd.sys"... Clean!

 

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

Execution ended.

Press any key to exit...

 

Narzędzie generuje log tekstowy AntiZeroAccess_Log.txt, zlokalizowany w tym samym katalogu z którego uruchamiano narzędzie. Przykładowy wygląd raportu:

 

Webroot AntiZeroAccess 0.8 Log File
Execution time: 10/08/2011 - 11:11
Host operation System: Windows Seven X86 version 6.1.7600
11:12:31 - CheckSystem - Begin to check system...
11:12:31 - OpenRootDrive - Opening system root volume and physical drive....
11:12:31 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x04FFF000 sectors.
11:12:31 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys".
11:12:31 - InstallAndStartDriver - Main driver was installed and now is running.
11:12:31 - CheckSystem - Warning! Disk class driver is INFECTED.
11:12:31 - CheckFile - Access Denied while reading "1313000667.sys" file. Now I try to take ownership of this file...
11:12:31 - CheckFile - Successfully obtained ownership of file 1313000667.sys.
11:12:38 - CheckFile - Warning! File "tdx.sys" is Infected by ZeroAccess Rootkit.
11:14:37 - DoRepair - Begin to perform system repair....
11:14:37 - DoRepair - System Disk class driver was repaired.
11:14:37 - DoRepair - Infected "tdx.sys" file was renamed.
11:14:37 - DoRepair - Infected "tdx.sys" file was successfully cleaned!
11:14:37 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
11:14:37 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
11:14:37 - Execution Ended!

 

Jest wymagane dalsze czyszczenie systemu, ze względu na niekompletną procedurę.

 

Odnośnik do komentarza
  • 1 miesiąc temu...

 

220px-ESET_logo.svg.png

 

ESET Sirefef Cleaner tool

 

Artykuł opisowy w bazie technicznej ESET

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit

 

Nowsza wersja "ESET Sirefef Cleaner":

 

Pobierz

 

Stara wersja "ESET Sirefef Remover":

 

Pobierz

 

 

Poniższy opis pochodzi ze starszej wersji narzędzia. Narzędzia ogólnie przeterminowane. Obecnie botnet ZeroAccess i tak zamknięty.

 

 

Narzędzie od ESET dedykowane pladze rootkit ZeroAccess (ESET wykorzystuje alias "Sirefef", podobnie jak MS Essentials). Remover działa półautomatycznie, oczekiwana minimalna interwencja ze strony użytkownika, tzn. zatwierdzanie komunikatów. Podstawowym zadaniem jest usunięcie czynnych komponentów rootkit, w dalszej kolejności należy wykonać już tradycyjny skan antywirusowy oraz inne poprawki.

 

 

 

OBSŁUGA NARZĘDZIA ESET Sirefef Remover (stara wersja):

 

Uwaga: narzędzie nie usuwa wszystkich skutków tej infekcji. Pozostają zdefektowane uprawnienia, link symboliczny i komponenty poboczne.

 

Narzędzie uruchamiamy przez dwuklik.

 

sirefefrm1.png

 

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

sirefefrm2.png

 

 

Aplikacja otwiera się w oknie konsolowym i jest inicjowany skan pod kątem różnych wariantów trojana Sirefef.

 

ESET Win32/Sirefef Trojan remover v1.0.1.0 (Oct 4 2011 16:58:52) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Driver successfully initialized.

 

Win32/Sirefef.A not found on your computer.

Checking for latest variant of Sirefef aka "ZeroAccess"

 

Przy wykryciu infekcji ZeroAccess okno prezentuje zainfekowane komponenty i wyskakuje pop-up z pytaniem czy podjąć się leczenia zainfekowanego sterownika systemowego:

 

Checking for latest variant of Sirefef aka "ZeroAccess"

Hidden file: afd.sys

 

sirefefrm3.gif

 

Po zatwierdzeniu w oknie zostanie odnotowany status, pomyślnie wyczyszczenie jest oznajmiane kolejnym pop-upem:

 

Checking for latest variant of Sirefef aka "ZeroAccess"

Hidden file: afd.sys

File was successfully disinfected C:\Windows\system32\Drivers\afd.sys

 

sirefefrm4.gif

 

Jest wymagany restart komputera, w celu ukończenia procesu:

 

Checking for latest variant of Sirefef aka "ZeroAccess"

Hidden file: afd.sys

File was successfully disinfected C:\Windows\system32\Drivers\afd.sys

 

sirefefrm5.gif

 

Zatwierdzenie informacji prowokuje automatyczny restart. Brak logów tekstowych z operacji.

 

Odnośnik do komentarza
  • 5 miesięcy temu...

 

220px-ESET_logo.svg.png

 

ESET Necurs Remover

 

Artykuł opisowy w bazie technicznej ESET

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit i 64-bit

 

Pobierz

 

 

Poniższy opis pochodzi ze starszej wersji narzędzia. Obecnie jest inny konsolowy interfejs. Zaś rootkit Necurs jako taki jest rzadko już (o ile w ogóle) spotykany.

 

 

Narzędzie od ESET specjalizowane w usuwaniu rootkita Necurs. Rootkit cechuje się implementacją cyfrowego losowego sterownika i zablokowaniem sporej części standardowych prawidłowych sterowników, co ma odbicie m.in. w niemożności uruchomienia określonych skanerów antywirusowych / antyrootkit. Przykład z uruchamiania TDSSKiller (pomimo jednak tego błędu akurat to szczególne narzędzie jest zdolne się uruchomić, wykonać skan i nawet poradzić sobie ze sterownikiem rootkit):

 

tdsskillerblocked.png

 

Rootkit jest zdolny atakować systemy 64-bit (info), sterownik jest możliwy do osadzenia ze względu na wykonywaną przez infekcję edycję pliku startowego BCD, na którym zostaje wdrożona komenda włączenia ładowania sterowników podpisanych testowo. Z forum: przykład z systemu 32-bit / przykład z systemu 64-bit. Narzędzie ESET dedykuje infekcję w obu wydaniach, 32-bit i 64-bit.

 

 

 

OBSŁUGA NARZĘDZIA:

 

Pobraną paczkę rozpakowujemy, ze środka uruchamiamy plik ESETNecursRemover.exe przez dwuklik:

 

necurs2.png

 

Aktualizacja: teraz narzędzie nie jest w ZIP tylko EXE. Czyli od razu plik uruchamiany przez dwuklik.

 

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

 

Aplikacja otwiera się w oknie konsolowym i jest inicjowany skan na obecność rootkita Necurs. W przypadku braku wykrycia okno się samoczynnie zamknie. W przypadku wykrycia infekcji zgłosi się taki oto dialog z pytaniem o wszczęcie procedury usuwania:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Win32/Necurs was found active on your system. Do you want to perform cleaning?

 

necurs3.png

 

Zatwierdzenie czyszczenia zgłasza kolejny dialog o konieczności instalacji przez ESET jego sterownika wymaganego do przeprowadzenia procedury:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Win32/Necurs was found active on your system. Do you want to perform cleaning?

 

necurs4.png

 

Po zatwierdzeniu kolejny dialog notujący pomyślne zainstalowanie sterownika ESET i prośba o reset:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Win32/Necurs was found active on your system. Do you want to perform cleaning?

Driver installed successfully, restart now?.

 

necurs5.png

 

Zatwierdzenie prowokuje automatyczny restart. Po restarcie przy bootowaniu przed załadowaniem Pulpitu zgłosi się komunikat ESET poświadczający zablokowanie sterownika Necurs umożliwiające już pracę narzędzi antywirusowych:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Rootkit Win32/Necurs has been blocked and not running anymore.

24bb382025920c78 service was disabled.

 

necurs6.png

 

Załaduje się Pulpit. Na systemie 64-bit na Pulpicie pojawi się znak wodny Trybu testowego (uprzednio niewidzialny ze względu na ingerencję rootkit):

 

testmode.png

 

Dalsze działania na podstawie instrukcji udzielonych każdemu indywidualnie będą polegać na wyłączeniu trybu testowego oraz doczyszczeniu składników Necurs (już nieaktywnych).

 

Odnośnik do komentarza
  • 2 lata później...

 

aswmbrico.png

 

aswMBR

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:


Pobierz

 

 

Program nieaktualizowany od 2014 i ostatecznie zlikwidowany przez Avast. Obecnie w/w strona domowa kieruje do Free Rootkit Scanner and Removal Tool, czyli pobierania Avast Free Antivirus. aswMBR można nadal ściągnąć z przycisku widocznego powyżej, ale nie wiadomo jak długo narzędzie będzie dostępne.

 

 

aswMBR - Narzędzie od Gmera, stworzone dla ekipy Avast, dedykowane detekcji rootkitów MBR, VBR oraz infekcji sterowników (pierwotnie orientacja tylko na stare warianty TDL3/TDL4). Narzędzie jest prostsze obsługowo niż pierwowzór czyli konsolowy MBR.EXE i go zastępuje (MBR.EXE nie jest rozwijany i został usunięty z oficjalnej strony GMER), gdyż polecenia zostały przeobrażone w buttoniki. Do bardziej kompleksowego skanu zalecam jednak TDSSKiller i/lub MBAR linkowane w zbiorze narzędzi usuwających.

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

aswmbr1.png

 

Uruchamiamy pobrany plik przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

aswmbr2.png

 

Jeśli komputer obsługuje technologię wirtualizacji sprzętowej, zostanie zadane pytanie czy wykorzystać ją w skanie:

 

aswmbr3.png

 

Następnie padnie propozycja ściągania definicji Avast wspomagających skanowanie. Jest to krok opcjonalny i nie wymagany, by przeprowadzić skan zasadniczy.

 

aswmbr4.png

 

Opcje

 

Dostępne operacje:

  • Scan - Skanowanie w trybie tylko do odczytu
  • FixMBR - Usuwanie infekcji w MBR
  • Fix - usuwanie infekcji TDL4
  • Save log - Zapis raportu tekstowego (równocześnie i zrzucanie MBR do pliku)
  • Trace disk IO calls - Dodatkowe śledzenie zapytań IO dysku
  • Ponadto pliki wykryte jako "podejrzane" można skopiować spod narzędzia w celu analizy np. na VirusTotal.
 

Skanowanie

 

Rozpoczynamy diagnostykę przyciskiem Scan. W oknie pojawią się wyniki. Jeśli aswMBR wykryje konkretną infekcję, wynik jest stosownie opisany i zakreślony w kolorze czerwonym.

Szerszy wykaz notujący podejrzaną aktywność uzyskamy po zaznaczeniu opcji Trace disk IO calls.

 

 

Usuwanie infekcji

 

W celu usunięcia infekcji z MBR należy wybrać aktywny przycisk FixMBR. Postęp naprawczy jest notowany stosownymi komunikatami. Po pomyślnie przeprowadzonej operacji padnie prośba o restart komputera.

 

Przycisk FixMBR jest niedostępny, jeśli narzędzie: nie wykryło infekcji wcale, nie potrafi jej zdiagnozować w sposób jednoznaczny lub jest to rootkit infekujący sterowniki systemowe a nie MBR.

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...