Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 513
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. Budowa jest jasno nakreślona: w dziale na górze odbywać się będzie leczenie systemów, w dziale poniżej prewencja przed odwiedzeniem działu górnego (pytania o zabezpieczenia / konfigurację / dobór oprogramowania etc.). Dla użytkowników odwiedzających dział na górze aplikują się powieszone ogłoszenia specyfikujące w jaki sposób należy zbudować temat, oraz (już w środku działu) zestaw przyklejonych tematów z różnymi instrukcjami wspomagającymi medycynę systemową.
  2. Naprawianie Centrum zabezpieczeń OBJAWY Wchodząc w Panel sterowania przy próbie kliku na ikonkę Centrum można ujrzeć napis "Centrum zabezpieczeń jest obecnie niedostępne ponieważ usługa nie jest uruchomiona lub została zatrzymana" / "The security center is currently unavailable because the security center service has not started or was stopped". Niemniej próba uruchomienia usługi w services.msc zwróci informację "Nie można uruchomić usługi Centrum Zabezpieczeń na komputurze lokalnym" / "Could not start the Security Center service on Local Computer" z następującymi kodami liczbowymi do wyboru: Error 1083: Error 1083: The executable program that this service is configured to run in does not implement the service. Błąd 1083: Program wykonywalny w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi Error 123: Error 123: The filename, directory name, or volume label syntax is incorrect. Błąd 123: Nazwa katalogu lub składnika woluminu jest niepoprawna Error 2: Error 2: The system cannot find the file specified. Błąd 2: System nie może znaleźć określonego pliku Error 3: Error 3: The system cannot find the specified path Błąd 3: System nie może odnaleźć określonej ścieżki NAPRAWA 1. Gotowe narzędzie naprawiające Centrum Zabezpieczeń: Uruchomić i kliknąć Inspect and Fix: Otrzymamy komunikat po ukończeniu napraw: Resetujemy komputer by zmiany weszły w życie. 2. W przypadku gdy punkt 1 nie pomoże, odtwórz usługę Centrum. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system.
  3. picasso

    Archiwum narzędzi

    Przekierowania wyszukiwarki Firefox GooredFix Platforma: Windows XP, Vista, Windows 7 32-bit i 64-bit Obecnie program już niedostępny Narzędzie do usuwania infekcji implementowanej do Firefoxa, chrzczonej kryptonimem "goored" (od jednego z przekierowań). Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki: Google, Yahoo, MSN, AOL i Ask. Wyniki wyszukiwania są przekierowywane przez dziwne strony. Zasada infekcji: jest montowana ukryta wtyczka Firefox (niewidoczna na liście wtyczek), która monitoruje pasek adresów pod kątem kluczowych typu "google" etc, a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki. Następuje monitoring wyników wyszukiwania, które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych. Znaki infekcji: alternatywne przeglądarki (IE / Opera etc.) nie cierpią na ten sam defekt, po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki, choć nic nie było ręcznie montowane. Podczas używania wyszukiwarek na pasku statusu są widoczne różne "dziwne" adresy np. v1.adwarefeed.com, clickfraudmanager, google.goored, goougly.com, zfsearch.com, msnooze.com.... Narzędzie może uruchamiać się na Windows 64-bit, ale potrafi usuwać infekcję tylko z 32-bitowej wersji Firefox. OBSŁUGA NARZĘDZIA: Przeglądarka Firefox musi być zamknięta podczas uruchamiania narzędzia. 1. Ściągnięty plik uruchamiamy przez dwuklik. Vista/7: wymagane potwierdzenie dialogu UAC. 2. Narzędzie poprosi o zatwierdzenie procesu. 3. Jeśli przeglądarka Firefox jest otwarta, zgłosi się komunikat ostrzeżeniowy. 4. Odbędzie się automatyczny skan i usuwanie. Zostanie wygenerowany na Pulpicie log GooredFix.txt i automatycznie otworzony w Notatniku, a także folder kopii zapasowych GooredFix Backups. Przykładowy log z czyszczenia: GooredFix by jpshortstuff (08.01.10.1) Log created at 16:14 on 31/01/2010 (Maria) Firefox version 3.6 (en-US) ========== GooredScan ========== Deleting HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions\\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success! Deleting C:\Documents and Settings\Maria\Local Settings\Application Data\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success! ========== GooredLog ========== C:\Program Files\Mozilla Firefox\extensions\ {972ce4c6-7e08-4474-a285-3208198ce6fd} [20:09 23/04/2005] {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [02:51 27/01/2010] C:\Documents and Settings\Maria\Application Data\Mozilla\Firefox\Profiles\e3px1ji2.default\extensions\ {20a82645-c095-46ed-80e3-08825760534b} [17:55 27/09/2009] {403304EE-066A-4a2a-8F41-F12028480A0A} [02:55 27/01/2010] [HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions] "{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [07:06 08/08/2009] "jqs@sun.com"="C:\Program Files\Java\jre6\lib\deploy\jqs\ff" [02:50 27/01/2010] -=E.O.F=- DEINSTALACJA NARZĘDZIA: Wystarczy skasować z Pulpitu wykonywalny narzędzia + katalog kopii zapasowych GooredFix Backups + log. Tylko tyle.
  4. picasso

    Archiwum narzędzi

    Główne grupy tematyczne w osobnych tematach: Narzędzia pomocnicze Ogólne skanery Infekcje z mediów przenośnych Infekcje szyfrujące dane Usuwanie adware / PUP Usuwanie bootkitów i rootkitów ComboFix ================================================ Uszkodzenia w Windows Avira DNS Repair-Tool (stare narzędzie, usunięte ze strony domowej) ESET ServicesRepair (program usunięty przez ESET) FixPolicies (usunięty) Kaspersky CleanAutoRun (usunięty) Infekcje "bezplikowe" Poweliks / Gootkit / Kovter Symantec Trojan.Kotver Removal Tool (po przejęciu Symantec przez Broadcom likwidacja wszystkich artykułów i szczepionek) Symantec Trojan.Poweliks Removal Tool (po przejęciu Symantec przez Broadcom likwidacja wszystkich artykułów i szczepionek) Ransom - zablokowany Windows BitDefender Trojan.Ransom.IcePol Remover (2012) Dr.Web - wyszukiwarka kodów do odblokowania (link niedostępny) HitmanPro.Kickstart (usunięty, nie działa już poprawnie po najnowszych aktualizacjach MS) Trend Micro Ransomware Screen Unlocker Tool (usunięty) Wirusy polimorficzne AVG Neshta Fix (2013) ESET Virlock Cleaner (2016) Ogólna lista szczepionek Rogue / fałszywe "antywirusy" ESET Rogue Application Remover (ERAR) (2012) Fake Antivirus (FakeAV) Removal Tool (narzędzie usunięte) FakeAV Remover (2013) FixIEDef (2011, martwa strona) RogueFix (martwa strona) SmitfraudFix (2009, zastąpił go MBAM) Unhide (2018, ale adresuje baaaardzo starą infekcję) Infekcja Bagle (historyczna) EliBagla FindyKill Zip_Scan Inne historyczne narzędzia GooredFix (2010, usunięty) HaxFix (2011, pod historyczną infekcję Goldun/Haxdoor) Kaspersky KatesKiller (2009, usunięty) Kenco (2010, usunięty) Lop S&D (2008) PragmaFix (2010, martwa strona) SDFix (2008, martwa strona) VundoFix (2008, martwa strona)
  5. Dlaczego na fixitpc.pl nie prosimy o "log z ComboFix" jako obowiązkowy Przyklejone zasady w "działach bezpieczeństwa" innych miejsc w internecie, czyli sławna prośba o "log z ComboFix + HijackThis": na innych portalach (z przyzwoitości przemilczę) wiszą nieprofesjonalne i chore zasady zagrażające użytkownikom, a polegające na podawaniu "loga z ComboFix" bez żadnych przygotowań ot tak na starcie w pierwszym poście z prośbą o pomoc. Użytkownicy czytają tamtejsze zasady nie wykazując zainteresowania albo podejrzeń czy na pewno to wszystko jest bezpieczne i optymalnie dobrane. Może zacznijmy od argumentu nie do zbicia, czyli tego co ma na ten temat do powiedzenia sam autor programu ComboFix (a nie osoba pośrednia): KLIK. Pisząc po polsku i zrozumiale dla przeciętnego użytkownika: Dlaczego nie Nie jest znana w ogóle sytuacja systemu, i nie ma pewności czy uruchomienie tego programu nie wyeksportuje systemu użytkownika do grobu, albo czy jest konieczne jego używanie. System musi być wstępnie sprawdzony w inny sposób. ComboFix to nie jest narzędzie do "tworzenia loga", tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system. Użytkownicy, którzy prawdopodobnie mają czysty system, są w paskudny sposób zmuszeni do przejścia przez ingerencyjną rundę skanującą, tylko po to by "wytworzyć log"?! To nigdy nie jest w pełni "tylko-do-odczytu", a w skutek nieszczęśliwego zbiegu okoliczności czy pecha może się zdarzyć, że zostanie nawet pogorszony stan dotychczas sprawnego Windows. Procedury ComboFix w szczególnych przypadkach mogą doprowadzić do uszkodzeń systemowych (błędne użycie programu, interakcja z określoną infekcją lub innym oprogramowaniem, nieprawidłowy restart komputera, błąd programowy etc...) Uruchamianie ComboFix musi zostać zatwierdzone przez osobę, która prowadzi pomoc dla danego użytkownika, a jest dostatecznie wykwalifikowana, by umieć ocenić sytuację. Osoba stosująca to narzędzie musi być pilotowana i poinformowana o środkach ostrożności Praca tego narzędzia musi zostać zweryfikowana przez wykwalifikowaną osobę, w celu interpretacji czy pewne obiekty zostały skasowane w sposób słuszny, lub czy jest konieczne podjęcie specjalnych kroków odzyskowych albo czyszczących. Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix" Te przyklejone zasady na innych portalach bardzo zaszkodziły, bo zbagatelizowały moc programu i wytworzyły całkowicie błędne wrażenie, że ten proces jest zupełnie bezpieczny i "multi-funkcyjny". Konsekwencje Użytkownicy biorący ten program do ręki nie stosują się do "dialogów" programu i omijają procedury bezpieczeństwa (a jeśli nawet nie = to i tak nie wiedzą o co w tym chodzi), m.in. dlatego że albo brak takich wytycznych w obcych zasadach albo jest to umniejszone jakby było nieistotne, bo jak też można inaczej zrozumieć wykonanie obowiązkowego loga podkreślonego zasadami. Co drugi log ma znacznik "TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA". To jeszcze byłoby w porządku, gdyby użytkownik wiedział co to oznacza i posiadał wiedzę o alternatywie (płyta CD XP). Niestety, mam tu kilka całkiem niezłych przykładów działania na opak, tzn. na moje pytanie czy to celowe z ominięciem instalacji tego + czy jest w takim razie wiadome jak skorzystać z Konsoli padła odpowiedź negatywna ..... A nawet jeśli Konsola zostaje zainstalowana (przez bezrozumne klikanie "dalej"), to i tak użytkownik nie wie jak z niej skorzystać ... Poza tym, użytkownicy patrzą na proces chyba całkowicie bezmyślnie i nie interesują się co jest grane i np. po co do diaska działa tam w tle jakiś tajemniczy ERUNT tworzący kopię zapasową rejestru. Po co, skoro to przecież taki bezpieczny nieingerencyjny programik..... Wystąpiły dewiacje użytkowe polegające na nadużywaniu oraz stosowaniu tego programu niezgodnie z jego przeznaczeniem tzn. do kompletnych bzdur, bądź też interwencji nie mających żadnych ale to żadnych kwalifikacji na wszczynanie tak potężnego mechanizmu. ComboFix nie służy do: usuwania plików i wpisów które mogą zostać wyeliminowane na tysiąc innych lekkich sposobów (pliki REG / BAT / inne programy o mniejszym stopniu ingerencji), zarządzania autostartem, czyszczenia drobnych nieaktywnych resztek, usuwania obiektów nie zablokowanych niczym. Jest masa narzędzi w arsenale, które wykonują tę robotę i czynią to w lepszy sposób, bez szkody dla użytkownika, a także zapewniają większą kontrolę nad instrukcjami i pozwalają "ptaszkami" odkręcać zmiany. Bardzo mnie wkurzają tiki nerwowe różnych userów, którzy zaczynają widzieć jako solucję dla kogoś innego uruchomienie tego programu. Niezależnie od tego o czym napisał proszący o pomoc (np..... w dziale sprzętowym!!!!), pojawiają się niepożądane nonszalanckie prośby "daj log z ComboFix". Pardon. Moja rada: nie Tobie radzić w tej materii, bo nie jesteś tutaj moderatorem działu Malware i na naszym forum nie masz kwalifikacji uprawniającej Cię do zalecania tego programu (a i przypuszczalnie nawet nie umiesz ocenić pracy tego programu). Przeciętny użytkownik komputera też zaczyna w ten sam sposób myśleć. Skoro widzi program: linkowany na portalu oprogramowania, krzyczący z "zasad podawania logów", oraz obserwuje że jego koledzy oraz osoby rzekomo wykwalifikowane (kwalifikacja jest mitem, bo pada prośba o log z CF jako obowiązkowy do pokazania!) w analizie logów tak hojnie nim szastają i używają przy byle okazji, nabiera przekonania, że jest to cudowny środek na wszystkie bolączki i "gumka systemowa". Zaczyna go stosować w domu przy każdym pojawiającym się problemie, regularnie się tym "skanować", przenosić na pendrive / pieścić na dysku systemowym. Zanotowane przez mnie absurdy: "skanuję się regularnie ComboFixem" (sic!), "przeskanowałem się ComboFixem ale nic nie wykrył" (sic!), dobrze widoczne w logach ścieżki dostępu kierujące do folderów o niebudzących wątpliwości sformułowaniach "D:\Przydatne programiki\Do usuwania syfu\ComboFix.exe" (sic!), "czy jest sposób jak puścić ComboFix na multi-maszynach w sieci" (sic!). I wreszcie są i takie rzeczy jak tragiczne konsekwencje samowoli.... skutek śmiertelny, bo użyć program potrafił ale już uratować system po jego zastosowaniu nie bardzo. Szkodliwa popularyzacja narzędzia w linkowniach oprogramowania (zarówno polskich jak i zagranicznych). Jest to niezgodne ani z wolą autora, ani z gatunkiem programu. Ten program jest specyficznym narzędziem wewnętrznego użytku stosowanym tylko w określonych sytuacjach i na prośbę osób kwalifikowanych w miejscach ku temu przeznaczonych (forum dedykowane walce z malware). Upublicznianie tego w tak nachalny sposób łamie te zasady oraz prowadzi do szkód. Osoba linkująca ten program udawadnia, że nie rozumie jego budowy i przeznaczenia. Zaś osoby niedoświadczone widząc powszechny opis w kontekście linkowania, i to pozbawiony jakże ważnych elementów związanych z bezpieczeństwem użytkowym, czują się zachęcone do jego pobrania i stosowania we własnym zakresie. A to jest niedopuszczalne. To narzędzie nie jest skanerem typu CureIt czy Kaspersky Removal Tool. W moim dziale FREE Softu nie ma tego programu. Narzędzie staje się z jakiś powodów niedostępne, i już wszyscy są jak bez ręki. Zarówno "analizatorzy", jak i sami użytkownicy. Tak jakby tylko ComboFix istniał na świecie. A jest przecież tyle różnych metod wytwarzania raportów oraz usuwania. Jeśli osoba prowadząca pomoc nie umie rozwiązać zadania bez pomocy ComboFix, to znaczy że nie zna się na tyle, by móc udzielać pomocy. Jak postępujemy na fixitpc.pl Nasze zasady Obowiązkiem naszego działu Malware jest podawanie logów specyfikowanych ogłoszeniem. Ogłoszenie prosi o wykonanie logów z programów nieingerencyjnych takich jak FRST (a nie ComboFix!) oraz GMER. Log z HijackThis nie jest tu wymagany i pożądany, ponieważ wspomniane tu obowiązkowe logi są bardziej poszerzone, a równocześnie i tak mają jego emulację i znajdziecie tam "identyfikatory HijackThis" nieobecne w oryginale. Gmer jest po to, by zdiagnozować czy w systemie nie występuje jakiś rootkit, który albo może mieć niepożądany wpływ na ComboFix i inne specjalistyczne narzędzia, albo ma być za pomocą ComboFix usuwany. Dopiero po analizie owych logów + sprawdzeniu systemu pod kątem rootkitów, możemy decydować czy używać ComboFix, oraz w jaki sposób go wykorzystać. Istnieje wiele metod usuwania, w tym takie, które mają mniejsze pole rażenia, i to już nasza głowa w tym jak je dobrać. Użytkownik nie może wykazywać samowoli, skoro nawet nie potrafi sam siebie zdiagnozować! Jeśli jednak poprosimy o użycie ComboFix proszę też nie kręcić nosem i wykonać polecenia. Bo też i następne skutki uboczne ostrzeżeń tu omawianych: użytkownik zbyt wystraszony opowieścią w ogóle nie podejmie się zadania. Tak też nie może być. Jeśli prosimy (wiemy co robimy), jeśli zostaną zachowane środki bezpieczeństwa użytkowego, nie ma też co dostawać paranoji. By nie zarzucić nam niekonsekwencji: na bazie wyjątku, z pewnych istotnych powodów, na podstawie mojej własnej oceny sytuacji mogę poprosić o użycie tego narzędzia w pierwszej kolejności przed innymi, podkreślam: z istotnych powodów. By była też jasność: ja nie odmówię pomocy osobie, która zgłosi się z nieprawidłowym zestawem logów, ale osoba ta zostanie i tak skierowana do naszych zasad, i będzie musiała je przyczytać + wdrożyć. I nie otrzymujecie gorszej pomocy poprzez brak zastosowania ComboFix - wręcz przeciwnie. Proszę się przyznać, jeśli użyto ComboFix bez nadzoru. Nie zatajać tego przed nami w skutek "nastraszenia regulaminem", bo ukrycie wyników jego pracy może zaciemnić sytuację i nas wprowadzić w błąd. Wprawdzie potrafimy się zorientować po pewnych rzeczach, że był stosowany, ale nie zawsze. Jeśli już ktoś go użył, proszę załączyć log i się wyspowiadać. ***************************************** Odpowiedź na dwa pytania, na które wpadają użytkownicy w regularnych odstępach czasu lub insynuują te wątki: dlaczego brak tutaj informacji takich jak instrukcja analizy loga albo spis poleceń do skryptów. Analiza loga Wybaczcie, ale jeśli nie potraficie go przeczytać bez "instrukcji", to znaczy że nie znacie na tyle samego systemu, co jest podstawą dla analizy logów. Podanie instrukcji tego typu jest całkowicie zbędne, bo raz że za ten temat mają się brać tylko osoby dostatecznie wytrenowane / doświadczone, dwa że i tak nie ma tego po co robić. Raport z ComboFix jest przeformatowany w sposób nie budzący wątpliwości, i osoba która widziała rejestr + katalog systemowy z całkiem innych powodów niż "poinstruowanie przez kogoś" czyta z tego z zamkniętymi oczami. Jeśli pada pytanie o to jak to analizować, brak dostatecznej wiedzy o miejscach systemowych oraz prawidłowościach komponentów. Poza tym, gotowiec tworzy zespół indolencyjnych małp, które natrafiając na rzecz nieopisaną w tutorialu już nie potrafią zaradzić i rozkładają ręce, bo są przyssane do opisu i nie posiadają własnej wyobraźni. Brak opisów jak też to prowadzić ową "analizę ComboFix" ograniczy liczbę pseudoekspertów i pozwoli nam uniknąć repety z HijackThis. Do czego zmierzam, do tego narzędzia jest tutorial a skutki tego są następujące: użytkownik umie analizować log z HijackThis, ale jednocześnie nie potrafi zanalizować innych logów. Wniosek: nie potrafi nawet tego pierwszego, bo wszystkie logi pokazują te same miejsca w systemie, tylko ich formatowanie jest nieco inne. Po prostu kucie na pamięć bez zrozumienia i tyle. Spis poleceń Informacje te mają charakter niepubliczny z bardzo określonych powodów i nie są udostępniane od źródła. Wszelkie dostępne na Google "opisy" budowy CFScript to czysta inżynieria wsteczna na podstawie przesłanek pośrednich i domysłów, na dodatek przeprowadzona w sposób niekompletny i amatorski. Z mojego punktu widzenia najważniejszy powód, dla którego podawanie takich poleceń i istnienie mimetycznych "instrukcji" jest bardzo ale to bardzo niepożądane to zestawienie potężnego programu o właściwościach paralizatora systemu z następującymi modelami użytkowników: - Użytkownik, któremu się wydaje, że jest zaawansowany. Osoby niewykwalifikowane, nie umiejące wystarczająco dużo by prowadzić tak poważną pomoc, zaczynają jej udzielać - często obierając błędne metody. Takim skryptem można komuś załatwić system. Taki skrypt nie jest potrzebny do kosmetyki systemowej! - Użytkownik początkujący dostanie w ręce potężną broń samodestrukcji. Śmiem twierdzić, że z tego skorzysta. Po pierwsze już to widziałam na forum w dwóch wariantach: użytkownik bierze skrypt przeznaczony do cudzego (!) przypadku i próbuje go sobie ładować, użytkownik podejmuje nieudolną dezynfekcję ze skutkiem w usunięciu prawidłowych plików. Po drugie: zdesperowany user jest pozbawiony logiki działań, chce się pozbyć problemu, widzi że istnieje taki sposób, a przez formę jego podania bagatelizującą zagrożenie nabiera całkowicie błędnego wrażenia, że da radę to sam wykonać, .... z tragicznym skutkiem. To jest proste: jeśli użytkownik nie potrafi nawet zdefiniować infekcji i wykonać poprawnej analizy loga (patrz wyżej), to znaczy tym bardziej nie powinien w żadnym ale to żadnym wypadku tworzyć samodzielnie takich skryptów. W moim dziale Malware osoby uprawnione do konstruowania skryptów to są moderatorzy. Wielka prośba ... do wszelkich polskich forów bezpieczeństwa i portali oprogramowania o usunięcie: - ze swoich zasad działu prośby o obowiązkowy log z ComboFix (lub wątków sugerujących podawanie tego loga w startowej prośbie o pomoc) - ze swoich opisów stosowania ComboFix (i tak niepełne) instrukcje ręcznego produkowania skryptów - programu z linkowni i odniesień do "znakomitego skanera" Zdaję sobie sprawę, że to walenie w ścianę, i jeszcze na dodatek zapewne wzbudzi to uśmieszki politowania. Ale Wy zdajcie sobie sprawę jak to "profesjonalnie" wygląda, na co narażacie użytkowników, i że jest to wbrew autorowi programu ComboFix. .
  6. Skutki uboczne stosowania ComboFix Konsekwencje użycia: 1. Sieć: ComboFix podczas skanowania celowo wyłącza internet. Powinien go na samym końcu przed utworzeniem loga samoczynnie przywrócić. Niestety tak nie zawsze się dzieje i po operacji ComboFixa pada całkowicie sieć. Proszę nie panikować, tylko po prostu zresetować komputer. Jeśli to nie pomoże, wywołać ręczną naprawę połączenia: Jeśli ikonka sieciowa jest obecna w zasobniku, tam spożyć opcję. Jeśli ikonki brak, udać się do: Panel sterowania > Połączenia sieciowe > z prawokliku na wybrane wybrać opcję Reperacji (XP) lub Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Diagnozuj i napraw (Vista) | Rozwiązywanie problemów (Windows 7) Jeśli jednak i to nie przywróci łączności, proszę zgłosić się na forum z logami wymaganymi naszym ogłoszeniem, podając detale i rodzaj połączenia sieciowego (telefoniczne / szerokopasmowe etc..). 2. Konsola Odzyskiwania: Skutkiem zamontowania (ważnej) Konsoli Odzyskiwania będzie pojawiające się przy każdym starcie komputera menu wyboru systemów. Menu to jest mało inwazyjne, zaplanowane z minimalnym czasem wyświetlania, a domyślną pozycją jest po staremu Windows XP (czyli i tak zostanie automatycznie załadowany). Jeśli komuś to przeszkadza, należy przeczytać poniżej linkowany tutorial w jaki sposób przeprowadza się deinstalację Konsoli Odzyskiwania z dysku. Na to składa się m.in. korekcja pliku BOOT.INI (poniżej jest zaznaczony na szaro fragment, który należy usunąć z pliku). Proszę się jednak zastanowić nad tym krokiem, bo ogólnie warto posiadać dodatkowe koło ratunkowe. BOOT.INI [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect Tutorial: Opis Konsoli Odzyskiwania 3. Autoodtwarzanie: Procedury ComboFix adresują infekcje rozprzestrzeniane via urządzenia przenośne USB (opis zlokalizowany w tutorialu poniżej), a w celu zabezpieczenia systemu są wprowadzane blokady Autoodtwarzania w rejestrze. Wynikową jest brak Autoodtwarzanie dysków, niezależnie od ich rodzaju (czyli np. płyta DVD z materiałem filmowym również nie wystartuje). Tutorial: Zabezpieczenia: Infekcje z pendrive / mediów przenośnych 4. Domyślna przeglądarka: ComboFix resetuje ustawienia domyślnej przeglądarki. Jeśli w systemie jako domyślną wybrano inną niż Internet Explorer, po ukończeniu pracy ComboFix następuje powrót do standardu Microsoftu i typowy objaw to zgłoszenie komunikatu podobnego do prezentowanego niżej podczas startu przeglądarki alternatywnej. Należy ręcznie ustawić z powrotem Firefox / Opera etc. jako domyślną z poziomu opcji konfiguracyjnych tych przeglądarek. 5. Modyfikowane Windows: "Rękodzieła domowe" przygotowane w sposób sztuczny charakteryzuje nie do końca normalny wygląd. ComboFix odnosi się zawsze do parametrów domyślnych Windows i nie bierze pod uwagę żadnych modyfikacji. Skutkiem uruchomienia procesu ComboFix na takich systemach może być usunięcie określonych plików systemowych, gdyż lokalizacje czy inne właściwości plików nie są zgodne z domyślnymi. To kolejny powód, dla którego stosowanie tego narzędzia powinno być ograniczone tylko do nadzoru osób obeznanych z jego działaniem.
  7. Kopie zapasowe Kopia rejestru: ComboFix przed rozpoczęciem swoich działań tworzy bardzo ważny zestaw kopii zapasowych: całościowy punkt Przywracania systemu oraz kopię rejestru za pośrednictwem programu ERUNT. Kopia rejestru zrobiona przez ERUNT ląduje w folderze C:\Windows\ERDNT\Hiv-backup: (Proszę przeczytać opis ERUNT, by zrozumieć w pełni co to za obiekty) Jak odzyskać rejestr? Zakładając, że coś się stanie i nastąpi fatalistyczny skutek usuwania infekcji / uszkodzenie plików rejestru (objaw: po uruchomieniu ComboFixa system już nie startuje), można przywrócić cały rejestr właśnie z folderu erdnt. Niestety to jest niemożliwe spod Windows (niestartującego). By móc wykorzystać kopię zapasową, należy: Windows Vista / Windows 7: 1. Należy zastartować do modułu Napraw komputer / Repair computer: Tutorial: Opis startu do środowiska WinRE i pobieranie gotowej płyty 2. Pojawi się menu wyboru: I tutaj są dwie możliwości, a preferowaną jest skorzystanie z tej pierwszej jako zdrowszej i kompletniejszej dla systemu: ----> Najprostsza to wybranie opcji Przywracania systemu / System Restore, korzystając z gotowego punktu Przywracania wytworzonego przez ComboFix przed rozpoczęciem jego działań dezynfekujących. ----> Druga możliwość to wybranie opcji Wiersz polecenia / Command Prompt i uruchomienie przywracania rejestru z kopii ERUNT. Polecenia rozkładają się na zmianę napędu na dysk systemowy, przejście do ścieżki kopii zapasowych, wywołanie wariantu EXE narzędzia: X:\SOURCES>C: C:\>CD C:\WINDOWS\ERDNT\HIV-BACKUP C:\WINDOWS\ERDNT\HIV-BACKUP>erdnt.exe Windows XP: 1. Zastartować do wspominanej już tutaj Konsoli Odzyskiwania. Tutorial: Opis startu do Konsoli Odzyskiwania i pobieranie gotowej płyty 2. W linii poleceń wpisać następujące komendy: C:\WINDOWS>CD ERDNT\HIV-BACKUP C:\WINDOWS\ERDNT\HIV-BACKUP>BATCH erdnt.con Kopie usuniętych obiektów: ComboFix, niezależnie w którym z trybów uruchomiony, tworzy własny folder kwarantanny C:\Qoobox\Quarantine: Jak przywrócić błędnie skasowany obiekt? O ile damy takie instrukcje: należy wejść do folderu C:\Qoobox\Quarantine. Będą tam dwa główne foldery, jeden trzymający pliki, drugi kopię kasowanych wpisów rejestru. Wszystkie pliki kasowane przez Combofixa dostają rozszerzenie *.vir, zaś wpisy rejestru *.dat. Należy usunąć to extra rozszerzenie. Pliki przywrócić do pierwotnej ścieżki. Wpisy rejestru zostaną przywrócone poprzez dwuklik na pliki *.reg.
  8. Pobieranie i uruchomienie właściwe programu Założeniem jest, że poprawnie wykonano opisywane powyżej kroki i wyeliminowano kolidujące oprogramowanie. Czyli: wyłączona ochrona rezydentna oprogramowania zabezpieczającego, odinstalowane oprogramowanie emulujące napędy. Instrukcja uruchomienia (automatyczne): 1. Narzędzie pobieramy z oficjalnego źródła tzn. BleepingComputer: Pobierz To jedyny autoryzowany link pobierania gwarantujący otrzymanie oryginalnej, poprawnej i aktualnej wersji programu. Proszę pod żadnym pozorem nie pobierać ComboFix z innych linków (istnieją sfałszowane serwisy pozorujące relacje), ani tym bardziej z torrentów (!) i Chomików. Jest także zabronione rehostowanie ComboFix na serwisach pośrednich i pokątne udostępnianie linków użytkownikom. Jeśli oficjalny link nie działa, są dla tego określone powody: narzędzie usunięto chwilowo ze względów bezpieczeństwa (krytyczny błąd operacyjny) lub jest infekcja blokująca pobieranie. Ponawiam: proszę nie szukać alternatywnych linków pobierania. To w gestii prowadzącego pomoc podanie odpowiednich instrukcji. Plik zapisujemy na Pulpicie. 2. Uruchamiamy przez dwuklik. Vista - Windows 8: wymagane potwierdzenie dialogu UAC. 3. Zgłosi się klauzula zrzeczenia gwarancji. Po jej potwierdzeniu program rozpakuje się na dysk twardy. Po chwili zastartuje niebieskie konsolowe okno programu. 4. Aktualizacja: ComboFix posiada moduł samoaktualizacji. Podczas uruchomienia sprawdza dostępność nowszych wersji, umożliwiając inicjowanie połączenia z serwerem i pobranie nowej kopii programu. Jeśli pojawi się komunikat poniższej treści, mimo możliwości pominięcia tego, należy wyrazić zgodę na aktualizację. Czasami pojawiają się całkowicie wymuszone aktualizacje, sygnowane jako "krytyczne", i jest to oczywista sprawa. Łączenie z serwerami programu ComboFix . . . ################################## 48,5% (Jeśli kopia, którą się posługujecie, jest przestarzała, ale nie będzie dostępna aktualizacja, narzędzie zaproponuje uruchomienie w "trybie zredukowanej funkcjonalności") 5. Detekcja osłon rezydentnych: Aplikacja wykonuje detekcję aktywnych osłon rezydentnych programów zabezpieczających, w celu eliminacji potencjalnych kolizji użytkowych. W przypadku obecności aktywnej ochrony dostaniemy komunikat z listą wykrytych programów. Należy się zastosować do prośby komunikatu i wyłączyć ochronę. Jeśli to nie nastąpi, zatwierdzenie jest już prowadzone na własne ryzyko. (Jeśli jest pewność, że w systemie nie ma zainstalowanego programu, a mimo to nadal są widoczne komunikaty o aktywnej ochronie, należy spojrzeć do spoilera) 6. Kopie bezpieczeństwa: ComboFix rozpocznie swoje działanie. Wstępem jest generowanie kopii bezpieczeństwa: próba utworzenia punktu Przywracania Systemu oraz kompleksowa kopia zapasowa rejestru zrzucona przy udziale zintegrowanego narzędzia ERUNT. Są to bardzo istotne kroki umożliwiające odzyskanie systemu w przypadku niepowodzenia jego startu po nieudanej dezynfekcji lub w wyniku innych niefortunnych okoliczności. Przypominam co musicie wiedzieć: --------> Przywracanie systemu --------> Przywracanie systemu Proszę czekać. ComboFix rozpoczyna działanie. Próba utworzenia nowego punktu Przywracania Systemu 7. Konsola Odzyskiwania Windows XP (nie dotyczy systemów Windows Vista i Windows 7): ComboFix przeprowadza sprawdzanie na okoliczność jej obecności na dysku twardym. Brak tego mechanizmu jest notowany przez komunikat o treści: Proszę czekać. ComboFix rozpoczyna działanie. Próba utworzenia nowego punktu Przywracania Systemu Co odpowiedzieć i z czym to jest związane: Tak - Zatwierdzenie instalacji Konsoli Krok ten ogólnie jest silnie zalecany, a zwłaszcza musowy gdy: brak jakiejkolwiek płyty CD (i możliwości jej wytworzenia) dającej dostęp do Konsoli Odzyskiwania brak przeszkód ze strony samego systemu, by coś pobrać i zainstalować jesteś początkujący, nie wiesz za dużo o systemie, przeraża Cię jego reinstalacja Proces wynikający z zatwierdzenia jest opisany w spoilerze. Nie - Ominięcie instalacji Konsoli Sytuacje, w których można pominąć ten krok: posiadanie płyty dającej dostęp do Konsoli: instalacyjna CD XP (ale nie w wersji Recovery dołączanej do laptopów!) lub utworzona z mojego obrazu Konsola(fixitpc.pl).iso ciężkie warunki systemowe uniemożliwiające pobranie czegokolwiek na dysk przy aktywnym połączeniu sieciowym albo też zupełny brak sieci w wyniku ingerencji infekcji jesteś zaawansowanym użytkownikiem i wiesz o systemie dostatecznie dużo, by móc go postawić do życia niestandardowymi metodami 8. Skanowanie: Rozpoczyna się właściwa procedura skanująca. W tym momencie ComboFix rozłącza internet i jest to normalne. ComboFix będzie przywracał łączność w późniejszej fazie (jeśli to nie nastąpi = patrz sekcja Skutki uboczne). Teoretycznie skan zajmuje do 10 minut, ale mocno zainfekowane komputery mogą mieć skan trwający o wieeeele dłużej. Skanowanie w poszukiwaniu zainfekowanych plików . . . Zwykle operacja ta nie zajmuje więcej niż 10 minut W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie przedłużyć Skan jest kilkuetapowy, co obrazują znaczniki "Etap_Numer". Aktualnie faz jest około 50 (liczba ta zmienia się wraz z aktualizacjami narzędzia) i wszystko przeczekać cierpliwie: Ukończono etap_1 Ukończono etap_2 Ukończono etap_3 .... Ukończono etap_23 Ukończono etap_24 Ukończono etap_25 Ukończono etap_26 Ukończono etap_27 Ukończono etap_28 Ukończono etap_29 Ukończono etap_30 Ukończono etap_31 ... Jeżeli usuwane obiekty będą wymagały restartu komputera, ComboFix poprosi o to: Ponowne uruchamianie systemu Windows ... Proszę czekać Proszę zezwolić programowi ComboFix na ponowne uruchomienie komputera. (Po restarcie systemu znów będzie zgłaszana detekcja ochrony tłowej, w razie konieczności proszę postąpić tak samo jak na początku) 9. Raport: Finałowo ComboFix oznajmi, że przygotowuje log: Przygotowywanie wyniku skanowania. Nie uruchamiaj żadnych programów, dopóki ComboFix nie zakończy swojego działania To może dość długo potrwać i czekać cierpliwie, nie uruchamiać żadnych programów. Może na chwilę zniknąć Pulpit (= ComboFix resetuje powłokę explorer.exe). Na końcu pojawi się ostatni komunikat z "prawie gotowe", podający też, gdzie będzie umieszczony plik loga: Prawie skończono . . To okno wkrótce się zamknie Proszę poczekać kilka sekund na pokazanie się wyników skanowania Log wygenerowany przez program ComboFix znajdziesz w C:\COMBOFIX.TXT Po pomyślnym ukończeniu pracy ComboFix jego okno samoczynnie się zamyka. Zostanie automatycznie otworzony Notatnik z logiem, którego zawartość należy przekleić na forum. Log jest zlokalizowany na dysku w postaci pliku C:\ComboFix.txt. Jeśli ComboFix będzie uruchamiany więcej niż raz, pliki logów się rozmnożą i będą odpowiednio ponumerowane. Instrukcja uruchomienia (zaawansowane): Na forum na podstawie logów tworzymy specjalne instrukcje usuwające w postaci skryptów do ComboFixa. Skrypty te będą zawierały komendy kasacji obiektów. Takie skrypty zostaną podane konkretnemu użytkownikowi indywidualnie. Są to skrypty unikatowe tworzone pod konkretny przypadek i proszę pod żadnym pozorem nie próbować ich w ciemno wykorzystywać! Proszę nie uruchamiać skryptów przeznaczonych do cudzych przypadków, pomimo zbieżności objawów! Proszę nie próbować samemu robić skryptów na podstawie "podpatrzenia" w cudzym poście! Jeśli o to poprosimy, należy otworzyć Notatnik (żaden inny procesor tekstu, ComboFix jest niekompatybilny z resztą) i w Notatniku wkleić co podamy. Plik zapisać pod nazwą CFScript.txt. Ten plik ma zostać przeciągnięty i upuszczony na ikonę ComboFixa, dokładnie jak na obrazku: To uruchomi ComboFix w specjalny sposób, to znaczy będzie poinstruowany, by wykonać usuwanie / modyfikacje przez nas zaplanowane. Jednakże wygląd operacji z poziomu użytkownika wygląda tak samo jak podczas normalnego uruchamiania ComboFix z dwukliku. Czyli będzie przechodzenie przez całą wyżej opisaną procedurę. Log robi się też w taki sam sposób. Deinstalacja narzędzia: ComboFix posiada swój własny przełącznik /uninstall prowadzący usuwanie narzędzia z systemu. Jest to jedyny w pełni prawidłowy sposób usuwania programu. Niech się nikomu nie wydaje, że skasowanie pliku ComboFix.exe, katalogu Qoobox i plików log to jest odpowiednik na ten mechanizm.
  9. Obowiązkowe przygotowania przed uruchomieniem Kolidujące oprogramowanie: Uruchamianie programu jest obwarowane licznymi zasadami antykolizyjnymi. Oprogramowanie zabezpieczające: ComboFix ze względu na swoją naturę i skład specjalistycznych narzędzi może być obiektem zainteresowań programów antywirusowych, które błędnie ocenią zjawisko kasując z ComboFix jego składniki już podczas pobierania narzędzia na dysk. Kolejnym dysonansem może być zetknięcie się samej procedury ComboFix z pracującą tłowo ochroną, z konsekwencją zaburzeń działania czy uszkodzeń systemowych. Proszę przed pobraniem i uruchomieniem ComboFix wyłączyć wszystkie programy ochronne (antywirus / firewall ...). Emulatory napędów (Alcohol / DAEMON Tools etc.) Sterowniki wirtualnych napędów działają według technik rootkit-podobnych. Ten typ wchodzi w konflikt, zarówno na płaszczyźnie działania ComboFix, jak i usuwania potencjalnej infekcji. Programy tego typu powinny zostać całkowicie odinstalowane przed uruchomieniem ComboFix. Obowiązkowe kroki do wykonania opisane w wątku: Oprogramowanie emulujące napędy Mechanizmy ratunkowe: Przed uruchomieniem ComboFix należy zaopatrzyć się w Konsolę Odzyskiwania / Dysk Odzyskiwania, ponieważ skutki uruchomienia ComboFix są nieprzewidywalne i może pojawić się sytuacja, że system już się nie uruchomi. Niedoświadczony użytkownik nie poradzi sobie sam i prawdopodobnie skończy się na reinstalacji Windows. Proszę dokładnie przeczytać w linkach jak się nimi posługiwać, oraz wątek przywracania z kopii zapasowych utworzonych przez ComboFix. Windows Vista / Windows 7: --------> Opis startu do Środowiska Odzyskiwania (WinRE) Moduł Napraw komputer / Repair computer jest dostępny z poziomu pełnego DVD instalacyjnego Windows Vista / Windows 7. Dodatkowo na Windows 7 jest wbudowany lokalnie i dostępny z menu startowego wywołanego klawiszem F8, a na zasadzie wyjątku można to spotkać także w Vista (znanym mi producentem jest Dell). Posiadając taki typ DVD lub opcję w menu F8 wystarczy tylko przeczytać linkowany opis jak z tego skorzystać w omawianym tu kontekście. Proszę przeczytać w jaki sposób skorzystać z modułu "Napraw komputer", by przywrócić system w razie katastrofy po użyciu ComboFix: --------> Przywracanie systemu Windows XP: --------> Opis i użytkowanie Konsoli Odzyskiwania Konsola Odzyskiwania jest dostępna według dwóch metod: z poziomu instalacyjnej CD Windows XP lub jako instalacja ręczna na dysku twardym. Jeśli posiadacie płytkę Windows, poniższe kroki nie są konieczne. Jeśli natomiast płytki nie ma (zwłaszcza laptopy = Recovery CD nie ma Konsoli!), skorzystajcie z jednego z tych sposobów do wyboru. 1. SAMOSTARTUJĄCA CD: Udostępniam minimalistyczną płytę (~7MB) mojego autorstwa, zawierającą tylko Konsolę Odzyskiwania. Płytka została wytworzona z oferowanych przez Microsoft dysków rozruchowych w wersji XP SP2 PL. Jej wersja jest nieistotna, w sensie że niezależnie od stanu Service packa Waszego zainstalowanego systemu i tak będzie działać / wykona zadania. Czyli mając XP bez SP lub XP SP3 proszę się "nie zastanawiać" czy pójdzie. Powinna bootować bez problemu. Należy ściągnąć obraz ISO i wypalić na CD za pomocą Active ISO Burner. To będzie ratunkowa płytka, z której wchodzi się do Konsoli. Pobierz Proszę przeczytać w jaki sposób skorzystać z tej płyty, by przywrócić system w razie katastrofy po użyciu ComboFix: --------> Przywracanie systemu 2. MONTAŻ KONSOLI NA DYSKU: ComboFix ma wbudowane montowanie konsoli na dysku. Można wywołać to na dwa różne sposoby: Automatyczne zainstalowanie Konsoli Odzyskiwania. Podczas normalnego uruchomienia ComboFix, program przeprowadza detekcję, czy na dysku jest już zainstalowana Konsola. Zgłasza jej brak i pozwala poprzez stosowanie się do dialogów jej automatyczne zainstalowanie. Patrz na opis zlokalizowany w następnym poście jak ten proces wygląda. Ręczne zainstalowanie Konsoli Odzyskiwania, poprzez poinstruowanie ComboFix jeszcze przed jego normalnym uruchomieniem. Instrukcja ta w większości przypadków nie jest konieczna do wdrożenia. Opis w spoilerze, by nie zakłócał odbioru całości przekazu. Proszę przeczytać w jaki sposób można przywrócić system w razie katastrofy po użyciu ComboFix: --------> Przywracanie systemu
  10. The Avenger Strona domowa Platforma: Windows 2000/XP/Vista 32-bit (x86) Licencja: freeware do zastosowań niekomercyjnych The Avenger - Narzędzie sterownikowe trybu kernel, dedykowane usuwaniu szczególnie opornych obiektów malware i rootkitów. Umożliwia szeroką pulę operacji zarówno na obiektach dyskowych jak i w rejestrze: kasowanie / podmiana plików, folderów, wartości oraz kluczy w rejestrze. Akcje te są wykonywane podczas resetowania komputera. Pomimo datowania programu na rok 2008 narzędzie jest nadal aktualne i używane na wspieranych platformach do usuwania infekcji. Avenger jest programem skryptowym i do prowadzenia akcji wymaga wskazania pliku skryptu "TXT" z zestawem specyficznych komend. Za produkcję takich skryptów w oparciu o przedstawiane logi systemowe odpowiadają tutaj na forum Moderatorzy działu Malware. Narzędzie jest niskopoziomowe i wykonuje silne instrukcje, dlatego nie powinno być stosowane całkowicie bezmyślnie przez użytkowników początkujących lub pseudo ekspertów do likwidowania plików czy wpisów rejestru, które nie wymagają wszczynania tak silnej procedury. To narzędzie w polskim klimacie dotknęła podobna choroba jak narzędzie ComboFix, zaczęto go używać do bzdur oraz absurdalnych zadań! Nieprawidłowe użycie programu grozi odcięciem dostępu do Windows i uszkodzeniami. PODSTAWOWA OBSŁUGA PROGRAMU / OPIS OPCJI: Uruchomienie programu podaje wstępny komunikat ostrzeżeniowy o braku 100% bezpieczeństwa stosowania: Po zatwierdzeniu komunikatu załaduje się główne okno programu: Opcje ładowania skryptu są trzy: Load Script from File... - Wskazanie pliku skryptu (*.TXT) z dysku. Load Script from Internet URL... - Wskazanie pliku skryptu (*.TXT) na serwerze. Wpisujemy URL (adres musi mieć prefiks http://). Paste Script from Clipboard - Wklejenie ze schowka systemowego komend podanych na forum. Te wszystkie opcje są dostępne też z menu Load Script: 1. Rzeczą podstawową jest wskazanie skryptu wykonującego zadania dezynfekcyjne. Skąd wziąźć skrypt? Każdy na forum go dostanie na podstawie przedstawionych logów. Po otrzymaniu takiego należy opcją kontekstową tła programu Paste przekleić go z posta na forum do okna. 2. Po wskazaniu skryptu (obojętną z wybranych metod) należy go uruchomić poprzez wybór opcji Execute. Pojawi się pytanie "czy na pewno chcecie tego dokonać" .... co zatwierdzacie. To właśnie w tym momencie Avenger tworzy swoją losową usługę i plik *.bat. 3. Otrzymacie kolejne okno potwierdzające ustawienie Avengera na resetowanie komputera z pytaniem o zatwierdzenie resetu ... co potwierdzacie a komputer się zresetuje. 4. W trakcie procesu resetowania zostaną wykonane wszelkie zadania kasacyjne zaprojektowane do wykonania w Avengerze. Na chwilę mignie czarne dosowe okno będące znakiem wykonywania się pliku *.bat. 5. Zostanie wygenerowany i auto-wyświetlony log przebiegu całości operacji. Zlokalizowany na dysku w postaci pliku C:\Avenger.txt. Log ten należy pokazać na forum. Przykładowy log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File move operation "C:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" completed successfully. Completed script processing. ******************* Finished! Terminate. Kasowane obiekty zostaną automatycznie zbackupowane przez plik zip.exe do pliku C:\Avenger\backup.zip. Tych kopii należy się po dezynfekcji pozbyć, jeśli zostanie stwierdzone że można to uczynić. EKSPERT - BUDOWA SKRYPTÓW: Szczegółowy opis jest zlokalizowany na stronie domowej programu w ustępie: Script Tutorial
  11. Systemy skryptowe wbudowane w narzędzia: Avenger BlitzBlank Catchme AVZ Antiviral Toolkit / AVZ Help File Kaspersky Virus Removal Tool 2011 Zostaną tu podane tylko i wyłącznie informacje publiczne, które mogą być udostępnione. Temat będzie miał także dysproporcję, tzn. ekspozycję instrukcji dla użytkownika oczekującego pomocy, lecz nie instrukcji eksperckich. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
  12. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. START W TRYBIE AWARYJNYM (Safe Mode): Metody startu do trybu awaryjnego: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer startuje, w fazie czarnego ekranu tupiemy nieustannie i szybko w klawisz F8. Na starszych komputerach może być przypisany inny klawisz. Np. jeśli komuś po wciśnięciu F8 wyskoczy wybór urządzenia bootującego, to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Strzelanie w klawisz ma się odbyć we właściwym momencie: na czarnym ekranie, ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). Adnotacja dla klawiatur "programowanych" przez producentów - jeżeli klawisze funkcyjne mają podwójne oznakowania, realizują główną funkcję + alternatywną zaprogramowaną przez producenta. Za przełączanie zachowania odpowiada klawisz F-lock, i musi on być zapalony, by klawisz F8 działał w pożądany sposób. W takiej sytuacji należy przy starcie komputera szybko wywołać ten klawisz, a następnie F8. 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść, jeśli w systemie jest infekcja blokująca narzędzie msconfig. Poza tym bardzo istotna uwaga: Uwaga: Jeśli nie startuje awaryjny metodą F8, a jest podejrzenie infekcji, jest mocno niewskazane próbować startować do awaryjnego przez msconfig. Przy rootkitach kasujących w całości tryb awaryjny ma to krytyczne skutki w niemożności wejścia w ogóle do Windows! Tutorial: Rekonstrukcja uszkodzonego trybu awaryjnego Windows 7: 1. Metoda przez klawisz F8. Po wybraniu metody przez F8 pojawi się menu startowe Advanced Boot Options / Zaawansowane opcje rozruchu. Artykuł Microsoftu: Zaawansowane opcje uruchamiania (w tym tryb awaryjny) Domyślnie podświetloną pozycją jest Repair Your Computer / Napraw komputer. Przy pomocy strzałki z klawiatury zaznaczamy odpowiednią pozycję i ENTER: Pojawi się ekran ładowania plików trybu awaryjnego: W dalszej kolejności na użytkownika oczekuje ekran logowania i wreszcie Pulpit trybu awaryjnego, na którym automatycznie otwiera się pomoc systemu Windows: 2. Lub użycie narzędzia MSCONFIG: Start > w polu szukania wpisz msconfig > w karcie Rozruch/ Boot zaznacz Bezpieczny rozruch / Safe boot: Potwierdzenie opcji sprowokuje ujawnienie się komunikatu, na którym wybieramy Uruchom ponownie / Restart: Metoda przez msconfig omija etap pokazywania menu startowego i przechodzi bezpośrednio do ładowania trybu awaryjnego. A dalej jak na obrazkach. Windows Vista: 1. Metoda przez klawisz F8. Wszystkie etapy wyglądają tak jak w Windows 7 (patrz na opis powyżej). 2. Lub użycie narzędzia MSCONFIG. Wygląda to identycznie jak dla Windows 7 (patrz na opis powyżej). Windows XP: 1. Metoda przez klawisz F8. Po wybraniu metody przez F8 pojawi się menu startowe Windows Advanced Options Menu / Menu opcji zaawansowanych systemu Windows. Artykuł Microsoftu: Opis opcji rozruchu w trybie awaryjnym w systemie Windows XP Domyślnie podświetloną pozycją jest Start Windows Normally / Uruchom system Windows normalnie. Przy pomocy strzałki z klawiatury zaznaczamy odpowiednią pozycję i ENTER: Zgłosi się ekran z wyborem systemu operacyjnego: Po pomyślnym załadowaniu sterowników pojawi się ekran logowania: Uwaga: Na ekranie logowania w Trybie awaryjnym ujawnia się ukryte serwisowe konto systemowe o nazwie "Administrator". Należy zalogować się na konto własne użytkownika, na którym zaistniał problem. Następnie należy zatwierdzić kontynuację pracy w Trybie awaryjnym: Załaduje się Pulpit Trybu awaryjnego: 2. Lub użycie narzędzia MSCONFIG: Start > Uruchom > msconfig > w karcie BOOT.INI zaznacz /SAFEBOOT a jako podtyp MINIMAL: Po zatwierdzeniu opcji pojawi się komunikat, na którym wybieramy Uruchom ponownie / Restart: Metoda przez msconfig omija etap pokazywania menu startowego i przechodzi bezpośrednio do ładowania trybu awaryjnego. A dalej jak na obrazkach.
  13. Naprawianie firewalla XP SP2/SP3 OBJAWY Próba otworzenia apletu Zapora systemu Windows w Panelu sterowania zwraca błąd: Z powodu niezidentyfikowanego problemu systemu Windows nie można wyświetlic ustawień Zapory systemu Windows Inna jego wariacja to: Nie można wyświetlić ustawień Zapory systemu Windows, ponieważ skojarzona usługa nie jest uruchomiona. Czy chcesz uruchomić usługę Zapora systemu Windows/Udostępnianie połączenia internetowego? Zaś zatwierdzenie próby aktywania usługi przyciskiem Tak kończy się kolejnym błędem: System Windows nie może uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego. W konsoli Usług dostępnej przez Start > Uruchom > services.msc usługa zapory może być zupełnie niedostępna, a jeśli nawet tam figuruje, to jej próba uruchomienia zwraca kolejny miły błędzik: Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze lokalnym. Błąd 0x80004015: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący Wszystko co powyżej świadczy o skasowanym lub uszkodzonym w rejestrze kluczu SharedAccess np. na skutek działalności szkodnika. NAPRAWA 1. Zrekonstruuj usługę zapory. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Zastartuj do Trybu awaryjnego i plik ten uruchom. Po restarcie komputera skonfiguruj Zaporę w Panelu sterowania. UWAGI: - Ustawiłam jako otwarte porty NetBIOS na wypadek gdyby korzystający z fixa mieli połączenie internetowe zależne od działania NetBIOS. W przeciwnym przypadku użyć Windows Woorms Doors Cleaner by je zamknąć. - Ustawiłam domyślne parametry zapory (czyli Automatyczny start usługi + domyślne reakcje monitoringu Centrum Zabezpieczeń). Kogoś nie zadawala = zrekonfigurować. 2. Jeśli po imporcie wpisów rejestru problem pozostanie nierozwiązany, przeinstaluj zaporę. W Start > Uruchom > wklej komendę: rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %WinDir%\inf\netrass.inf 3. Jeśli po wszystkich powyższych operacjach opcje zapory będą zszarzałe, dla XP Pro można zastosować: Start > Uruchom > gpedit.msc Konfiguracja komputera > Szablony administracyjne > Sieć > Połączenia sieciowe > Zapora systemu Windows Dla Profil standardowy i Profil domenowy z skonfiguruj opcje włączenia na "nie skonfigurowane". Jeśli już są "nieskonfigurowane", to przestaw na chwilę na Włącz a po tym wróć do ustawienia nieskonfigurowane. Po tym zresetuj komputer.
  14. Status niewidoczny w Jabber/XMPP - Aneks do tematu komunikatorów (aktualizacja 2018) Niewidoczność w "środowisku" jabber jest bardzo drażliwym tematem. Użytkownik przyzwyczajony do pewnych praktyk z Gadu raczej nie ma co liczyć na przychylne przyjęcie i uzyskanie w miarę sensownej odpowiedzi na dręczące go pytanie jak uzyskać "status niewidoczny znany z Gadu". ____.:: G a d u - G a d u ::._________________________ Gadu-Gadu 7 - Tylko 4 statusy nie wymagające komentarza, z czego tylko dwa pierwsze są rzeczywiste i mają jakiś konkretny przekaz, zaś niewidoczny to podszywanie jako rozłączony. Tak niska liczba stanów uniemożliwia prawidłowe interpretacje dostępności osoby. Niestety błoga część Gadowiczów nie potrafi rozróżnić stanu Dostępny od Zaraz wracam, rozumiejąc oba w taki sam sposób = osoba jest dostępna i "chętna do rozmowy". Na bazie tego nieporozumienia doszło do dewiacji i zupełnego wypaczenia pojęcia statusów, które przecież w swojej naturze mają przesyłać jasny i zrozumiały znak dymny czy dana osoba chce rozmawiać czy też nie (lub nie może). W sieci Gadu rozgrywa się prawdziwa saga szpiegowska. Nagminne praktyki to stały pobyt na stanie niewidoczny (niektórzy przez lata z niego nie wychodzą, tylko dziwnym trafem ciągle im się zmieniają opisy) i szukanie / wykorzystywanie dodatków umożliwiających wykrywanie innych niewidocznych. Wszystko to jest dziecinada. Przeznaczeniem komunikatora jest komunikacja między ludźmi a nie zabawa w kota i mysz, a nasza lista kontaktów jest nie bez przyczyny. To trochę bez sensu mieć kumpli i zawsze się przed nimi ukrywać. Gadu-Gadu 8/10 - Nastąpiła poprawa sytuacji i wprowadzono w końcu dwa nowe stany PoGGadaj ze mną i Nie przeszkadzać. Czy jednak stare przyzwyczajenia zostaną wykorzenione? Przeciętny użytkownik Gadu próbujący migrować na sieć Jabber/XMPP zastanie pewnego typu "niespodziankę". Rzucanie się na przypadkowo obecny w menu stan Niewidoczny może skutkować całkowicie niezgodnymi wynikami: ____.:: J a b b e r / X M P P ::._________________________ .. Coccinella (status Niewidoczny wg XEP-0018) | Gajim (status Niewidoczny wg XEP-0126) | Psi (brak statusu Niewidoczny) W sieci Jabber/XMPP liczba stanów jest rozbudowana, i ma precyzować dokładniej przekaz czy ktoś ma nas zaczepiać czy też wręcz przeciwnie. W zależności od programu stany mogą mieć nieco inne nazwy, ale to wszystko powinno być samo przez się zrozumiałe. Dostępny (ang. online / available) - Status oczywisty i typowy. Wskazuje, że jesteśmy połączeni, obecni, więc i możliwe konwersacje. Wskazówka dla innych, że mogą Cię zaczepiać. Odpowiednik z Gadu. Chętny do rozmowy (ang. chat / free to chat) - Może występować pod innymi słowami, ale zawsze status ten oznacza to samo: wysoką gotowość bojową. Znak dla naszych kontaktów, że mamy szczególną ochotę na czat, lub że nie mamy nic lepszego do roboty. Pogadam, zagadaj mnie, pogadajmy..... Odpowiednik z Gadu 8/10. Zaraz wracam (ang. away) - Dokładnie tak, status sygnalizuje, że przez chwilę nie ma użytkownika przy komputerze, i nie odpowie nam na wiadomość. Status ten zwykle jest automatyzowany przez sam komunikator po określonej liczbie minut nieaktywności lub przy działaniu screensavera. Odpowiednik z Gadu. Nieobecny (ang. not available / extended away) - Tłumaczony też jako Nieosiągalny / Wrócę później. Status ten przekazuje informację, że jesteśmy oddaleni na dłuższy okres czasu, nie ma nas przed monitorem, może wyszliśmy gdzieś, i nie odpowiemy na wiadomość. Status ten również jest automatyzowany przez komunikatory i ustawiany przez nie automatycznie po określonym czasie (specyfikowanym w opcjach). Nie przeszkadzać (ang. do not disturb / busy) - Tłumaczony też jako Zajęty, chrzczony "tajnym" akronimem DND. Status ten oznajmia, iż mimo że jesteśmy podłączeni, absorbuje nas jakaś ważna praca / może inna konwersacja, i nie życzymy sobie zawracania głowy. Nowi użytkownicy są tym ... zmieszani i nie zawsze reagują w sposób realistyczny. Jeśli ktoś respektuje prawa prywatności, nie powinien rozpoczynać konwersacji, niezależnie od tego że znajduje się na liście kontaktów tego użytkownika. Osoby niepoważne ignorują ten status, sądząc że ta sprawa ich nie dotyczy. Odpowiednik z Gadu 8/10. Niewidoczny (ang. invisible) - Status symulujący stan rozłączony, i tak też jesteśmy widziany przez innych, aczkolwiek dostępna jest rozmowa. W sieci Jabber/XMPP stan wysoce sporny - patrz dalej co z nim i gdzie jest a gdzie go nie ma. Odpowiednik z Gadu. Rozłączony (ang. offline) - W zależności od tłumaczenia może figurować pod nazwą Niedostępny albo Nieobecny (co myli z tym nieobecnym opisanym wyżej). Stan oczywisty: nie mamy połączenia z serwerem, a w konsekwencji nie możemy wysyłać i otrzymywać wiadomości. Status ten może posiadać opis np. podający przyczynę naszego rozłączenia, o ile klient oraz serwer wspierają opcję wylogowania z opisem. Odpowiednik z Gadu. ____.:: S t a r a__s p e c y f i k a c j a ::._________________________ Stary protokół Jabber przewiduje wszystkie 7 statusów (spadkobiercą tego był nasz Tlen.pl, który opierał się na modyfikacji tego protokołu). W tym zestawie jest obecny ogólny stan niewidoczny. Ta metoda wykonywania niewidzialności jako problematyczna została uznana za niekompatybilna ze standardem i usunięta. Dla zaawansowanych oficjalna dokumentacja rozszerzenia: XEP-0018 (Invisible Presence). ____.:: N o w a__s p e c y f i k a c j a ::._________________________ Aktualny protokół XMPP uściślił sprawę do pierwszych 5 statusów. Stan rozłączony oczywiście nadal istnieje, znaczy to samo i działa w taki sam sposób, tylko po prostu nie jest oficjalnie podliczany. Natomiast brak tu Niewidocznego znanego z Gadu, ponieważ protokół XMPP nie ma statusu niewidzialności. Ten wypaczony stan zastąpiono: - rozbudowanym mechanizem tzw. privacy lists (list prywatności), które oferują zaawansowane metody filtrowania i ustalania zasad widoczności względem użytkowników. To dzięki listom prywatności uzyskamy niewidoczność wg różnych wariantów - ustawianie niewidoczności tylko dla konkretnych użytkowników / grupy / globalnie. Dla zaawansowanych oficjalna dokumentacja rozszerzeń: XEP-0016 (Privacy Lists) + XEP-0126 (Invisibility). - alternatywą dla rozbudowanych list jest redukcja zadania do prostego blokowania oraz ukrywania. Dla zaawansowanych oficjalna dokumentacja rozszerzeń: XEP-0191 (Blocking Command) + XEP-0186 (Invisible Command). Początkujący niech lepiej nie wchodzą do linków XEP. Wystarczy wiedzieć, że nowe rozwiązania biją na głowę bardzo ubogi status Niewidoczny, a to w jaki sposób program nam daje do nich dostęp zależy już od programu. ____.:: R o z d w o j e n i e__j a ź n i ::._________________________ Konsekwencją wyżej opisanej transformacji było uzyskanie stanu przejściowego wprowadzającego spore zamieszanie. To znaczy część klientów i serwerów jeszcze wspierała archaiczny ogólny stan niewidoczny, a część klientów i serwerów już przemigrowała na nowoczesny styl likwidując to dziwo. A na dokładkę to niekoniecznie szło w parze z metodą = status Niewidoczny w menu może być wykonywany wg różnych metod. By korzystać z jednego lub drugiego = musimy używać kompatybilnego zestawu, tzn. zarówno klient jak i serwer powinny wspierać to samo, w przeciwnym wypadku nie ma żadnego ukrywania. Poniżej podstawowy podział zaznaczający wsparcie dla niewidzialności przez przestarzałą metodę (XEP-0018), niewidzialności poprzez listy prywatności (XEP-0126) lub "invisible command" (XEP-0186). Serwer Serwery bliskie polskiemu użytkownikowi można sklasyfikować wstępnie podług softu na którym są osadzone, aczkolwiek należy brać poprawkę na to, że dany administrator serwera może go dostosować / zmodyfikować. ejabberd | jix.im (następca wymarłego jabbi.pl), jabbim.pl - Serwery zgodne ze standardem, są obsługiwane listy prywatności oraz uproszczenie XEP-0191. Przestarzałą niewidoczność wyeliminowano dawno temu (w linii 3.x softu). jabberd 2.x | chrome.pl - Są obsługiwane listy prywatności oraz uproszczenie XEP-0191. Przestarzała niewidoczność wyeliminowana lata temu (w wersji 2.1 softu). Openfire | dobreprogramy.im - Serwery zgodne ze standardem, wykorzystują tylko techniki list prywatności (i niewidzialność może być realizowana tym sposobem). W oficjalnej dokumentacji Openfire wsparcie dla list jest podliczane w ustępie RFC 6121 (wcześniej RFC 3921) a nie jako rozszerzenie XEP-0016. Prosody | jid.pl - Są obsługiwane listy prywatności i niewidzialność w oparciu o listy. Historyczne rozwiązania w spoilerze: Adnotacja 2017: nie wiem czy nadal można się nadziać na jakiś bardzo przestarzały serwer, ale na wszelki wypadek zostawiam notatkę. Wstępne rozpoznanie czy serwer nadal wspiera przestarzały niewidoczny można przeprowadzić posługując się przeglądarką serwera potrafiącą zestawić sumarycznie właściwości. Taki serwer we właściwościach będzie miał funkcję presence-invisible. Klient Adnotacja 2017: dużo klientów wypadło z obiegu (porzucone lub likwidacja), więc jest coraz mniejsze prawdopodobieństwo nadziania się na niespodziankę, o ile ktoś nie pobierze czegoś naprawdę starego z jakiegoś portalu z oprogramowaniem. 1. Dedykowane klienty sieci Jabber/XMPP można pogrupować wg następujących kategorii: --------------------------------------------------------------- Dostosowały się do nowych warunków likwidując status Niewidoczny na korzyść list prywatności, bądź też dodatkowo wykonując uproszczoną niewidzialność selektywnie / globalnie w oparciu o listy (XEP-0126): --------------------------------------------------------------- Psi (domyślne ustawienia) Dysponuje interfejsem list. Został usunięty status Niewidoczny. Nie ma bezpośrednich opcji w rosterze umożliwiających wykonanie niewidzialności względem indywidualnego użytkownika lub grupy. Gajim Posiada dostęp do edycji list prywatności. Program zachował również globalny status Niewidoczny, tylko że jest on wykonywany zgodną metodą na podstawie listy prywatności. Spark Udostępnia edytor list prywatności. Ponadto, jest niewidzialność realizowana via listy prywatności: na ekranie logowania konta figuruje opcja logowania jako niewidoczny, a już po zalogowaniu w menu statusów jest pozycja "Niewidoczny". Tkabber Rozbudowany zaawansowany interfejs konfiguracji list oraz zestaw edycyjny uproszczonych list. Status Niewidoczny został usunięty. Są ułatwienia - bezpośrednie ukrywanie się przed wybranymi via opcje kontekstowe. --------------------------------------------------------------- Są rozwiązaniem "łamanym" posiadającym status Niewidoczny realizowany po staremu (XEP-0018) oraz obsługę list prywatności: --------------------------------------------------------------- Psi (po rekonfiguracji) Jak podane powyżej, program domyślnie nie pokazuje statusu Niewidzialności. Aczkolwiek nadal w konfiguracji istnieje możliwość przywrócenia tego stanu do menu. Jest on wykonywany przestarzałą metodą i definitywnie nie jest polecane jego używanie. Vaccum-IM | eyeCUE Posiadają status Niewidoczny egzekwowany przestarzałym sposobem. Na osłodę obsługa list prywatności, a także poprawna niewidzialność na ich podstawie via opcje kontekstowe rostera (ukrywanie przed wybranymi użytkownikami lub całą grupą). Jajc Przeinwestował menus przedawnionym stanem (status Niewidoczny + opcje kontekstowe niewidoczności w rosterze), ale daje też dostęp do edycji listy prywatności. -------------------------------------------------------------- Historyczne rozwiązania w spoilerze: 2. Multikomunikatory a metody niewidoczności Jabber/XMPP: WTW Łączy wszystkie omawiane metody (XEP-0018 / XEP-0126 / XEP-0186). Status Niewidoczny zachowuje się elastycznie, w zależności od tego na jaki serwer się logujemy. W przypadku rozdwojonych jaźnią serwerów oferujących obie metody, początkowo wybór sposobu wykonania niewidoczności zależał od faktu rozgłoszenia właściwości przez serwer (Priorytet metod niewidzialności w xmpp), później jednak został "Dodany bypass na wykrywanie xep-0016 kiedy serwer nie raportował jego obsługi w disco#info;". Ponadto dostępna prosta konfiguracja list prywatności w Edycji kontaktu, i tam też można zrealizować niewidzialność względem konkretnego użytkownika. Miranda NG Nie sprawdzałam programu, ale wg opisu wtyczki są obsługiwane listy prywatności oraz niewidzialność poprzez listy (XEP-0126). Miranda Status Niewidoczny działa po staremu (XEP-0018). Niemniej jest dostępny szeroki konfigurator list prywatności. Pidgin Nie obsługuje żadnej z metod niewidoczności czy list prywatności. Jeśli status "Niewidoczny" pojawi się w ogólnym menu stanów, jest to wynik dodania innych protokołów obsługujących niewidzialność i nie aplikuje się dla tej sieci. Historyczne rozwiązania w spoilerze: Co zrobić w przypadku używania programu z przestarzałym stanem Niewidoczny i nie dającym dostępu do konfigu list, w kombinacji z serwerem, który nie obsługuje Niewidocznego za to wspiera listy prywatności? Osoby zaawansowane mogą wywołać z programu konsolę XML (o ile takowa jest wbudowana) i za jej pomocą wygenerować listy. Osoby początkujące powinny zmienić program na taki, który zgodzi się z możliwościami serwera. Dla zaawansowanych instrukcje pod Konsolę XML: Ochrona prywatności. ____.:: Google__Talk ::._________________________ Old-schoolowe rozwiązanie wyparte przez Google Hangouts niedziałające via XMPP. Oficjalny klient przestał się łączyć w 2015, ale z konta Google bez drastycznych niedogodności można było korzystać w nieoficjalnych klientach XMPP. Od 26 czerwca 2017 ograniczenia i obsługa w nieoficjalnych klientach XMPP sprowadzona do czatu 1 na 1 z Hangouts. Niewidzialność Google Talk jest rozwiązana w inny sposób niż omówione tu typy. Dla zaawansowanych oficjalna dokumentacja rozszerzenia: Shared Status Messages. Historyczny desktopowy klient Google Talk w ogóle nie wspierał stanu niewidzialnego, ale taki stan był zaimplementowany w wersjach webowych (Gmail Chat i Czat Google+) oraz rozszerzeniu Google Chrome Czat dla Google. Obecnie nastąpiła pełna migracja na Hangouts, które nie ma w ogóle stanu niewidoczności. Ustawianie statusu wg metody Google Talk będzie łapane tylko między dwoma nieoficjalnymi klientami XMPP. Alternatywne klienty wspierające niewidoczność wg metody Google: WTW Pidgin (z wtyczką Gtalk Invisible lub Gtalk Shared Status) Trillian Rozwiązania historyczne: AIM, Digsby, Tlen 7 ____.:: Niewidoczność__w__transporcie ::._________________________ Adnotacja 2017: Obecnie dostępne transporty GG (np. na jix.im) mają inny dialog rejestracyjny i pokazane poniżej opcje nie są dostępne, schowane w spoilerze.
  15. ComboFix BleepingComputer.com: oficjalna instrukcja użycia Platforma: Windows XP, Windows Vista, Windows 7, Windows 8 32-bit (x86) i 64-bit (x64) Licencja: freeware do użytku domowego i niekomercyjnego Nieobsługiwane systemy operacyjne: Windows XP 64-bit, Windows 2000, Windows 8.1, Windows 10 i platformy serwerowe Proszę nie stosować ComboFix bez nadzoru! Aplikacja o mocnej sile rażenia przeprowadzająca usuwanie specyficznych infekcji, stosowana awaryjnie w działach dedykowanych usuwaniu Malware pod okiem specjalistów dysponujących dostateczną wiedzą o procedurach narzędzia. To nie jest ani normalny skaner codziennego użytku, ani tym bardziej generator prostego raportu stanu systemu w trybie tylko do odczytu. To silna ingerencja i modyfikacja Windows. Bardzo niepożądane jest jego używanie na własny rachunek, w sytuacjach gdy jest to całkowicie zbędne, lub nawet niebezpieczne. Program ten należy stosować tylko wtedy, gdy padnie z naszej strony taka prośba na forum. Kiedy pada taka prośba? Jeśli na podstawie opisu objawów oraz raportów wymaganych ogłoszeniem stwierdzimy, że jego uruchomienie jest bezpieczne (na tyle na ile to można wnioskować z przesłanek) lub pożądane (usunięcie określonej infekcji). Cały poniższy opis użytkowy ma służyć przeprowadzeniu ze zrozumieniem przez proces użytkowników, których poprosiliśmy o jego zastosowanie. Ten opis nie jest po to, by osoby niedoświadczone samodzielnie w domu częstowały się i prowadziły jakieś "regularne skany"! W kwestii samego opisu, jest to mój tutorial uzupełniony o pewne rzeczy, aczkolwiek jedynym autoryzowanym jest tłumaczenie na Bleeping. Obowiązkowe przygotowania przed uruchomieniem Pobieranie i uruchomienie właściwe programu Kopie zapasowe / Przywracanie systemu Skutki uboczne stosowania ComboFix Dlaczego na fixitpc.pl nie prosimy o "log z ComboFix" jako obowiązkowy Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
  16. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
×
×
  • Dodaj nową pozycję...