Skocz do zawartości
picasso

Archiwum - Narzędzia do tworzenia raportów

Rekomendowane odpowiedzi

 

otlico.png

 

OTL

 

Platforma: Windows 2000, XP, Vista, Windows 7 32-bit i 64-bit

 

Strona domowa i oficjalny tutorial

 

Oficjalne linki pobierania:

 

button.png button.png button.png

 

Mirrory:

 

button.png button.png button.png

 

(wersje COM i SCR, jeśli nie można uruchomić wersji EXE)

 

 

 

OTL jest programem nierozwijanym, ostatnia dostępna wersja jest datowana na rok 2012. Kilka słów o zgodności:

- Systemy 64-bit: Są obsługiwane w dostatecznym stopniu, tzn. program pokazuje komponenty 64-bit i 32-bit. Jednakże OTL jest narzędziem 32-bitowym i dane o 64-bitowych komponentach pobiera przez sztuczkę z aliasem SysNative. To oznacza określone ograniczenia lub przekłamania w raportach.

- Windows 10 i 8/8.1: Program się uruchamia, ale zgodność niepełna (brak detekcji platformy i brak filtrowania wpisów Windows).

- Internet Explorer: OTL nie wykrywa wersji nowszych niż IE9.

- Google Chrome powyżej wersji 36: Skan zupełnie niewiarygodny. W Chrome 37 nastąpiło przełączenie ważnych preferencji z pliku Preferences do Secure Preferences. OTL nie wykrywa już żadnych modyfikacji preferencji, a wszystkie nazwy rozszerzeń są w fałszywym stanie "No name".

 

 

Wersje OTL 3.2.70.1 / 3.2.70.2 mają poważny błąd i uruchomienie w nich skryptu lub funkcji Sprzątanie prowadzi do poważnych uszkodzeń włącznie z niestartującym Windows: temat na forum. Proszę nie pobierać OTL z innych linków niż w/w, a jeśli wcześniej pobierano OTL, upewnić się, że nie jest to jedna z krytycznych wersji. Wersje te zostały wycofane z użytku. Najnowszy dostępny OTL to 3.2.69.0.

 

OTL (następca OTListIt2) - Narzędzie autorstwa OldTimera służące diagnostyce systemu. Program ma wbudowane tłumaczenia językowe i w zależności od wykrytego locale systemu podstawia odpowiedni język, czyli na polskim systemie jest polski interfejs. Raport z OTL był obowiązkowym raportem podawanym na forum przez kilka lat. Obecnie wymóg został zniesiony i głównym raportem diagnostycznym na forum jest nowoczesny FRST.

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Narzędzie jest dostępne w trzech wersjach. Jeśli nie można na komputerze uruchomić wersji EXE, należy pobrać wersję COM lub SCR.

 

otl1new.png

 

Pobraną aplikację należy uruchomić z dwukliku. Windows 8 / Windows 7 / Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

otl2.png

 

2. Pojawi się główny interfejs programu. Należy skonfigurować jak na obrazku:

 

otl3new.png

 

  • Wszystkie sekcje ustawione na Użyj filtrowania (Use SafeList).
  • Należy zaznaczyć Wszyscy użytkownicy (Scan All Users)
  • Dodatkowo postawić ptaszki przy pozycjach Infekcja LOP (LOP Check) + Infekcja Purity (Purity Check)
  • Systemy 64-bit: pokazuje się dodatkowa opcja, która ma być zaznaczona:

     

    otlx64.gif

 

3. Następnie należy wywołać skanowanie poprzez buttonik Skanuj (Run Scan). Rozpocznie się sprawdzanie systemu upostaciowane przez notyfikacje tekstowe na spodzie okna. Proszę cierpliwie czekać.

 

otl4.png

 

4. Finałowo na pasku statusu pojawi się komunikat o ukończeniu skanowania.

 

otl5.png

 

Zostaną automatycznie otworzone w Notatniku dwa logi: OTL.txt oraz Extras.txt. Są zlokalizowane na dysku w tym samym katalogu, z którego uruchamiano OTL.

 

otl6.png

 

Oba proszę załączyć w poście.

 

 

Brak raportu Extras

 

Narzędzie OTL uruchomione więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", w efekcie powstaje tylko log główny bez Extras. By pozyskać log Extras, należy tę opcję przestawić na "Użyj filtrowania". Zwykle prosimy o Extras tylko raz, czyli w pierwszym poście z prośbą o pomoc. W szczególnych przypadkach możemy poprosić o powtórzenie generowania tego raportu w trakcie prowadzenia procesu czyszczenia systemu.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

OTS

 

Platforma: Windows 2000, XP, Vista, Windows 7 32-bit i 64-bit

 

button.png button.png button.png

 

Mirrory:

 

button.png button.png button.png

 

(wersje COM i SCR, jeśli nie można uruchomić wersji EXE)

 

 

Jest to "bardziej skomplikowany" brat OTL. Tyczą go te same ograniczenia i limitacje.

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Narzędzie jest dostępne w trzech wersjach. Jeśli nie można na komputerze uruchomić wersji EXE, należy pobrać wersję COM lub SCR.

 

ots1.png

 

Pobraną aplikację należy uruchomić z dwukliku. Winows 8 / Windows 7 / Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

ots2.gif

 

2. Pojawi się główny interfejs programu:

 

ots.gif

 

Należy skonfigurować program wg następujących kroków:

  • W górnej partii zaznaczyć domyślnie odznaczoną opcję Scan All Users
  • W sekcji Basic Scans pozostawić wszystkie opcje na Safe List
  • W sekcji Additional Scans zaptaszkować wszystkie pozycje, upewnić się w kwestii oznaczenia Safe List
  • Systemy 64-bit: Ujawnia się dodatkowa opcja Include 64bit scans, która także ma być zaznaczona:

     

    otsx64.gif

 

3. Po skonfigurowaniu opcji skanera należy wywołać generowanie raportu przez opcję Run Scan.

 

4. Rozpocznie się sprawdzanie systemu, notowane poprzez zmieniające się adnotacje na spodniej belce okna. Proszę cierpliwie czekać, aż do uzyskania statusu ukończeniu Scans complete!.

 

5. Zostanie automatycznie otworzony w Notatniku log: OTS.txt. Plik jest tworzony w tej samej lokalizacji, z której startowano OTS. Proszę załączyć w poście.

 

ots3.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

otlico.png

 

OTLPE:

 

Gotowa kompleksowa płyta (edycja standardowa) ~93MB:

 

button.png

 

Gotowa kompleksowa płyta (edycja sieciowa rozszerzona o sterowniki sieci) ~120MB:

 

button.png

 

Singiel pod budowę własnych płyt ~535KB:

 

button.png

 

 

OTLPE to płyta sfatygowana i nierozwijana, posiada zintegrowany bardzo przestarzały OTL, znacznie odstający od wersji działającej spod Windows (która też jest przestarzała) i mniej wiarygodny. Ponadto, płyta jest zrobiona na starym silniku XP, a to oznacza, że ma braki w obsłudze określonych kontrolerów dysków SATA/AHCI. Brak tej obsługi objawia się niebieskim ekranem BSOD o kodzie błędu STOP: 0x0000007B podczas bootowania z OTLPE.

 

 

 

Specjalna płyta LiveCD autorstwa OldTimera. Jest oparta na kreatorze Reatogo-X-PE, który opisuję w temacie o budowaniu specjalnych płyt: Kreatory LiveCD Windows / płyt narzędziowych. W związku z wykorzystaniem określonego buildera płyta ta ma silnik XP, ale można z niej startować także na komputery z nowszymi systemami Vista/7. Umożliwia m.in. zrobienie loga z OTL przy zupełnie niebootującym Windows, bez załadowanego systemu. Narzędzie diagnostyczne do mocno awaryjnych sytuacji, gdy bezpośrednim skutkiem infekcji jest całkowita niemożność wejścia do systemu. Na podstawie tego raportu będziemy mogli na forum podjąć specjalne akcje dezynfekcyjne. Zresztą płyta umożliwia przeprowadzenie innych operacji na zarażonym komputerze. Płyta ma wbudowany mechanizm automatycznego montowania rejestru (pliki z ...\system32\config + NTUSER.DAT wszystkich użytkowników komputera). Surowiczne pliki rejestru są ładowane jako nowe tymczasowe gałęzie:

 

otlpereg.gif

 

Proszę nie próbować samemu prób z dezynfekcją, jeśli nie ma podstaw wiedzy o środowisku PE i strukturze rejestru. Jeśli taka próba jest w zamiarze, proszę przedstawić dane do weryfikacji

 

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Na dowolnym dostępnym komputerze pobieramy plik z płytą. Jest to EXE wykonane w technice 7-Zip, które zawiera skompresowane ISO i kopię ImgBurn. Wystarczy włożyć czystą CD do napędu i uruchomić EXE, a nastąpi automatyczne wyekstraktowanie składników i nagranie na płytę. Przygotowujemy także urządzenie przenośne USB typu pendrive, na który będzie zgrywany log z akcji.

 

2. Następnie wkładamy płytę CD do napędu zdefektowanego komputera i startujemy z tej płyty. W BIOS musi być ustawiona odpowiednia kolejność startowania urządzeń, by załadowała się płyta a nie startował dysk twardy. Jeśli ktoś ma problem z BIOSem, to tutaj materiały uzupełniające:

 

----> How to Set BIOS to Boot from CDROM

 

3. Pomyślnie zastartowana CD pokaże kolejne ekrany bootowania i ładowania komponentów na podobieństwo startu Windows:

 

otlpe01_m.gif

 

otlpe02_m.gif

 

otlpe03_m.png

 

4. Finałowo załaduje się Pulpit płyty z różnymi odnośnikami narzędziowymi. Na Pulpicie jest skrót do narzędzia OTL:

 

otlpe04_m.png

 

5. Przez dwuklik uruchamiamy OTL. Na tym etapie zostanie podmontowany rejestr martwego Windows i padnie seria pytań interakcyjnych:

 

Pierwszy ekran to Browse for folder, który nakazuje wskazać gdzie jest katalog Windows, czyli np. C:\WINDOWS (a nie sam dysk C, bo będzie błąd):

 

otlpe05.gif

 

Na pytanie Do you wish to load remote user profile(s) for scanning odpowiadamy Yes:

 

otlpe06.gif

 

Pojawi się okno Select user profile (wybór profilu), opcja Automatically Load All Remaining Users ma być zaznaczona, potwierdzamy wszystko przez OK:

 

otlpe07.gif

 

6. Zostanie uruchomiony interfejs OTL, który już znamy z wersji narzędzia dla Windows. Proszę zostawić wszystko na domyślnych ustawieniach i kliknąć w Run Scan:

 

otlpe08.gif

 

7. Po uzyskaniu na spodniej belce adnotacji Scans Complete należy zamknąć OTL (to powinno odładować podmontowany rejestr). Log jest gotowy. Nie jest on otwierany automatycznie, należy go ręcznie wyszukać. Plik jest zapisywany w głównym katalogu dysku systemowego np. C:\OTL.TXT. Z poziomu Pulpitu klikamy w My computer i przechodzimy na dysk z Windows. Log ten należy skopiować na USB. Następnie zaprezentować na forum.

 

 

 

OTLPE URUCHOMIONE Z USB

 

Domyślnie OTLPE jest przygotowane do nagrania na nośnik CD. Istnieje możliwość stworzenia bootowalnego USB. Pobraną paczkę OTLPE rozpakuj za pomocą 7-zip. W środku jest plik ISO, który należy nagrać na USB. Do wyboru dwa kreatory:

 

1. Kreator YUMI. Wybierasz opcję "Try an Unlisted ISO" lub "Try an Unlisted (Run From RAM)" i wskazujesz plik ISO.

2. Kreator PeToUSB.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

index_console_m.png

 

DDS

 

Platforma: Windows XP, Vista, Windows 7, Windows 8 32-bit i 64-bit

 

Strona domowa

 

button.png

 

 

Narzędzie nieaktualizowane od kilku lat, ostatnia wersja pochodzi z 2012.

 

 

DDS - Narzędzie autorstwa sUBs (czyli stajnia ComboFix) dedykowane nieinwazyjnemu poborowi danych. DDS umożliwia tylko skan, nie dostarcza żadnych opcji naprawczych. Systemy 64-bit: narzędzie adresuje te platformy, obsługa uwzględnia rozpoznanie procesów części natywnej oraz czysto 64-bitowe fragmenty rejestru.

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Narzędzie jest dostępne w trzech wersjach: COM, PIF i SCR. Należy pobrać jedną z nich.

 

dds1.png

 

Pobraną aplikację należy uruchomić z dwukliku. Windows 8 / Windows 7 / Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

dds2.png

 

2. Pojawi się okno z opcjami narzędzia. Zostawiamy domyślnie zaznaczone opcje i klikamy w Start:

 

dds3new.png

 

3. Rozpocznie się skanowanie obrazowane paskiem postępu:

 

dds4.png

 

4. Znakiem, że skanowanie jest w pełni ukończone, jest ujawnienie się okienka poświadczającego zapis logów:

 

dds5.png

 

Zamknięcie okna automatycznie otwiera raporty w Notatniku. Program tworzy na Pulpicie dwa logi: dds.txt i attach.txt.

 

dds6.png

 

Oba proszę załączyć w poście.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

rsitico.gif

 

Random's system information tool (RSIT)

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Wersja dla systemów 32-bit:

 

button.png

 

Wersja dla systemów 64-bit:

 

button.png

 

 

 

Wprawdzie program nadal wykazuje oznaki życia (ostatnia wersja z 2017) i ma podstawową zgodność z Windows 10, ale tu zdyskwalifikowany ze względu na używanie przeterminowanego komponentu HijackThis.

 

Systemy 64-bit: fragment raportu pochodzący bezpośrednio z HijackThis dziedziczy oczywiście wadę HijackThis (narzędzie w ogóle nie potrafi pobrać 64-bitowych wejść i podaje sfałszowany widok), ale RSIT dostarcza dodatkowy ekstrakt z rejestru uwzględniający dwoistość budowy, a lista oprogramowania pokazuje zarówno programy 32-bit jak i 64-bit.

 

Narzędzie do tworzenia raportów posługujące się HijackThis, które jednakże posiada rozszerzenia informacyjne wykraczające poza ten program.

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Pobieramy plik pasujący do naszej wersji systemu.

 

rsit1.png

 

Plik uruchamiamy przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

rsit2.png

 

2. Pojawi się ekran ze standardowym zrzeczeniem się odpowiedzialności. Figuruje tutaj opcja decydująca o zakresie czasowym dla wyszukiwania obiektów ostatnio utworzonych bądź zmodyfikowanych. Domyślnie ustawiona na 1 miesiąc i tak proszę to zostawić. Rozpoczęcie skanowania jest egzekwowane po kliku w Continue:

 

rsit3.png

 

3. Ujawni się małe okno z pasem postępu. W fazie wstępnej narzędzie stara się zlokalizować HijackThis na dysku twardym, a jeśli aplikacja jest nieobecna, podejmuje próbę pobrania z internetu (kopia ląduje w katalogu %ProgramFiles%\trend micro). HijackThis jest uruchamiany tłowo bez żadnych dodatkowych "znaków". Następnie są pobierane kolejne informacje, notowane opisowo nad pasem postępu czym aktualnie zajmuje się RSIT.

 

rsit4.png

 

4. Po ukończeniu skanowania okno samoczynnie zanika, a narzędzie automatycznie otwiera pliki raportów w Notatniku. W głównym katalogu dysku systemowego jest tworzony folder o nazwie rsit, który zawiera dwa raporty: log.txt (z HijackThis i dodatkowymi uzupełnieniami) oraz info.txt (ze zrzutem MBR, listą zainstalowanych programów, zawartością pliku HOSTS, aplikacjami zarejestrowanymi w Centrum zabezpieczeń, wyciągami z Dziennika zdarzeń i Zmiennymi środowiskowymi).

 

rsit5.png

 

Oba proszę załączyć w poście.

 

Jeśli RSIT uruchomiono więcej niż raz, jest generowany i otwierany tylko log główny, raport dodatkowy z poprzedniego uruchomienia powinien być w w/w katalogu. By ten dodatkowy raport powstał na nowo należy skasować z folderu RSIT plik info.txt lub wywołać RSIT z parametrem /info.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

index_console_m.png

 

Security Check (by Screen317)

 

Platforma: Windows XP, Vista, Windows 7 32-bit i 64-bit

 

button.png

 

 

 

Program porzucony w 2015 i zastąpiony przez alternatywne wersje: Security Analysis by Rocket Grannie, Security Check by glax24.

 

Windows 8 i 10: Brak zgodności. Systemy 64-bit: Program nie jest natywnie 64-bitowy, toteż pobór danych jest tylko częściowy. M.in. zainstalowane wersje określonych programów zostaną pokazane tylko w wersji 32-bit.

 

Raport tworzący sumaryczne zestawienie podstawowych zabezpieczeń komputera (my nie bez powodu dajemy każdemu instrukcje aktualizujące po dezynfekcji). Raport nie jest obowiązkowy, gdyż podobne informacje jesteśmy w stanie uzyskać analizując FRST Addition. Omawiane tu narzędzie tworzy spis uproszczony: ogólny poziom SP systemu, wersję IE oraz status UAC na platformach Vista/7, Antivirus/Firewall Check (wykrycie oprogramowania tego rodzaju plus status Zapory Systemu Windows), Anti-malware/Other Utilities Check (zestawienie oprogramowania antymalware oraz wersji programów w rodzaju Adobe Reader czy Java, mających istotny wpływ na podatność na infekcję), Process Check (lista programów działających tłowo podczas tworzenia raportu), DNS Vulnerability Check (podatność na exploit DNS). Raport jest przepuszczany przez system klasyfikacji. Security Check jest programem konsolowym.

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Pobrany plik uruchamiamy przez dwuklik:

 

seccheck1.png

 

Na systemach Vista do Windows 7 wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

seccheck2.png

 

2. Otworzy się okno konsolowe oczekujące na reakcję poprzez wywołanie dowolnego klawisza z klawiatury:

 

`````````````````````````Security Check by screen317`````````````````````````

 

 

 

 

 

This will check your system and display the security programs on your computer.

 

`````````If you don't want this done for any reason, please quit now.````````

 

 

 

Aby kontynuować, naciśnij dowolny klawisz . . .

 

 

3. Rozpocznie się zbieranie informacji:

 

``Collecting Information``

 

 

Jest ono kilkuetapowe. Należy cierpliwie czekać do pokazania się tego oto komunikatu:

 

Results have been copied to checkup.txt, which should open... now!

 

 

4. Równocześnie automatycznie otwiera się w Notatniku plik checkup.txt, odpowiednio sformatowany przy użyciu BBCode. Zawartość tego loga należy przekleić wprost do posta, nie przez Załączniki, by formatowanie było odpowiednio pokazane. Przykład raportu:

 

 

 

 

Results of screen317's Security Check version 0.99.5

Windows Vista Service Pack 2 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Microsoft Security Essentials

WMI entry may not exist for antivirus; attempting automatic update.

Microsoft Security Essentials successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Spybot-S&D Boot CD creator

Spybot - Search & Destroy

Java� 6 Update 20

Out of date Java installed!

Adobe Flash Player 10.1.53.64

Mozilla Firefox (3.6.8)

Mozilla Thunderbird (3.0.1) Thunderbird Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Windows Defender MSMpEng.exe

````````````````````````````````

DNS Vulnerability Check:

Request Timed Out (Wireless Internet connection/Disconnected Internet/Proxy?)

 

``````````End of Log````````````

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

othico.png

 

OTH

 

Platforma: Windows XP, Vista, Windows 7 32-bit

 

button.png button.png button.png

 

(wersje COM i SCR, jeśli nie można uruchomić wersji EXE)

 

 

Program pomocniczy do uruchamiania narzędzi logów, głównie aplikacji OTL. Umożliwia przygotowanie czystego podkładu przed startem aplikacji właściwej poprzez wstępne zabicie wszystkich procesów, co może zredukować niektóre problemy wynikające z działania infekcji wpływającej negatywnie na OTL i podobne. Po zabiciu procesów jest możliwe: uruchomienie OTL lub innego określonego programu, start przeglądarki by móc wejść na forum i podać log, wreszcie restart.

 

 

INSTRUKCJA URUCHOMIENIA:

 

1. Narzędzie jest dostępne w trzech wersjach. Jeśli nie można na komputerze uruchomić wersji EXE, należy pobrać wersję COM lub SCR.

 

oth1.png

 

2. Jeśli ma być uruchamiany konkretnie OTL, należy pobrać program OTL. Obie aplikacje umieścić we wspólnym folderze obok siebie:

 

oth3.png

 

3. Po uruchomieniu OTH pojawi się miniaturowy interfejs z zestawem opcji:

 

oth2.png

 

4. Należy wywołać opcję Kill All Processes, która zaowocuje zamknięciem się powłoki. Następnie uruchomić OTL opcją Start OTL - jeśli narzędzia nie są we wspólnym folderze, OTH wyrzuci błąd nie znalezienia OTL. Konfiguracja i sposób uruchomienia skanu OTL bez zmian - patrz na opis w pierwszym poście.

 

5. Zostaną automatycznie otworzone logi w Notatniku. By je zaprezentować na forum z biegu, na planszy OTH należy wybrać opcję Internet Explorer, która uruchomi przeglądarkę. Dodatkowo w bonusie jest opcja uruchomienia dowolnej innej aplikacji przy udziale opcji Start Misc Program - może to być inna przeglądarka niż domyślnie proponowany IE, inne narzędzie do logów lub nawet skaner dezynfekcyjny.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...