Skocz do zawartości

Archiwum narzędzi


Rekomendowane odpowiedzi

Stare narzędzia pomocnicze

Adware / paski narzędziowe

Infekcje DNS

Infekcje z mediów przenośnych

Ransom - zablokowany Windows

Ransom - zaszyfrowane pliki (stare warianty)

Bootkity - Infekcje w MBR

Rootkit TDSS/TDL/Olmarik - Klony MaxSS/SST/Olmasco

Rootkit Max++/ZeroAccess/Sirefef (zamknięty botnet)

Infekcja Bagle (historyczna)

Wirusy polimorficzne

Rogue / fałszywe "antywirusy"

Inne historyczne narzędzia i starocie

 

 

Edytowane przez picasso
Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przekierowania wyszukiwarki Firefox

 

 

GooredFix

Platforma: Windows XP, Vista, Windows 7 32-bit i 64-bit

Obecnie program już niedostępny

 

 

Narzędzie do usuwania infekcji implementowanej do Firefoxa, chrzczonej kryptonimem "goored" (od jednego z przekierowań). Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki: Google, Yahoo, MSN, AOL i Ask. Wyniki wyszukiwania są przekierowywane przez dziwne strony.
Zasada infekcji: jest montowana ukryta wtyczka Firefox (niewidoczna na liście wtyczek), która monitoruje pasek adresów pod kątem kluczowych typu "google" etc, a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki. Następuje monitoring wyników wyszukiwania, które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych.
Znaki infekcji: alternatywne przeglądarki (IE / Opera etc.) nie cierpią na ten sam defekt, po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki, choć nic nie było ręcznie montowane. Podczas używania wyszukiwarek na pasku statusu są widoczne różne "dziwne" adresy np. v1.adwarefeed.com, clickfraudmanager, google.goored, goougly.com, zfsearch.com, msnooze.com....

Narzędzie może uruchamiać się na Windows 64-bit, ale potrafi usuwać infekcję tylko z 32-bitowej wersji Firefox.


OBSŁUGA NARZĘDZIA:

 

Przeglądarka Firefox musi być zamknięta podczas uruchamiania narzędzia.


1. Ściągnięty plik uruchamiamy przez dwuklik. Vista/7: wymagane potwierdzenie dialogu UAC.

2. Narzędzie poprosi o zatwierdzenie procesu.

3. Jeśli przeglądarka Firefox jest otwarta, zgłosi się komunikat ostrzeżeniowy.

4. Odbędzie się automatyczny skan i usuwanie. Zostanie wygenerowany na Pulpicie log GooredFix.txt i automatycznie otworzony w Notatniku, a także folder kopii zapasowych GooredFix Backups.

 

Przykładowy log z czyszczenia:

 

GooredFix by jpshortstuff (08.01.10.1)
Log created at 16:14 on 31/01/2010 (Maria)
Firefox version 3.6 (en-US)

========== GooredScan ==========

Deleting HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions\\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success!
Deleting C:\Documents and Settings\Maria\Local Settings\Application Data\{69E5C477-62E1-4088-ACF0-B04F5AE0EA61} -> Success!

========== GooredLog ==========

C:\Program Files\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [20:09 23/04/2005]
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [02:51 27/01/2010]

C:\Documents and Settings\Maria\Application Data\Mozilla\Firefox\Profiles\e3px1ji2.default\extensions\
{20a82645-c095-46ed-80e3-08825760534b} [17:55 27/09/2009]
{403304EE-066A-4a2a-8F41-F12028480A0A} [02:55 27/01/2010]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [07:06 08/08/2009]
"jqs@sun.com"="C:\Program Files\Java\jre6\lib\deploy\jqs\ff" [02:50 27/01/2010]

-=E.O.F=-

 

DEINSTALACJA NARZĘDZIA:


Wystarczy skasować z Pulpitu wykonywalny narzędzia + katalog kopii zapasowych GooredFix Backups + log. Tylko tyle.

 

 

Odnośnik do odpowiedzi
  • 1 miesiąc temu...

Infekcje w MBR dysków (hasła powiązane: Stoned Bootkit / Whistler Bootkit / Black Internet)

 

 

index_console_m.png

 

MBRCheck

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit i 64-bit

 

Pobierz
 
Pobierz

 

 

Program od lat nierozwijany. Pod kątem funkcyjnym zastąpiły go nowsze produkcje Gmer. Obecnie żaden z programów Gmera (GMER, aswMBR) nie jest rozwijany i nie ma wsparcia dla najnowszych wersji Windows 10.

 

 

Uzupełnienie do wątków infekcji w MBR adresujące przypadki typu Whistler Bootkit. MBRCheck to narzędzie trybu user mode dedykowane detekcji i usuwaniu bootkitów, czyli rootkitów wykorzystujących obszar startowy MBR. MBRCheck to wariacja nierozwijanego już eSage Lab Bookit Remover. Jest unowocześniony, podaje lepsze informacje (typuje rodzaj infekcji), a prowadzenie naprawy jest rozplanowane na interakcję z użytkownikiem. Narzędzie także podaje informacje OEM i kilka innych szczegółów (np. przeliczenie hashu pierwszych bajtów MBR).

Narzędzie jest typem konsolowym, tzn. jest obsługiwane z wiersza poleceń.

 

 

 

OBSŁUGA PROGRAMU:

 

Pobrany plik uruchamiamy przez dwuklik. Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Zostanie otworzone okno konsolowe:

 

 

Tworzenie raportu

 

W oknie wiersza poleceń automatycznie pojawią się wyniki skanowania, formatowane w podobny sposób jak w narzędziu Bootkit Remover, z wyjątkiem rozszerzonych informacji OEM oraz innej treści w statusach:

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version:                Windows 7 Ultimate Edition

Windows Information:            (build 7600), 32-bit

Base Board Manufacturer:        ASUSTeK Computer INC.

BIOS Manufacturer:              American Megatrends Inc.

System Manufacturer:            System manufacturer

System Product Name:            P5Q-E

Logical Drives Mask:            0x0000003c

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000019`00200000 (NTFS)

\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000 (NTFS)

 

     Size  Device Name         MBR Status

 --------------------------------------------

   596 GB  \\.\PhysicalDrive0__Windows 7 MBR code detected

           SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

   596 GB  \\.\PhysicalDrive1__Windows XP MBR code detected

           SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

Done!

Press ENTER to exit...

 

Narzędzie, niezależnie skąd uruchomione, samoistnie tworzy na Pulpicie korespondujący plik tekstowego raportu z datowaniem w nazwie. Zawartość tego pliku należy przekleić do posta na forum.

 

Dla każdego z namierzonych dysków może się pokazać następujący stan:

 

     Size  Device Name         MBR Status

 --------------------------------------------

    40 GB  \\.\PhysicalDrive0  Windows (wersja) MBR code detected

  

     Size  Device Name         MBR Status

 --------------------------------------------

    40 GB  \\.\PhysicalDrive0  Unknown MBR code

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

  

     Size  Device Name         MBR Status

 --------------------------------------------

   596 GB  \\.\PhysicalDrive0  Known-bad MBR code detected (Whistler / Black Internet)!

   596 GB  \\.\PhysicalDrive1  MBR Code Faked!

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

 

 

 

Jeśli na forum prosimy o "log z MBRCheck", to oznacza dokładnie tylko to. Nie podejmujcie naprawy na własną rękę. Przejście do dalszych czynności naprawczych zapada na podstawie oceny dostarczonego raportu.

 

 

 

Dezynfekcja

 

W przypadku gdy wyniki są inne niż standardowe, narzędzie uaktywnia podopcje, które prowadzą do specyficznych operacji. By dostać się do modułu usuwania należy wklepać z klawiatury Y i ENTER:

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit: Y

 

Pokażą się trzy opcje wyboru. Pierwsza ma charakter analityczny dla zaawansowanych (zrzut kodu MBR). Druga to właściwa naprawa MBR. Trzecia zakańcza działanie narzędzia. Z klawiatury należy wpisań liczbę 2 i ENTER:

 

Options:

  [1] Dump the MBR of a physical disk to file

  [2] Restore the MBR of a physical disk with a standard boot code.

  [3] Exit.

 

Enter Your choice: 2

 

Pojawi się prośba o wpisanie numeru dysku fizycznego (liczby z zakresu 0 do 99) do naprawy lub ewentualne anulowanie działania przez wpisanie -1. Numer dysku fizycznego jest pobierany z ciągu \\.\PhysicalDriveX, czyli przykładowo dla \\.\PhysicalDrive0 wpisujemy 0 i ENTER:

 

Enter the physical disk number to fix (0-99, -1 to cancel): 0

 

Narzędzie poda listę kodów odpowiadających sygnaturom poszczególnych systemów operacyjnych i poprosi o dokonanie wyboru. Należy wpisać z klawiatury tę liczbę, która pasuje do naszej wersji systemu, np. dla Windows 7 będzie to 5 i ENTER:

 

Available MBR codes:

  [ 0] Default (Windows XP)

  [ 1] XP

  [ 2] Server 2003

  [ 3] Vista

  [ 4] 2008

  [ 5] 7

  [ 1] Cancel

 

Please select the MBR code to write to this drive: 5

 

Zgłosi się ostateczne zatwierdzanie operacji nadpisania MBR, wykonywane przez wpisanie YES i ENTER:

 

Do You want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES

 

Otrzymamy komunikat o przepisaniu MBR, prośbę o restart systemu w celu ukończenia operacji i zamknięcie aktualnie otwartego okna przez ENTER z klawiatury:

 

Successfully wrote new MBR code!

Please reboot your computer to complete the fix.

 

Done!

Press ENTER to exit...

 

Restartujemy komputer. Po restarcie uruchamiamy ponownie narzędzie, po pomyślnej naprawie wynik powinien być zgodny z sygnaturą systemową:

 

     Size  Device Name         MBR Status

 --------------------------------------------

    40 GB  \\.\PhysicalDrive0  Windows 7 MBR code detected

 

 

 

PROCEDURY ALTERNATYWNE:

 

Jeśli zawiedzie czyszczenie przy użyciu tego narzędzia, odpowiednikiem jest skorzystanie ze środowisk zewnętrznych:

  • Windows XP/2003: FIXMBR z Konsoli Odzyskiwania
  • Windows Vista/2008/7: BOOTREC /FIXMBR z Dysku Odzyskiwania WinRE

 

Odnośnik do odpowiedzi

Infekcja w MBR dysków (hasła powiązane: Mebroot / Sinowal / MaosBoot / Torpig / TDL4)

 

 

index_console_m.png

 

MBR rootkit detector

 

Strona domowa

 

Platforma: Windows 2000, XP, Vista, Windows 7

 

Pobierz

 

 

Narzędzie zastąpione przez aswMBR, w późniejszym czasie także usunięte (poniżej kolejny opis). Obecnie żaden z programów Gmera (GMER, aswMBR) nie jest rozwijany i nie ma wsparcia dla najnowszych wersji Windows 10.

 

 

Program autorstwa Gmera do sprawdzania i czyszczenia z rootkitów obszaru Master Boot Record (MBR) dysku twardego. Od wersji 0.4.2 jest w stanie wykonać detekcję rootkita TDL4. MBR.EXE jest także integrowany w innych specjalistycznych narzędziach (ComboFix, DDS).

 

 

TWORZENIE RAPORTU:

 

1. Narzędzie pobieramy z linka i zapisujemy w katalogu głównym dysku C. Vista/7: wymagane przejście przez proces UAC (C jest lokalizacją domyślnie zabezpieczoną).

 

2. Uruchamiamy z dwukliku, by dostać log aktualnego stanu MBR. Vista/7: tryb Uruchom jako Administrator. Uruchomi się na chwilę konsolowe okno.

 

3. Okno cmd samoczynnie się zamknie, a wynikową jest wygenerowany w tym samym katalogu, z którego startowano narzędzie, plik tekstowy mbr.log.

 

 

DEZYNFEKCJA:

 

Narzędzie MBR.EXE jest obsługiwane z linii poleceń.

 

Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej (+ ze wskazówką użycia komendy naprawczej):

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, "http://www.gmer.net"
Windows 6.0.6002 Disk: ST350082 rev.SD1A -> Harddisk0\DR0 -> \Device\00000059

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85858446]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8585e504]; MOV EAX, [0x8585e580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 ntkrnlpa!IofCallDriver[0x81E46962] -> \Device\Harddisk0\DR0[0x857B0308]
3 CLASSPNP[0x881A18B3] -> ntkrnlpa!IofCallDriver[0x81E46962] -> [0x852F2F08]
5 acpi[0x824106BC] -> ntkrnlpa!IofCallDriver[0x81E46962] -> [0x852EFC90]
\Driver\nvstor32[0x8583FC68] -> IRP_MJ_CREATE -> 0x85858446
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
detected disk devices:
\Device\00000058 -> \??\SCSI#Disk&Ven_ST350082&Prod_0AS#4&3840d2d&0&000000#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi -> 0x84e1f1f8
user != kernel MBR !!!
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x88b8ecb8
NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

 

 

1. W celu wykonania czyszczenia MBR należy zastartować do trybu awaryjnego z obsługą wiersza polecenia.

 

 

W linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER.

 

C:\Documents and settings\Administrator>C:\mbr.exe -f

 

 

2. Restartujemy komputer już normalnie. Uruchamiamy narzędzie mbr.exe ponownie z dwukliku, by uzyskać kolejny log potwierdzający naprawę.

 

----> Jeśli była ona pomyślna, log będzie mieć postać:

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

 

----> Jeśli proces zawiedzie, log może przybrać postać:

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x88b8ecb8
NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
Use "Recovery Console" command "fixmbr" to clear infection !

 

 

PROCEDURY ALTERNATYWNE:

 

Jeśli zawiedzie czyszczenie przy użyciu MBR.EXE, odpowiednikiem jest skorzystanie ze środowisk zewnętrznych:

  • Windows 2000/XP/2003: FIXMBR z Konsoli Odzyskiwania
  • Windows Vista/2008/7: BOOTREC /FIXMBR z Dysku Odzyskiwania WinRE

 

Odnośnik do odpowiedzi
  • 1 rok później...

 

webroot-logo.gif

 

Webroot AntiZeroAccess

 

Strona opisowa na blogu Webroot

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit

 

Pobierz

 

 

Narzędzie przeterminowane. Wykrywa tylko stary wariant infekcji (infekcja w sterownikach). Obecnie botnet ZeroAccess i tak zamknięty.

 

 

Narzędzie Webroot dedykowane usuwaniu głównych komponentów rootkita określonego aliasami ZeroAccess lub Max++ (jego aktywność Microsoft Security Essentials może wychwytywać pod nazwą "Sirefef"). Skrótowa charakterystyka: zaawansowane techniki hookowania / intercepcji systemowego sterownika disk.sys, infekcja losowych sterowników systemowych, przekierowania przy udziale linków symbolicznych kierujących na ścieżki falsyfikaty oraz manipulacje w Winsock. Jednym z widocznych znaków działania tej infekcji w omawianej tu wersji jest całkowity nokaut oprogramowania zabezpieczającego i narzędzi analizy - po uruchomieniu narzędzia są nagle zamykane, a próba ich ponownego uruchomienia zwraca już komunikat braku dostępu (rootkit przekształca cały zestaw uprawnień).

Infekcja ta jest zdolna także atakować systemy 64-bit, aczkolwiek ze względu na inną konstrukcję platformy komponent rootkit nie występuje i jest używana nieco inna metoda ładowania. Opis działania tej infekcji na systemie 64-bit jest zlokalizowany w tym artykule: MAX++ sets its sights on x64 platforms. Przykład infekcji 64-bit z forum: Win32:Malware-gen. Narzędzie Webroot jest przeznaczone tylko dla systemów 32-bit, próba uruchomienia na systemie 64-bit zwraca komunikat o braku wsparcia dla tej platformy.

 

 

 

OBSŁUGA NARZĘDZIA:

 

Uwaga: narzędzie nie usuwa wszystkich skutków tej infekcji. Pozostają zdefektowane uprawnienia, link symboliczny i komponenty poboczne.

 

Narzędzie uruchamiamy przez dwuklik.

 

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

antizr.png

 

 

Pojawi się konsolowe okno interakcyjne z pytaniem czy rozpocząć skanowanie:

 

Webroot ZeroAccess Remover

Copyright© 2011 Webroot

www.webroot.com

 

This program will scan and remove any form of ZeroAccess Rootkit.

Would you like to perform a System Scan? [Y/N]

 

Należy z klawiatury wpisać Y i ENTER. W oknie będzie notowany progres skanowania, a elementy wykryte jako zainfekowane zostaną stosownie wyróżnione kolorem. Narzędzie oczekuje wciśnięcia jakiegokolwiek klawisza w celu przeprowadzenia dalszej analizy.

 

Webroot ZeroAccess Remover

Copyright© 2011 Webroot

www.webroot.com

 

This program will scan and remove any form of ZeroAccess Rootkit.

Would you like to perform a System Scan? [Y/N] Y

 

Check rootkit device: Found!

System Disk class driver state: Infected!

Current analysis path: C:\Windows\system32\Drivers\

Check file "1313000667.sys"... Clean!

(...)

Check file "tdx.sys"... Infected!

(...)

Check file "WUDFRd.sys"... Clean!

 

Press any key to analyze results...

 

Dostosowanie się do prośby przez wciśnięcie jakiegokolwiek klawisza zwróci kolejny ekran z zestawieniem elementów infekcji i pytaniem czy rozpocząć dezynfekcję:

 

|-------------------------------------------------------------------|

|               WARNING! Your system is Infected!!                  |

|-------------------------------------------------------------------|

 

List of infected files: tdx.sys

Your pc is infected. Would you like to perform system cleanup? [Y/N]

 

Wpisanie z klawiatury Y i ENTER rozpoczyna czyszczenie, z podsumowaniem rezultatów oraz finałową prośbą o zamknięcie narzędzia i restart komputera w celu ukończenia procesu odładowania malware.

 

|-------------------------------------------------------------------|

|               WARNING! Your system is Infected!!                  |

|-------------------------------------------------------------------|

 

List of infected files: tdx.sys

Your pc is infected. Would you like to perform system cleanup? [Y/N] Y

 

Disk class driver new state: Cleaned!

File "tdx.sys" new state: Cleaned!

Rootkit self defense driver... Not found!

 

ZeroAccess rootkit has been succesfully removed from the system!

 

Note: Please restart your system because

some part of the infection could still be active...

 

 

 

Execution ended.

Press any key to exit...

 

Po restarcie ponowne uruchomienie narzędzia powinno zwrócić takie oto wyniki:

 

Copyright© 2011 Webroot

www.webroot.com

 

This program will scan and remove any form of ZeroAccess Rootkit.

Would you like to perform a System Scan? [Y/N] Y

Check rootkit device: Not found!

System Disk class driver state: OK

Current analysis path: C:\Windows\system32\Drivers\

Check file "1313000667.sys"... Clean!

(...)

Check file "tdx.sys"... Clean!

(...)

Check file "WUDFRd.sys"... Clean!

 

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

Execution ended.

Press any key to exit...

 

Narzędzie generuje log tekstowy AntiZeroAccess_Log.txt, zlokalizowany w tym samym katalogu z którego uruchamiano narzędzie. Przykładowy wygląd raportu:

 

Webroot AntiZeroAccess 0.8 Log File
Execution time: 10/08/2011 - 11:11
Host operation System: Windows Seven X86 version 6.1.7600
11:12:31 - CheckSystem - Begin to check system...
11:12:31 - OpenRootDrive - Opening system root volume and physical drive....
11:12:31 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x04FFF000 sectors.
11:12:31 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys".
11:12:31 - InstallAndStartDriver - Main driver was installed and now is running.
11:12:31 - CheckSystem - Warning! Disk class driver is INFECTED.
11:12:31 - CheckFile - Access Denied while reading "1313000667.sys" file. Now I try to take ownership of this file...
11:12:31 - CheckFile - Successfully obtained ownership of file 1313000667.sys.
11:12:38 - CheckFile - Warning! File "tdx.sys" is Infected by ZeroAccess Rootkit.
11:14:37 - DoRepair - Begin to perform system repair....
11:14:37 - DoRepair - System Disk class driver was repaired.
11:14:37 - DoRepair - Infected "tdx.sys" file was renamed.
11:14:37 - DoRepair - Infected "tdx.sys" file was successfully cleaned!
11:14:37 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
11:14:37 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
11:14:37 - Execution Ended!

 

Jest wymagane dalsze czyszczenie systemu, ze względu na niekompletną procedurę.

 

Odnośnik do odpowiedzi
  • 1 miesiąc temu...

 

220px-ESET_logo.svg.png

 

ESET Sirefef Cleaner tool

 

Artykuł opisowy w bazie technicznej ESET

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit

 

Nowsza wersja "ESET Sirefef Cleaner":

 

Pobierz

 

Stara wersja "ESET Sirefef Remover":

 

Pobierz

 

 

Poniższy opis pochodzi ze starszej wersji narzędzia. Narzędzia ogólnie przeterminowane. Obecnie botnet ZeroAccess i tak zamknięty.

 

 

Narzędzie od ESET dedykowane pladze rootkit ZeroAccess (ESET wykorzystuje alias "Sirefef", podobnie jak MS Essentials). Remover działa półautomatycznie, oczekiwana minimalna interwencja ze strony użytkownika, tzn. zatwierdzanie komunikatów. Podstawowym zadaniem jest usunięcie czynnych komponentów rootkit, w dalszej kolejności należy wykonać już tradycyjny skan antywirusowy oraz inne poprawki.

 

 

 

OBSŁUGA NARZĘDZIA ESET Sirefef Remover (stara wersja):

 

Uwaga: narzędzie nie usuwa wszystkich skutków tej infekcji. Pozostają zdefektowane uprawnienia, link symboliczny i komponenty poboczne.

 

Narzędzie uruchamiamy przez dwuklik.

 

sirefefrm1.png

 

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

sirefefrm2.png

 

 

Aplikacja otwiera się w oknie konsolowym i jest inicjowany skan pod kątem różnych wariantów trojana Sirefef.

 

ESET Win32/Sirefef Trojan remover v1.0.1.0 (Oct 4 2011 16:58:52) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Driver successfully initialized.

 

Win32/Sirefef.A not found on your computer.

Checking for latest variant of Sirefef aka "ZeroAccess"

 

Przy wykryciu infekcji ZeroAccess okno prezentuje zainfekowane komponenty i wyskakuje pop-up z pytaniem czy podjąć się leczenia zainfekowanego sterownika systemowego:

 

Checking for latest variant of Sirefef aka "ZeroAccess"

Hidden file: afd.sys

 

sirefefrm3.gif

 

Po zatwierdzeniu w oknie zostanie odnotowany status, pomyślnie wyczyszczenie jest oznajmiane kolejnym pop-upem:

 

Checking for latest variant of Sirefef aka "ZeroAccess"

Hidden file: afd.sys

File was successfully disinfected C:\Windows\system32\Drivers\afd.sys

 

sirefefrm4.gif

 

Jest wymagany restart komputera, w celu ukończenia procesu:

 

Checking for latest variant of Sirefef aka "ZeroAccess"

Hidden file: afd.sys

File was successfully disinfected C:\Windows\system32\Drivers\afd.sys

 

sirefefrm5.gif

 

Zatwierdzenie informacji prowokuje automatyczny restart. Brak logów tekstowych z operacji.

 

Odnośnik do odpowiedzi
  • 5 miesięcy temu...

 

220px-ESET_logo.svg.png

 

ESET Necurs Remover

 

Artykuł opisowy w bazie technicznej ESET

 

Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit i 64-bit

 

Pobierz

 

 

Poniższy opis pochodzi ze starszej wersji narzędzia. Obecnie jest inny konsolowy interfejs. Zaś rootkit Necurs jako taki jest rzadko już (o ile w ogóle) spotykany.

 

 

Narzędzie od ESET specjalizowane w usuwaniu rootkita Necurs. Rootkit cechuje się implementacją cyfrowego losowego sterownika i zablokowaniem sporej części standardowych prawidłowych sterowników, co ma odbicie m.in. w niemożności uruchomienia określonych skanerów antywirusowych / antyrootkit. Przykład z uruchamiania TDSSKiller (pomimo jednak tego błędu akurat to szczególne narzędzie jest zdolne się uruchomić, wykonać skan i nawet poradzić sobie ze sterownikiem rootkit):

 

tdsskillerblocked.png

 

Rootkit jest zdolny atakować systemy 64-bit (info), sterownik jest możliwy do osadzenia ze względu na wykonywaną przez infekcję edycję pliku startowego BCD, na którym zostaje wdrożona komenda włączenia ładowania sterowników podpisanych testowo. Z forum: przykład z systemu 32-bit / przykład z systemu 64-bit. Narzędzie ESET dedykuje infekcję w obu wydaniach, 32-bit i 64-bit.

 

 

 

OBSŁUGA NARZĘDZIA:

 

Pobraną paczkę rozpakowujemy, ze środka uruchamiamy plik ESETNecursRemover.exe przez dwuklik:

 

necurs2.png

 

Aktualizacja: teraz narzędzie nie jest w ZIP tylko EXE. Czyli od razu plik uruchamiany przez dwuklik.

 

Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

 

Aplikacja otwiera się w oknie konsolowym i jest inicjowany skan na obecność rootkita Necurs. W przypadku braku wykrycia okno się samoczynnie zamknie. W przypadku wykrycia infekcji zgłosi się taki oto dialog z pytaniem o wszczęcie procedury usuwania:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Win32/Necurs was found active on your system. Do you want to perform cleaning?

 

necurs3.png

 

Zatwierdzenie czyszczenia zgłasza kolejny dialog o konieczności instalacji przez ESET jego sterownika wymaganego do przeprowadzenia procedury:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Win32/Necurs was found active on your system. Do you want to perform cleaning?

 

necurs4.png

 

Po zatwierdzeniu kolejny dialog notujący pomyślne zainstalowanie sterownika ESET i prośba o reset:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Win32/Necurs was found active on your system. Do you want to perform cleaning?

Driver installed successfully, restart now?.

 

necurs5.png

 

Zatwierdzenie prowokuje automatyczny restart. Po restarcie przy bootowaniu przed załadowaniem Pulpitu zgłosi się komunikat ESET poświadczający zablokowanie sterownika Necurs umożliwiające już pracę narzędzi antywirusowych:

 

ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright ©

ESET, spol. s r.o. 1992-2011. All rights reserved.

Usage:   "cleaner.exe "

Options: -autoclean - start auto cleaning without prompts

         -reboot    - reboot machine after successful cleaning

 

Rootkit Win32/Necurs has been blocked and not running anymore.

24bb382025920c78 service was disabled.

 

necurs6.png

 

Załaduje się Pulpit. Na systemie 64-bit na Pulpicie pojawi się znak wodny Trybu testowego (uprzednio niewidzialny ze względu na ingerencję rootkit):

 

testmode.png

 

Dalsze działania na podstawie instrukcji udzielonych każdemu indywidualnie będą polegać na wyłączeniu trybu testowego oraz doczyszczeniu składników Necurs (już nieaktywnych).

 

Odnośnik do odpowiedzi
  • 3 lata później...

Usuwanie określonych komponentów adware
 

 

avast_b.png

Avast Browser Cleanup

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

FAQ w bazie wiedzy Avast

Oficjalne autoryzowane linki pobierania:

Pobierz

 

 

Wygląda na to, że Avast porzucił wersję standalone i utrzymał tylko wersję zintegrowaną w Avast Free Antivirus. Linkowane powyżej narzędzie jest datowane na rok 2016, usunięto też stronę domową, link przekierowuje obecnie do FAQ. Skorzystaj z AdwCleaner.

 

 

Avast Browser Cleanup dedykuje sprzątanie przeglądarek Internet Explorer i Firefox ze śmieci adware. Wykryte dodatki są oceniane w systemie reputacji. Domyślnie pożyteczne / poprawne elementy są ukryte (zaznaczona opcja "Wyklucz dodatki z dobrymi ocenami"). Program umożliwia zbiorcze usunięcie wykrytych śmieci lub wyłączenie niepożądanych dodatków i reset ustawień (strona startowa / wyszukiwarka) dla każdej przeglądarki z osobna. Narzędzie produkuje raport z operacji, zlokalizowany w ścieżce:

%appdata%\AVAST Software\Browser Cleanup\DATA\log\Avast-Browser-Cleanup.log.

Avast Browser Cleanup występuje w dwóch wersjach realizujących to samo: omawiana tu wersja standalone oraz jako integracja w Avast 8 i nowszych. Użytkownicy nie posiadający Avasta po prostu mogą skorzystać z tego małego narzędzia.
 
abc.png

 

Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware

 

jrtnewico.png

Junkware Removal Tool (JRT)

Oficjalna strona domowa
Oficjalne forum

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit
 
Oficjalne autoryzowane linki pobierania:

Pobierz

 

 

Program został zlikwidowany, używanie go mija się z celem (przestarzała baza danych). Skorzystaj z AdwCleaner.

 

 

Junkware Removal Tool (JRT) - Program o podobnym przeznaczeniu jak AdwCleaner, tzn. dedykowany usuwaniu adware/PUP. Obsługiwane przeglądarki: Firefox, Google Chrome i Internet Explorer. Aplikacja jest konsolowa i pół automatyczna, nie przewiduje dużej interakcji z użytkownikiem. Nie ma też wpływu na to co zostanie usunięte (brak systemu wykluczeń). Program próbuje jedynie utworzyć punkt Przywracania systemu, nie jest tworzona indywidualna kopia zapasowa obiektów przed ich usunięciem.
Program zaczynał jako niezależny projekt, w roku 2015 został przejęty przez Malwarebytes. Od 26 października 2017 już niedostępny, firma zainwestowała w rozwój AdwCleaner i linia AdwCleaner 7.x ma zintegrowaną funkcjonalność JRT.
 
 
 
INSTRUKCJA URUCHOMIENIA:
 
jrtnew1.png
 
Zamknij wszystkie otwarte okna, wyłącz program antywirusowy. Uruchom pobrany plik przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:
 
jrtnew2.png
 
Po uruchomieniu otworzy się okno cmd proszące o wciśnięcie jakiegokolwiek klawisza, by kontynuować:

 

Checking for update
 ================================================================
 [                                                              ]
 [         Junkware Removal Tool (JRT) by Malwarebytes          ]
 [                 Version 8.0.0 (11.12.2015:1)                 ]
 [         Information about this tool can be found at          ]
 [                     www.malwarebytes.org                     ]
 [                                                              ]
 [           This software is free to download and use          ]
 [                                                              ]
 [      Please save any unsaved work before proceeding as       ]
 [  the program will terminate most applications during cleanup ]
 [                                                              ]
 [                                                              ]
 [                       ** DISCLAIMER **                       ]
 [                                                              ]
 [           This software is provided "as is" without          ]
 [        warranty of any kind. You may use this software       ]
 [                       at your own risk.                      ]
 [                                                              ]
 [     Click the [X] in the top-right corner of this window     ]
 [                if you wish to exit. Otherwise,               ]
 ================================================================

Press any key to continue . . .

 

Po naciśnięciu dowolnego klawisza narzędzie przechodzi do tworzenia punktu Przywracania systemu. W przypadku błędu tego procesu, pokaże się zawiadomienie i kolejne pytanie czy kontynuować:

 

Creating restore point... FAILED 0x80070422
The tool failed to create a restore point!!!
Tool paused. If you would like to continue...
Press any key to continue . . .

 

Zatwierdzenie kontynuacji dowolnym klawiszem uruchamia automatyczny skan. W oknie będzie notowany postęp. Ukończenie skanowania jest notowane komunikatem w oknie:

 

Creating restore point... SUCCESS
(*       )  Processes
(**      )  Startup - Logon
(***     )  Startup - Scheduled Tasks
(****    )  Services
(*****   )  File System
(******  )  Browsers
(******* )  Shortcuts
(********)  Preparing Report

JRT has successfully been run. Please review the report in JRT.txt.

 

Automatycznie otwiera się w Notatniku log z wynikami. Jest on zapisany na Pulpicie pod nazwą JRT.txt. Plik ten należy doczepić w postaci załącznika.

 

Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware

 

 

repairdnsico.png

 

RepairDNS

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

 

Program już niedostępny, wycofany ze względu na fałszywe alarmy. Proszę go nie pobierać z innych serwisów. Alternatywnie można skorzystać z Clean_DNS. Niemniej obecnie główne antywirusy nie powinny mieć już problemu z wykryciem tej modyfikacji.

 

 

RepairDNS - Narzędzie autorstwa Nicolasa Coolmana dedykowane usuwaniu specyficznej infekcji DNS wprowadzanej przez adware Jabuticaba, La Superba, V-Bates i podobne. Infekcja ta modyfikuje wszystkie wystąpienia systemowego pliku dnsapi.dll, tworząc w nim odniesienie do niedomyślnego pliku Hosts utworzonego przez infekcję w innym miejscu niż standardowe. RepairDNS sprawdza wszystkie instancje pliku dnsapi.dll, a w przypadku wykrycia tej modyfikacji próbuje znaleźć poprawną kopię pliku i użyć ją do zamiany. Narzędzie typu portable, nie wymaga instalacji.

 

 

INSTRUKCJA URUCHOMIENIA:

 

repairdns1.png

 

Uruchom pobrany plik przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

 

repairdns2.png

 

Pojawi się okno główne, wybierz przycisk GO i poczekaj na ukończenie skanu.

 

repairdns3.png

 

Na Pulpicie zostanie utworzony raport RepairDNS.txt z akcji. Plik ten należy doczepić w postaci załącznika.

 

Odnośnik do odpowiedzi
  • 2 tygodnie później...

 

aswmbrico.png

 

aswMBR

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:


Pobierz

 

 

Program nieaktualizowany od 2014 i ostatecznie zlikwidowany przez Avast. Obecnie w/w strona domowa kieruje do Free Rootkit Scanner and Removal Tool, czyli pobierania Avast Free Antivirus. aswMBR można nadal ściągnąć z przycisku widocznego powyżej, ale nie wiadomo jak długo narzędzie będzie dostępne.

 

 

aswMBR - Narzędzie od Gmera, stworzone dla ekipy Avast, dedykowane detekcji rootkitów MBR, VBR oraz infekcji sterowników (pierwotnie orientacja tylko na stare warianty TDL3/TDL4). Narzędzie jest prostsze obsługowo niż pierwowzór czyli konsolowy MBR.EXE i go zastępuje (MBR.EXE nie jest rozwijany i został usunięty z oficjalnej strony GMER), gdyż polecenia zostały przeobrażone w buttoniki. Do bardziej kompleksowego skanu zalecam jednak TDSSKiller i/lub MBAR linkowane w zbiorze narzędzi usuwających.

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

aswmbr1.png

 

Uruchamiamy pobrany plik przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

aswmbr2.png

 

Jeśli komputer obsługuje technologię wirtualizacji sprzętowej, zostanie zadane pytanie czy wykorzystać ją w skanie:

 

aswmbr3.png

 

Następnie padnie propozycja ściągania definicji Avast wspomagających skanowanie. Jest to krok opcjonalny i nie wymagany, by przeprowadzić skan zasadniczy.

 

aswmbr4.png

 

Opcje

 

Dostępne operacje:

  • Scan - Skanowanie w trybie tylko do odczytu
  • FixMBR - Usuwanie infekcji w MBR
  • Fix - usuwanie infekcji TDL4
  • Save log - Zapis raportu tekstowego (równocześnie i zrzucanie MBR do pliku)
  • Trace disk IO calls - Dodatkowe śledzenie zapytań IO dysku
  • Ponadto pliki wykryte jako "podejrzane" można skopiować spod narzędzia w celu analizy np. na VirusTotal.
 

Skanowanie

 

Rozpoczynamy diagnostykę przyciskiem Scan. W oknie pojawią się wyniki. Jeśli aswMBR wykryje konkretną infekcję, wynik jest stosownie opisany i zakreślony w kolorze czerwonym.

Szerszy wykaz notujący podejrzaną aktywność uzyskamy po zaznaczeniu opcji Trace disk IO calls.

 

 

Usuwanie infekcji

 

W celu usunięcia infekcji z MBR należy wybrać aktywny przycisk FixMBR. Postęp naprawczy jest notowany stosownymi komunikatami. Po pomyślnie przeprowadzonej operacji padnie prośba o restart komputera.

 

Przycisk FixMBR jest niedostępny, jeśli narzędzie: nie wykryło infekcji wcale, nie potrafi jej zdiagnozować w sposób jednoznaczny lub jest to rootkit infekujący sterowniki systemowe a nie MBR.

 

Odnośnik do odpowiedzi
  • 4 tygodnie później...

Identyfikacja infekcji szyfrujących

 

idtoolico.png

IDTool v2

 

Strona opisowa BleepingComputer.com

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

 

Program już niedostępny i nie działa (brak kontaktu z bazą online). Należy skorzystać z ID Ransomware.

 

 

IDTool - Narzędzie dedykowane identyfikacji typu ransomware szyfrującego dane na podstawie śladów pozostawionych przez infekcję w systemie (określone pliki czy wpisy rejestru). Program tylko i wyłącznie para się rozpoznaniem flag infekcji, nic nie usuwa, ani nie dekoduje zaszyfrowanych plików.

IDTool v2 to nowsza edycja, którą odróżnia od starej wersji IDTool v1 baza aktualizacji online. Program wystarczy pobrać tylko raz (to wyjątek wśród linkowanych tu narzędzi) - najnowsza wersja bazy jest automatycznie ładowana z serwera przy każdym uruchomieniu, gwarantując dostępność nowych informacji o ransomware. Prócz bazy online, jest też baza lokalna obliczona pod przypadki braku połączenie z internetem.

 

Odnośnik do odpowiedzi
  • 2 miesiące temu...

 

tfcico.png

 

TFC - Temp File Cleaner by OldTimer

 

Platforma: Windows XP, Windows Vista, Windows 7 32-bit i 64-bit

Licencja: freeware

 

Strona domowa


Pobierz

 

 

Zwykle w temacie użytkownika specjalne skrypty FRST adresują czyszczenie tej sfery i nie jest już wymagane posługiwanie się osobnym programem. TFC to program stary i nieaktualizowany. Nie ma oficjalnej zgodności z Windows 8/8.1 i Windows 10 (mimo że teoretycznie na nich działa), a na Windows 10 pojawiają się skutki uboczne (problemy z  przeglądarką Edge). Brak również dostosowań pod nowe ścieżki dostępu, np. czyści tylko starą Operę 12.x a nie zastępującą ją linię Opera 15.x+, nie obsługuje Microsoft Edge (ani starej wersji, ani wersji opartej na Chromium). Te sprawy za to są już dawno załatwione w komendzie FRST.

 

 

TFC (Temp File Cleaner) - Miniaturowy sprzątacz, którego przeznaczeniem jest przeczyszczenie lokalizacji tymczasowych. Obsługuje czyszczenie: folderów Temp użytkowników (wszystkich kont, w tym systemowych Administrator / LocalService / NetworkService / All Users), folderu Temp systemu (%systemroot%\temp), luźnych plików *.tmp w głównych lokalizacjach (%systemdrive% / %systemroot% / system32) oraz cache wybranych przeglądarek (Internet Explorer, Firefox, Chrome, Opera 12.x, Safari) i Java.

Narzędzie przeprowadza proces w trybie zbiorczym i całkowicie automatycznym. Przed uruchomieniem procesu przez buttonik Start należy zapisać wszystko nad czym pracujemy, ponieważ proces może wymagać ukończenia przez restart komputera. W trakcie czyszczenia są pokazywane skanowane lokalizacje wraz z liczbą bajtów z nich usuniętą oraz sumaryczne podliczenie usuniętej całości w MB.

 

tfc.png

Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...