Skocz do zawartości
picasso

Dezynfekcja: zbiór narzędzi usuwających

Rekomendowane odpowiedzi

Proszę nie pobierać linkowanych programów z innych stron niż wyliczone (np. polskie portale, hostingi). Ryzyko "bonusów". Najnowsza wersja gwarantowana tylko na stronie domowej. Linki w indeksie oznaczone ikonką oznaczają pełny opis w temacie, pozostałe to tylko przekierowania na strony domowe.

Jest tu przyjęty określony przedział czasowy, minimum początek roku 2017, by narzędzie można było uznać za użyteczne. Większość narzędzi jest stale aktualizowana i należy je pobierać za każdym razem od nowa, a nie gromadzić na dysku "na zapas". Wszystkie wyliczone aplikacje są darmowe - z wyjątkiem Hitman Pro (jednorazowa licencja na 30 dni bezpłatnego usuwania).


 

Programy stosowane w tematach na forum:


.

.
 
 


Ogólna lista podzielona wg typu zadań (rozwiń spoiler):

.



Kompleksowe skanery na żądanie

Zabijanie procesów malware

Usuwanie blokady antywirusów

Adware / PUP

Infekcje z mediów przenośnych USB

Rootkity

Ransom - zaszyfrowane pliki

------- Informacyjne:

------- Wyszukiwanie i przenoszenie zaszyfrowanych plików | Usuwanie notatek ransom:

------- Dekodery:

Ransom - zablokowany Windows

Infekcje "bezplikowe" Poweliks / Gootkit / Kovter

Modyfikacje DNS

Problemy z deinstalacją

Alternatywny dostęp do magazynu kopii cieniowych (Windows 10 - Vista)

Inne pomoce

Zdezaktualizowane

.




Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Identyfikacja infekcji szyfrujących

 

 

 

ID Ransomware (zastępuje wymarłe już narzędzie IDTool) - Strona, na którą można zuploadować plik infekcji szyfrującej (notatkę ransom lub wybrany zaszyfrowany plik) w celu identyfikacji rodzaju infekcji. Dane mają pomóc precyzyjnie ustalić z jakim wariantem mamy do czynienia, gdyż ta informacja umożliwia zdefiniowanie jakie dalsze kroki można podjąć i czy jest jakakolwiek szansa na odszyfrowanie danych.

 

Dane z tego serwisu są również używane przez dwa narzędzia pomocnicze: CryptoSearch (wyszukiwanie zaszyfrowanych plików i kopiowanie na inny nośnik) i RansomNoteCleaner (usuwanie notatek ransom).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zabijanie aktywnych procesów malware

 

 

rkillico.png

 

RKill

 

Strona domowa

Wątek dyskusyjny na forum programu

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png button.png button.png

 

RKill - Program autorstwa BleepingComputer.com dedykowany odładowaniu procesów malware, które blokują uruchomienie narzędzi anty-malware. Typowe znaki podczas działania tego rodzaju infekcji: przy próbie uruchomiania programu komunikat proszący o wybranie aplikacji do jego otwierania, bądź też fałszywe komunikaty (patrz na obrazek) zgłaszające podczas uruchomienia dowolnego programu, że program jest zainfekowany jakimś "wirusem z archiwum X". Zadania, które prowadzi RKill, to: zabicie znanych 32-bitowych i 64-bitowych procesów malware działających w tle, import prawidłowych wpisów do rejestru reperujących nieprawidłowe skojarzenia plików oraz likwidujących polisy zapobiegające uruchomieniu określonych narzędzi. W dalszej fazie narzędzie przeładowuje powłokę explorer.exe (widoczne jako zanik Pulpitu i Paska zadań), by uaktywnić zmiany wprowadzone w rejestrze. Po ukończeniu pracy RKill sumuje operacje w logu, podając listę unieszkodliwionych procesów, zarówno tych zakończonych ręcznie przez użytkownika jak i automatycznie via RKill.

 

alert.png

 

(Przykładowy fałszywy komunikat, na dodatek "spolszczony" w translatorze, generowany przez infekcję, a zapobiegający uruchomieniu narzędzia OTL)

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

Program występuje w kilku postaciach, alternatywne kopie (rozszerzenie *.COM oraz używające nazwy innych plików systemowych) mają wspomóc obejście blokady:

 

rkill1.png

 

 

Pobrany plik uruchamiany przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

 

rkill2.png

 

Jeśli w tle działa malware zapobiegające uruchamianiu narzędzi, również podczas uruchomienia RKill mogą wystąpić trudności uniemożliwiające jego start. Niestety nie można temu zapobiec i w puli są tylko niezbyt eleganckie obejścia, które jednak mogą się okazać skuteczne: po otrzymaniu komunikatu fałszywki pozostawienie komunikatu bez jego zamykania i próba ponownego startu RKill lub wielokrotne uruchomienia RKill dopóki nie zaskoczy i nie utrzyma się w procesach dostatecznie długo, by móc przeprowadzić operację. Nie należy się zniechęcać i należy próbować do skutku.

 

 

Po pomyślnym uruchomieniu otworzy się okno konsolowe notujące postęp operacji:

 

Rkill 2.8.2 by Lawrence Abrams (Grinler)

http://www.bleepingcomputer.com/

Copyright 2008-2015 BleepingComputer.com

More Information about Rkill can be found at this link:

 http://www.bleepingcomputer.com/forums/topic308364.html

 

Program started at: 09/15/2015 11:29:06 PM in x86 mode.

Windows Version: Windows 10 Home

 

Checking for Windows services to stop:

 

 * No malware services found to stop.

 

Checking for processes to terminate:

 

 * No malware processes found to kill.

 

Checking Registry for malware related settings:

 

 * No issues found in the Registry.

 

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

 

Performing miscellaneous checks:

 

 * No issues found.

 

Checking Windows Service Integrity:

 

 * No issues found.

 

Searching for Missing Digital Signatures:

 

 * No issues found.

 

Checking HOSTS File:

 

 * No issues found.

 

Program finished at: 09/15/2015 11:30:04 PM

Execution time: 0 hours(s), 1 minute(s), and 0 seconds(s)

 

 

Zakończenie działania jest notowane stosownym komunikatem. Na Pulpicie pojawia się log Rkill.txt.

 

RKill jest tylko pośrednikiem. Para się tymczasowym zabiciem procesów malware, nie usuwa elementów infekcji z systemu, dlatego też po jego użyciu nie wolno zresetować komputera, gdyż malware z zaplanowanym startem automatycznym ponownie się uruchomi i sytuacja wróci do stanu początkowego. Po zastosowaniu RKill należy wybrać jedno z dwóch: wygenerować logi do oceny na forum (na podstawie raportów dostarczymy instrukcje usuwania) lub uruchomić ogólny program do czyszczenia infekcji np. MalwareBytes' Anti-Malware.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Infekcje z mediów przenośnych

 

 

remvbsico.png

 

Remediate VBS Worm

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png (wersja ZIP)

button.png (wersja EXE)

 

 

Remediate VBS Worm / Rem-VBSWorm - Narzędzie konsolowe autorstwa Bart Blaze (pracownika Panda Security) orientowane na usuwanie infekcji przenoszonych przy udziale urządzeń USB. Adresuje pulę szkodników utylizujących systemowy składnik Windows Script Host (WSH) oraz Autorun.

 

 

INSTRUKCJA URUCHOMIENIA:

 

Jeśli pobrano wersję ZIP, należy ją oczywiście rozpakować. Zasadniczy plik EXE uruchamiamy przez dwuklik.

 

remvbs1.png > remvbs2.png

 

Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

 

remvbs3.png

 

Pojawi się konsolowy ekran z opcjami proszący o wpisanie wybranej litery i zatwierdzenie wyboru przez ENTER:

 

*************************************************

       Nazwa użytkownika please make a choice

       Run this file as Administrator!

*************************************************

A. Attempt to clean infection

   -------------------------------

B. Clean USB Drive of infections and restore files

   -------------------------------

C. Download Panda USB Vaccine

   -------------------------------

D. Disable or enable Windows Script Host

   -------------------------------

E. About

   -------------------------------

Q. Quit

============================================

Type the corresponding letter and press Enter:

 

W przypadku użycia niewłaściwej opcji skrypt może być zatrzymany przez kombinację CTRL + C.

 

Sekwencja powinna być następująca: podpięcie zainfekowanego urządzenia USB (jeśli dostępne), uruchomienie narzędzia i wywołanie po kolei opcji A (czyszczenie systemu) >  B (czyszczenie urządzenia USB) > opcjonalnie C (zabezpieczenie urządzenia USB) > na koniec Q, a po jego użyciu pełny skan antywirusowy. Opisy poszczególnych akcji w spoilerach:

 

 

 

Opcja A

 

Usuwanie infekcji z systemu oraz modyfikacji (np. blokujących narzędzia systemowe).

 

 

 

 

Na głównym ekranie wpisz z klawiatury A i ENTER:

 

Type the corresponding letter and press Enter: a

 

Rozpocznie się proces wyszukiwania i usuwania malware z systemu obrazowany szybko przelatującymi liniami. Gdy proces się ukończy, zgłosi się komunikat o wciśnięcie jakiegokolwiek klawisza, by kontynuować (co spowoduje powrót do głównego menu):

 

Press any key to continue . . .

 

 

 

 

 

Opcja B

 

Usuwanie infekcji z dysku USB i uwidocznienie ukrytych danych.

 

 

 

 

Upewnij się pod jaką literą jest widziane w Komputerze urządzenie USB które ma zostać poddane procesowi:

 

Na głównym ekranie wpisz z klawiatury B i ENTER:

 

Type the corresponding letter and press Enter: b

 

Pojawi się komunikat proszący o wpisanie litery pod jaką jest widziane urządzenie przenośne. Wpisz stosowną literę i ENTER:

 

====================================

Currently logged in as=   Nazwa użytkownika

====================================

 

Type the drive letter of your USB drive. ONLY the letter.

Do NOT use this on your Windows partition! (default C:\)

E

 

Należy wpisać samą literę urządzenia pozbawioną dwukropków i ukośników. Czyli np. E zamiast E: lub E:\. Proszę nie próbować wykonywać tego na partycji systemowej!

 

Rozpocznie się proces wyszukiwania i usuwania malware z urządzenia obrazowany szybko przelatującymi liniami. Gdy proces się ukończy, zgłosi się komunikat o wciśnięcie jakiegokolwiek klawisza, by kontynuować (co spowoduje powrót do głównego menu):

 

Press any key to continue . . .

 

 

Jeśli na urządzeniu USB były foldery użytkownika ukryte przez infekcję, narzędzie zdejmie atrybuty HS czyniąc foldery widocznymi. W przypadku infekcji Gamarue tworzącej ukryty folder "bez nazwy" do którego zostały przesunięte wszystkie pliki użytkownika, folder ten zostanie tylko odkryty, ale użytkownik musi ręcznie przenieść z niego dane poziom wyżej, a po pomyślnym wykonaniu tego kroku usunąć folder "bez nazwy".

 

Proces ten tworzy także na urządzeniu ukryty folder autorun.inf z atrybutem "Tylko do odczytu":

 

remvbs4.png

 

Jednakże nie jest on zablokowany i podlega normalnemu usuwaniu, więc zabezpieczenie jest bardzo słabe. W tym przypadku immunizacja wykonywana przez Panda USB Vaccine (opcja USB Vaccination) lub mechanizm w USBFix jest mocniejsza.

 

 

 

 

 

Opcja C

 

Pobieranie Panda USB Vaccine.

 

 

 

 

Krok opcjonalny pod kątem zabezpieczenia urządzenia USB przez infekcjami typu autorun.inf. Opis instalacji i użycia Panda USB Vaccine już podany w w/w linku na naszym forum. Dodatkowe uwagi:

- Opcja immunizacji systemu jest już przestarzała, gdyż zostały wydane łaty Microsoftu zapobiegające przetwarzaniu autorun.inf urządzeń innych niż dyski CD/DVD. KB971029 dla Windows XP/2003/Vista/2008, a Windows 7 i nowsze mają to zabezpieczenie out-of-box.

- Opcja immunizacji urządzenia USB obecnie jest zdolna zabezpieczyć tylko przed limitowaną grupą infekcji uruchamianych via autorun.inf. Niestety infekcje uruchamiane innymi metodami nie zostaną w ten sposób zatrzymane.

 

 

Na głównym ekranie wpisz z klawiatury C i ENTER:

 

Type the corresponding letter and press Enter: c

 

Narzędzie zgłosi następujący komunikat informacyjny z prośbą o wciśnięcie jakiegokolwiek klawisza (co spowoduje powrót do głównego menu):

 

****************************************************************************

   Please download and run USBVaccineSetup.exe and follow the instructions.

   Do NOT enable NTFS support.

****************************************************************************

 

Press any key to continue . . .

 

Równocześnie zostanie otworzona przeglądarka internetowa ze stroną pobierania BleepingComputer. W zasadzie ta operacja może być wykonana szybciej ręcznie, bez użycia omawianego tu programu.

 

 

 

 

 

Opcja D

 

(De)aktywacja Windows Script Host.

 

 

 

 

Krok opcjonalny pod kątem zabezpieczenia systemu. Windows Script Host to natywny domyślnie aktywny komponent systemu umożliwiający uruchamianie skryptów VBScript (pliki VBS, VBE) i JScript (pliki JS, JSE). Funkcja ta niestety jest wykorzystywana przez malware i jej wyłączenie jest zabezpieczeniem przed wykonaniem tego typu infekcji. Niemniej korzystają z niej także poprawne aplikacje. Należy przetestować na własnym systemie czy wyłączenie tej funkcji będzie mieć skutki uboczne. Akcję można w każdej chwili odwrócić.

 

Program, który wymaga aktywnego WSH, zwróci podczas uruchamiania poniższy błąd. Przykładem aplikacji używającej WSH jest nasze GG.

 

wshdisabled.png

 

 

Na głównym ekranie wpisz z klawiatury D i ENTER:

 

Type the corresponding letter and press Enter: d

 

Pojawi się kolejne menu proszące o wpisanie określonego numeru wywołującego powiązaną akcję i zatwierdzenie przez ENTER:

 

Nazwa użytkownika, disable or enable Windows Script Host (WSH)

 

DISABLE WSH - 1

ENABLE WSH - 2

Back to main menu - 3

 

Type the number and press enter:

 

1 - Wyłączenie WSH. 2 - Włączenie WSH. 3 - Powrót do głównego menu.

 

Wpisanie 1 lub 2 skutkuje następującym ekranem zawiadamiającym o wykonaniu akcji i proszącym o wciśnięcie jakiegokolwiek klawisza by kontynuować (co spowoduje powrót do głównego menu):

 

Nazwa użytkownika, disable or enable Windows Script Host (WSH)

 

DISABLE WSH - 1

ENABLE WSH - 2

Back to main menu - 3

 

Type the number and press enter: 1

Operacja ukończona pomyślnie.

Operacja ukończona pomyślnie.

Operacja ukończona pomyślnie.

Operacja ukończona pomyślnie.

Operacja ukończona pomyślnie.

Operacja ukończona pomyślnie.

Press any key to continue . . .

 

 

Narzędzie wykonuje edycję rejestru. Odpowiednikiem opcji 1 jest:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host]

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

Natomiast odwrócenie zmian opcją 2 to:

 


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000001

 

 

 

 

Opcja Q

 

Zamknięcie narzędzia i automatyczne otworzenie raportu w Notatniku.

 

Opcja daje gwarancję poprawnego zapisu raportu i powinna zostać zastosowana na końcu niezależnie od wybrania wcześniej innej opcji.

 

 

Raport narzędzia jest tworzony niezależnie od użytej opcji i zlokalizowany w głównym katalogu dysku systemowego w postaci pliku C:\Rem-VBS.log. W pewnych okolicznościach narzędzie tworzy także folder C:\Rem-VBSqt z kopią zapasową szkodników VBS, do celów analitycznych. Log narzędzia i folder należy usunąć przez SHIFT+DEL (omija Kosz).

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Infekcje z mediów przenośnych

 

 

usbfixico.png

USBFix

Strona domowa

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Oficjalne autoryzowane linki pobierania:

button.png (inicjuje się odliczanie i automatyczne pobieranie)

 

 

UsbFix - Narzędzie jest przeznaczone do eliminacji infekcji przenoszonych drogą przez urządzenia przenośne typu USB. Umożliwia także reset niektórych szkodliwie zmodyfikowanych ustawień systemowych takich jak niemożność wyświetlenia ukrytych plików czy zdeaktywowane narzędzia systemowe (rejestr / menedżer zadań). Ponadto ma wbudowaną funkcję zabezpieczania wszystkich dysków wg metody znanej ze starego narzędzia Flash Disinfector (generowanie niekasowalnych folderów autorun.inf). Program przeszedł ewolucję od programu konsolowego do graficznego interfejsu. Najnowsza wersja programu to typ "choinkowy", bardzo kolorowo i reklamy sponsora BitDefender w oknie. Obecnie program występuje w kilku edycjach: tu omawiana darmowa USBFix Free oraz płatne Premium (Standard - zawiera automatyczne aktualizacje, Maintenance - wersja dla administratorów sieciowych, extra tryb portable).



INSTRUKCJA URUCHOMIENIA:

usbfix1.png

Ściągnięty plik uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

usbfix2.png

Zgłosi się EULA użytkowa, którą należy potwierdzić przyciskiem Accept:

usbfix3.png


Pojawi się ekran wyboru akcji:

usbfix4.png


Opis poszczególnych akcji w spoilerach:


usbfixbutton1.png

Wyszukiwanie

Wyszukiwanie infekcji w systemie i na dostępnych dyskach, w trybie tylko do odczytu, czyli bez usuwania.

 

 

 


Narzędzie zasugeruje udanie się po dodatkową pomoc na francuskie forum. Odrzucamy ofertę za pomocą No:

usbfix5.png

Rozpocznie się skan właściwy notowany przez procentowy pas postępu:

usbfix6.png

Po ukończeniu procesu pojawi się komunikat zawiadamiający, iż raport wynikowy został shostowany online oraz wskazujący miejsce zapisu pliku raportu na dysku:

usbfix7.png

Zatwierdzenie OK otwiera dwie wersje raportu: stronę online w domyślnej przeglądarce internetowej oraz plik w Notatniku.

----> Pliki raportów ze skanowania są zlokalizowane tu: C:\UsbFix\Log\UsbFix [scan Numer] Nazwa komputera.txt.
 




usbfixbutton2.png

Usuwanie infekcji

Czyszczenie systemu i aktualnie dostępnych spod niego dysków z infekcji które narzędzie umie rozpoznać. Plus automatyczne wdrożenie Vaccinate.
 

 

 


Czyszczenie może spowodować zabicie powłoki, czyli zanik Pulpitu. Procedura wygląda podobnie do operacji Research - popatrz na obrazki we wcześniejszym spoilerze. Opcja Clean serwuje jednak po dialogu informującym o zapisie raportów dodatkowy ekran z sugestią dotacji (opcja No ignoruje prośbę):

donate.png


----> Pliki raportów z usuwania są zlokalizowane tu: C:\UsbFix\Log\UsbFix [Clean Numer] Nazwa komputera.txt.

----> Kopie zapasowe (usunięte pliki z dodanym rozszerzeniem *.vir) lądują w C:\UsbFix\Quarantine.
 




usbfixbutton3.png

Listowanie

Lista obiektów leżących bezpośrednio w root wszystkich dostępnych dysków. Raport ten pozwoli zorientować czy na dyskach nie są umieszczone szkodliwe ukryte pliki ominięte przez procedury wbudowane USBFix.
 

 

 


Narzędzie poprosi o podpięcie wszystkich mediów przenośnych do komputera i odblokowanie na nich funkcji zapisu:

usbfix8.png

Na kolejnym ekranie pojawi się informacja o ilości wykrytych dysków (X Detected drives) oraz opcjonalna konfiguracja, tzn. automatyczna analiza podejrzanych plików na Virus Total oraz skan rekursywny uwzględniający podfoldery (ryzyko gigantycznego raportu w przypadku dużych dysków z mnóstwem plików):

usbfix9.png

Przycisk Scan! rozpoczyna proces tworzenia listy. Ukończenie procesu jest sygnalizowane zamknięciem okna głównego. Pojawi się komunikat zawiadamiający, iż raport wynikowy został shostowany online oraz wskazujący miejsce zapisu pliku raportu na dysku:

usbfix7.png

Zatwierdzenie OK otwiera dwie wersje raportu: stronę online w domyślnej przeglądarce internetowej oraz plik w Notatniku.

----> Pliki raportów ze skanowania są zlokalizowane tu: C:\UsbFix\Log\UsbFix [Listing Numer] Nazwa komputera.txt.
 




usbfixbutton4.png

"Szczepienie"

Mechanizm tworzący na wszystkich dostępnych dyskach ukryty zablokowany folder autorun.inf.
 

 

 


Narzędzie poprosi o podpięcie wszystkich mediów przenośnych do komputera i odblokowanie na nich funkcji zapisu:

usbfix8.png

Kolejny ekran sygnalizuje ilość wykrytych dysków zewnętrznych (X Detected drives) oraz dostępne opcje szczepienia:

vaccinate1.png


Uruchomienie opcji Vaccinate disks wygeneruje komunikaty potwierdzające dla każdego z dysków po kolei. Proces tworzy na punktowanych dyskach ukryty folder Autorun.inf z plikiem wykorzystującym zastrzeżoną nazwę "LPT1", co skutecznie blokuje usunięcie folderu:

vaccinate3.png


Proces jest odwracalny za pomocą opcji Delete vaccination. Alternatywnie, ta sama ekipa udostępnia też stare narzędzie MKV mające identyczną opcję (Supprimer la vaccination).

 

Narzędzie teoretycznie zawiadamia tylko o szczepieniu dysków zewnętrznych USB, ale foldery autorun.inf powstają na wszystkich dyskach (wliczając systemowy). Te ukryte foldery autorun.inf mają skutki uboczne w postaci zaniku etykiet dysków (przykład).

 




usbfixbutton5.png

Raporty

Spis wszystkich logów utworzonych przez narzędzie.


usbfixbutton6.png

Deinstalacja
 

 

 


Po wywołaniu opcji zostanie opróżniony katalog narzędzia na partycji systemowej. Katalog ten jako taki wraz ze spakowanymi próbkami do wysłania pozostaje jednak na dysku.

Alternatywnie: tę samą funkcję spełnia plik C:\UsbFix\Un-UsbFix.exe.
 




usbfixbutton7.png

Konfiguracja programu
 

 

 


Zakładki Language (brak polskiego) i BBCode (alternatywne formatowanie logów, niedostępne) do zignorowania. Istotne opcje są w zakładkach Setting i Network:

config1.png


Listing+ - Pełna lista zawartości podpiętego urządzenia USB.
Disable Autorun/AutoPlay - Deaktywacja funkcji Autoodtwarzania nośników.
Include a listing at the end of the cleaning - Dołączenie do raportu z dezynfekcji również raportu opcji Listing.


config2.png


Enable network disk detection - Detekcja dysków sieciowych. Włączenie opcji wymaga restartu komputera.
 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware

 

 

macleanerico.png

AdwCleaner

Strona domowa pod szyldem Malwarebytes
Strona domowa po szyldem ToolsLib
Oficjalne forum

Platforma: Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Od wersji AdwCleaner v7 systemy XP i Vista nie są już obsługiwane.

Oficjalne autoryzowane linki pobierania:

button.png button.png

 

 

AdwCleaner - Następca nierozwijanego AD-Remover. Program wybitnie specjalizowany w detekcji i usuwaniu infekcji typu adware/PUP. Narzędzie rozpoznaje preferencje wszystkich głównych przeglądarek w najnowszych wersjach: Internet Explorer, Firefox, Google Chrome, Opera i inne na silniku Mozilla czy Chromium/Blink. Początkowo niezależny projekt, w październiku 2016 został przejęty przez Malwarebytes.
AdwCleaner jest bardzo często aktualizowany i za każdym razem należy go pobierać od nowa. Interfejs jest wyświetlany po polsku na natywnie polskim systemie, a w razie braku automatycznego wykrycia można z menu ustawić pożądany język.
 
 
 
INSTRUKCJA URUCHOMIENIA:
 
macleaner1.png
 
Uruchom pobrany plik przez dwuklik. Na systemach Windows 7 do Windows 10 należy potwierdzić dialog UAC:
 
macleaner2.png
 
Od razu następuje sprawdzanie aktualizacji. Jeśli zostanie wykryta nieaktualna wersja, pojawi się stosowny komunikat. Użytkownik zostanie skierowany na stronę domową programu w celu pobrania najnowszej kopii programu. Wybór OK zamyka okno, usuwa AdwCleaner z dysku i otwiera w domyślnej przeglądarce stronę pobierania.
 
acleaner3.png
 
Następnie zgłosi się licencja użytkowa, którą potwierdzamy:

macleaner4.png
 
Po pomyślnym uruchomieniu pojawi się główny interfejs - narzędzie w stanie "Oczekiwanie na działanie":

macleaner5.png
 
Opisy poszczególnych czynności w spoilerach:
 
 
macleanerbutton1.png
 
Skanowanie (bez usuwania)
 

 

 

 
Po uruchomieniu programu klikamy w przycisk Skanuj:

macleaner5.png
 
Skanowanie będzie obrazowane dynamicznym pasem postępu, oznajmiającym która część jest w toku, a w przypadku wykrytych zagrożeń pojawi się czerwony napis:

macleaner6.png
 
Ukończenie skanowania jest sygnalizowane tekstem "Oczekiwanie na działanie. Przejrzyj wyniki i odznacz obiekty do zachowania", a okno zostanie rozwinięte pokazując poszczególne sekcje z wynikami.

Nie należy podejmować żadnych innych akcji tylko dostarczyć raport ze skanowania:
 
Wynikowo powstanie log C:\AdwCleaner\AdwCleaner[S#].txt, gdzie # oznacza kolejne numery - najnowszy log ma najwyższy numer.
 


 
 
 
macleanerbutton1.png + macleanerbutton2.png
 
Usuwanie infekcji
 

 

 

 
W menu Narzędzia > Opcje jest konfiguracja które z procedur resetujących powinny zostać uwzględnione podczas usuwania. Domyślnie jedyna zaznaczona pozycja to reset Winsock. O ile nie zaznaczymy inaczej w temacie, proszę zostawić domyślne ustawienia.
 
macleaneroptions.png
 
 
Należy ponownie wywołać Skanuj, po ukończeniu tego etapu opcja Oczyść stanie się czynna.
 
Wyniki: W przypadku gdy ocenimy określone wpisy jako fałszywe alarmy, podamy do której karty wejść i który element odznaczyć przed skorzystaniem z opcji Oczyść.
 
macleanerexclude.png
 
Wynikowo powstanie log C:\AdwCleaner\AdwCleaner[C#].txt, gdzie # oznacza kolejne numery - najnowszy log ma najwyższy numer.
 


 
 
 
macleanerbutton3.png
 
Bieżący raport

 

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware
 

 

avast_b.png

Avast Browser Cleanup

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Strona domowa

Oficjalne autoryzowane linki pobierania:

button.png

 

 

Avast Browser Cleanup dedykuje sprzątanie przeglądarek Internet Explorer, Firefox i Google Chrome ze śmieci adware. Wykryte dodatki są oceniane w systemie reputacji. Domyślnie pożyteczne / poprawne elementy są ukryte (zaznaczona opcja "Wyklucz dodatki z dobrymi ocenami"). Program umożliwia zbiorcze usunięcie wykrytych śmieci lub wyłączenie niepożądanych dodatków i reset ustawień (strona startowa / wyszukiwarka) dla każdej przeglądarki z osobna. Narzędzie produkuje raport z operacji, zlokalizowany w ścieżce:

%appdata%\AVAST Software\Browser Cleanup\DATA\log\Avast-Browser-Cleanup.log.

Avast Browser Cleanup występuje w dwóch wersjach realizujących to samo: omawiana tu wersja standalone oraz jako integracja w Avast 8 i nowszych. Użytkownicy nie posiadający Avasta po prostu mogą skorzystać z tego małego narzędzia.
 
abc.png

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware

 

 

chromecleanupico.png

Chrome Cleanup Tool

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Opis w pomocy Chrome

Aktualizacja: Narzędzie zostało zintegrowane w Google Chrome 65+. Poniższe linki mają zasadność tylko dla starych wersji Chrome, tzn. dla XP i Vista:

button.png

 


Chrome Cleanup Tool (dawniej Google Software removal tool) - Narzędzie przeznaczone tylko dla przeglądarki Google Chrome, orientowane na usuwanie z niej predefiniowanego zestawu adware modyfikującego ustawienia. Wśród procedur uwzględniony też reset przeglądarki. Od wersji Chrome 65 jest częścią opcji. Więcej tutaj i tutaj.

 

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware

 

 

repairdnsico.png

 

RepairDNS

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Aktualizacja: program już niedostępny, wycofany ze względu na fałszywe alarmy. Proszę go nie pobierać z innych serwisów. Alternatywnie można skorzystać z Clean_DNS.

 

 

RepairDNS - Narzędzie autorstwa Nicolasa Coolmana dedykowane usuwaniu specyficznej infekcji DNS wprowadzanej przez adware Jabuticaba, La Superba, V-Bates i podobne. Infekcja ta modyfikuje wszystkie wystąpienia systemowego pliku dnsapi.dll, tworząc w nim odniesienie do niedomyślnego pliku Hosts utworzonego przez infekcję w innym miejscu niż standardowe. RepairDNS sprawdza wszystkie instancje pliku dnsapi.dll, a w przypadku wykrycia tej modyfikacji próbuje znaleźć poprawną kopię pliku i użyć ją do zamiany. Narzędzie typu portable, nie wymaga instalacji.

 

 

INSTRUKCJA URUCHOMIENIA:

 

repairdns1.png

 

Uruchom pobrany plik przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

 

repairdns2.png

 

Pojawi się okno główne, wybierz przycisk GO i poczekaj na ukończenie skanu.

 

repairdns3.png

 

Na Pulpicie zostanie utworzony raport RepairDNS.txt z akcji. Plik ten należy doczepić w postaci załącznika.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuwanie określonych komponentów adware

 

 

scleanerico.png

 

Shortcut Cleaner

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png

 

 

Shortcut Cleaner - Dedykuje skan skrótów przeglądarek w predefiniowanych miejcach (Pulpit / Menu Start / Pasek zadań) zmodyfikowanych przez szkodniki (w Elemencie docelowym dopisane otwieranie przeglądarki z określoną stroną reklamodawczą). Typowy przykład adware zachowującego się w taki sposób to: 22apple.com, 22find.com, certified-toolbar.com, v9.com. Dodatkowo, narzędzie usuwa niektóre wpisy rejestru wprowadzone przez adware, ale zakres akcji dość mierny i nie jest tożsamy z zastosowaniem np. AdwCleaner.

 

 

INSTRUKCJA URUCHOMIENIA:

 

Narzędzie jest bardzo proste obsługowo: uruchamiamy przez dwuklik, zgłosi się konsolowe okno prezentujące postępujący skan, na koniec wyświetla się komunikat o raporcie sc-cleaner.txt utworzonym na Pulpicie. Jeżeli narzędzie wykona jakąś modyfikację rejestru, na Pulpicie powstanie folder sc-cleaner zawierający kopię zapasową w postaci plików REG umożliwiających reimport usuniętych wpisów.

 

scleaner.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

aswmbrico.png

 

aswMBR

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png

 

 

aswMBR - Narzędzie od Gmera, stworzone dla ekipy Avast, dedykowane detekcji rootkitów MBR, VBR oraz infekcji sterowników (pierwotnie orientacja tylko na stare warianty TDL3/TDL4). Narzędzie jest prostsze obsługowo niż pierwowzór czyli konsolowy MBR.EXE i go zastępuje (MBR.EXE nie jest rozwijany i został usunięty z oficjalnej strony GMER), gdyż polecenia zostały przeobrażone w buttoniki. Do bardziej kompleksowego skanu zalecam jednak TDSSKiller i/lub MBAR linkowane w następnych postach.

 

 

 

INSTRUKCJA URUCHOMIENIA:

 

aswmbr1.png

 

Uruchamiamy pobrany plik przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

aswmbr2.png

 

Jeśli komputer obsługuje technologię wirtualizacji sprzętowej, zostanie zadane pytanie czy wykorzystać ją w skanie:

 

aswmbr3.png

 

Następnie padnie propozycja ściągania definicji Avast wspomagających skanowanie. Jest to krok opcjonalny i nie wymagany, by przeprowadzić skan zasadniczy.

 

aswmbr4.png

 

Opcje

 

Dostępne operacje:

  • Scan - Skanowanie w trybie tylko do odczytu
  • FixMBR - Usuwanie infekcji w MBR
  • Fix - usuwanie infekcji TDL4
  • Save log - Zapis raportu tekstowego (równocześnie i zrzucanie MBR do pliku)
  • Trace disk IO calls - Dodatkowe śledzenie zapytań IO dysku
  • Ponadto pliki wykryte jako "podejrzane" można skopiować spod narzędzia w celu analizy np. na VirusTotal.
.

Skanowanie

 

Rozpoczynamy diagnostykę przyciskiem Scan. W oknie pojawią się wyniki. Jeśli aswMBR wykryje konkretną infekcję, wynik jest stosownie opisany i zakreślony w kolorze czerwonym.

Szerszy wykaz notujący podejrzaną aktywność uzyskamy po zaznaczeniu opcji Trace disk IO calls.

 

 

Usuwanie infekcji

 

W celu usunięcia infekcji z MBR należy wybrać aktywny przycisk FixMBR. Postęp naprawczy jest notowany stosownymi komunikatami. Po pomyślnie przeprowadzonej operacji padnie prośba o restart komputera.

 

Przycisk FixMBR jest niedostępny, jeśli narzędzie: nie wykryło infekcji wcale, nie potrafi jej zdiagnozować w sposób jednoznaczny lub jest to rootkit infekujący sterowniki systemowe a nie MBR.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

kav_m2.png

Kaspersky TDSSKiller

Strona domowa

Platforma: Windows XP SP2+, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Oficjalne autoryzowane linki pobierania:

button.png

 

 

TDSSKiller - Aplikacja od Kasperskiego dedykowana wykrywaniu i usuwaniu określonych rootkitów / bootkitów (infekcje w MBR i VBR) oraz detekcji rootkit-podobnych anomalii systemowych. W skład rozpoznawanych znanych infekcji wchodzą, m.in: cała rodzina rootkitów TDL we wszystkich wersjach (z uwzględnieniem wariantu TDL4 atakującego MBR i systemy 64-bitowe), Sinowal (Mebroot, MaosBoot), Phanta (Phantom, Mebratix), Trup (Alipop), Whistler, Stoned, Necurs i ZeroAccess (w tym wariant consrv.dll na systemie 64-bit oraz 32-bit i 64-bit atakujące services.exe). Nieznane bootkity są namierzane metodą heurystyczną. TDSSKiller w obszarze usuwania bootkitów zastępuje stare narzędzie producenta Antiboot.



INSTRUKCJA URUCHOMIENIA:

tdsskiller1.png

Narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC.

tdsskiller2.png


Etap początkowy adresuje sprawdzanie aktualizacji narzędzia. Następnie po kolei zgłoszą się dwie licencje użytkowe, które zatwierdzamy via Accept:

tdsskiller4.png.tdsskiller5.png


Narzędzie rozpocznie pracę:

tdsskillerinit.png


Pojawi się ekran ogłaszający gotowość do skanowania. Jest tu zlokalizowany link do konfiguracji skanowania (Change parameters). Domyślnie TDSSKiller ma zaznaczone skanowanie pamięci, sterowników oraz sektorów rozruchowych dysków. Są tu jeszcze extra opcje w stanie odznaczonym, przeznaczone do listowania modułów, wyszukiwania sterowników niepodpisanych cyfrowo oraz systemu plików TDLFS.

tdsskiller3.png.tdsskiller7.png


Sprawdzanie systemu rozpoczynamy przyciskiem Start scan. W oknie zostanie odnotowany postęp skanowania.

tdsskiller5.png


W przypadku wykrycia infekcji zostanie zgłoszony odpowiedni alert wskazujący obiekt docelowy infekcji. Względem wykrytego obiektu można podjąć akcje: Cure (leczenie), Copy to Quarantine (przenoszenie do kwarantanny), Delete (usuwanie), Skip (nie podejmowanie żadnych akcji). Dla rootkitów w MBR dodatkowo Restore (w odróżnieniu od Cure przepisuje kod MBR standardowym, wiąże się z utratą np. informacji OEM). Narzędzie automatycznie próbuje ocenić wynik i przypisać prawidłową akcję.

tdsskiller6.png

 

 

 

Przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie wątek: Oprogramowanie emulujące napędy.

tdsskillersptd.png

 


Po sprecyzowaniu zadania dla zainfekowanego obiektu i ukończeniu skanowania otrzymamy zgłoszenie o planowanym wykonaniu akcji leczniczej podczas następnego restartu komputera:

tdsskiller7.png

Po restarcie, gdy to sprawa zostanie sfinalizowana, na dysku systemowym jest generowany log tekstowy z całej operacji w postaci pliku:
 
C:\TDSSKiller.wersja_data_czas_log.txt.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

mbarico.png

Malwarebytes Anti-Rootkit (MBAR)

Strona domowa
FAQ użytkowy
Artykuł opisowy na BleepingComputer.com

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit
 
Oficjalne autoryzowane linki pobierania:

Tradycyjna wersja:

button.png

Specjalna wersja, gdy instalacja MBAM zwraca błąd "Żądane zasoby są w użyciu" / "The requested resource is in use":

button.png

 

 

Malwarebytes Anti-Rootkit (MBAR) - Typ podobny do TDSSKiller w rozumieniu adresowanego tematu i rodzaju infekcji. MBAR jest zdolny wykrywać i usuwać rootkity trybu User Mode, rootkity trybu Kernel Mode, rootkity patchujące tablicę partycji (tworzona odrębna partycja rootkit), rootkity MBR i VBR, oraz inne typy anomalii. Jako dodatkową funkcję realizuje naprawę uszkodzeń systemowych. MBAR jest wbudowany także do MBAM, ale producent utrzymuje dwie odrębne linie narzędzi, gdyż MBAR w wersji indywidualnej jest szybciej aktualizowany. Poza tym, specjalne wersje standalone mogą odblokować instalację czy uruchomienie MBAM.



INSTRUKCJA URUCHOMIENIA:

mbar1.png

Pobrany plik jest samowypakowującym się archiwum. Padnie pytanie gdzie ulokować narzędzie, domyślnie jest sugerowana ścieżka Pulpitu i proszę tak to zostawić:

mbar2.png

Po wypakowaniu powstanie folder mbar na Pulpicie, a narzędzie powinno się samoczynnie uruchomić (proces może zająć nawet i minutę). Jeśli narzędzie było już wcześniej uruchamiane, wejdź do tego folderu i przez dwuklik uruchom jeden z plików, wersję standardową EXE lub CMD pod przypadki gdy blokowane jest uruchomienie normalnej wersji:

mbar3.png

Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC.

mbar4.png

Na pierwszym ekranie klik w Next:

mbar5.png

Na drugim klik w Update, by zaktualizować bazy definicji, a po ukończeniu aktualizacji klik w Next:

mbar6.png

Na trzecim ekranie pozostaw domyślną konfigurację skanu (wszystko zaznaczone) i klik w Scan:

mbar7.png

Skanowanie w toku będzie zobrazowane poprzez postęp tekstu w oknie. Gdy zostaną wykryte szkodliwe obiekty, pojawi się lista z elementami do zaznaczenia i przycisk Cleanup. Uruchomienie czyszczenia może wymóc restart Windows.

 

W przypadku otrzymania w rezultacie skanowania wyników typu Unknown (nieznany) nie należy podejmować akcji czyszczących tylko zamknąć okno przyciskiem Exit i dostarczyć log narzędzia do oceny.

 


Log narzędzia jest zlokalizowany w folderze mbrar na Pulpicie w postaci pliku mbar-log-data (czas).txt.

 
FixDamage
 
W folderze aplikacji w podfolderze Plugins jest małe narzędzie fixdamage.exe służące reperacji usług systemowych naruszonych przez infekcje. Podobny charakter do narzędzia ServicesRepair. Uruchomienie narzędzia pokazuje konsolowe okno, w którym dwukrotnie potwierdza się z klawiatury naprawę:

 


FixDamage 1.04.0.1001 © Malwarebytes 2012-2015

Warning!!! This utility will try to repair possible damages
made by certain rootkit infections to the system by restoring
some critical system services (firewall, security center,
Windows update, etc.) and resetting them to their original default
state. Some user settings may be lost after applying this procedure.
If you are not experiencing any broken or corrupt service issues
with your system then please do not continue.

Do you want to continue (Y/N)?
Y
Applying fix...Done!
System should be rebooted to complete a fix.
Do you want to reboot it now (Y/N)?
Y
 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

hitmanico.png

 

Hitman Pro

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 oraz edycje serwerowe 2003 i 2008 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

Wersja dla systemów 32-bit:

 

button.png

 

Wersja dla systemów 64-bit:

 

button.png

 

 

W ramach wyjątku jedyny program komercyjny tu wyliczany. Hitman udziela jednorazowej darmowej licencji na usuwanie malware przez 30 dni. Po upłynięciu tego okresu czynny jest tylko skan bez możliwości usuwających.

 

 

INSTRUKCJA URUCHOMIENIA:

 

hitman1.png

 

Narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

hitman2.png

W przypadku gdy Hitman jest zablokowany przez procesy malware i nie uruchamia się, można wymusić tzw. tryb Force Breach polegający na zabiciu wszystkich nieesencjonalnych procesów. Podczas uruchamiania Hitman przytrzymaj wciśnięty klawisz CTRL.

 

Pojawi się ekran główny, wybierz opcję Dalej (Next).

 

hitman3.png

 

Następnie zaznacz pole Akceptuję wszystkie warunki umowy licencyjnej (I accept the terms of the license agreement) i kliknij Dalej (Next). Ten ekran nie pokaże się, jeśli program był wcześniej używany.

 

hitman4.png

 

Na kolejnym ekranie wybierz opcję Nie, chcę jedynie wykonać jednorazowe skanowanie sprawdzające ten komputer (No, I only want to perform a one-time scan on this computer) i kliknij Dalej (Next).

 

hitman5.png

 

Rozpocznie się notowane pasem postępu skanowanie oraz klasyfikowanie wyników, czekaj cierpliwie. W przypadku gdy Hitman wykryje obiekty typu malware tło programu zmieni się z niebieskiego na czerwone.

 

hitman6.png

 

Gdy program ukończy skanowanie, nie podejmuj akcji czyszczących, gdyż wyniki muszą zostać ocenione. Podświetl dowolny element w wynikach skanu, z rozwijanego menu wybierz opcję Zastosuj do wszystkich (Apply to all) > Ignoruj (Ignore). Po tej operacji wszystkie wyniki w oknie powinny mieć przypisany ten sam status "Ignoruj".

 

hitman7.png

 

Na koniec skorzystaj ze spodniej opcji Zapisz log (Save log) i wskaż jako miejsce zapisu Pulpit. Log jest zapisywany w formacie *.log nieakceptowanym przez załączniki forum. Należy ręcznie zmienić nazwę na *.txt.

 

 

Archiwum wszystkich logów (niezależnie od tego czy zapisywano logi ręcznie) jest w następującym folderze:

 

C:\ProgramData\HitmanPro\Logs (Windows Vista - Windows 10)

C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro\Logs (Windows XP)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

kav_m2.png

 

Kaspersky Virus Removal Tool (KVRT) 2015

 

Strona domowa

 

Platforma: Windows XP SP2+, Vista, Windows 7, Windows 8/8.1, Windows 10 oraz edycje serwerowe 2003, 2008, 2012 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png

 

 

Kaspersky Virus Removal Tool (KVRT) - Ogólny miniaturowy skaner Kasperskiego do usuwania rozmaitych typów zagrożeń takich jak: wirusy, trojany, rootkity, adware, riskware. W zamiarze narzędzie ma być awaryjnym skanerem, który po rozwiązaniu problemów powinien zostać usunięty z dysku. KVRT nie posiada opcji aktualizacji baz - program musi być pobierany za każdym razem od nowa. Wersja 2015 jest oparta na TDSSKiller, w odróżnieniu od starej edycji 2011 nie wymaga instalacji. KVRT można uruchamiać także z poziomu dysków przenośnych lub sieciowych.

 

 

INSTRUKCJA URUCHOMIENIA:

 

kvrt1.png

 

Narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC.

 

kvrt2.png

 

Następnie pokaże się licencja użytkowa, którą zatwierdzamy za pomocą Accept:

 

tdsskiller4.png

 

 

Narzędzie rozpocznie pracę:

 

tdsskillerinit.png

 

Pojawi się ekran ogłaszający gotowość do skanowania:

 

kvrt5.png

 

----> W przypadku używania starszej wersji niż dostępna pojawi się w tym oknie komunikat This version is obsolete kierujący do pobierania najnowszej wersji:

 

kvrt7.png

 

----> Jest tu zlokalizowany link do konfiguracji skanowania (Change parameters). Domyślnie KVRT ma zaznaczone skanowanie pamięci, startujących obiektów oraz sektorów rozruchowych dysków. Pełny skan dysku systemowego jest odznaczony. Poinstruujemy użytkownika czy zostawić domyślne ustawinia, czy coś ewentualnie zmienić.

 

kvrt6.png

 

 

Sprawdzanie systemu rozpoczynamy przyciskiem Start scan. W oknie zostanie odnotowany postęp skanowania.

 

kvrt8.png

 

 

W przypadku wykrycia infekcji pokaże się okno ze spisem obiektów. Względem wykrytego obiektu można podjąć akcje: Cure (leczenie), Copy to Quarantine (przenoszenie do kwarantanny), Delete (usuwanie), Restore (przywrócenie niezmodyfikowanej wersji), Skip (nie podejmowanie żadnych akcji). Materiał referencyjny:

 

Jak w Kaspersky Virus Removal Tool 2015 wybrać działanie podejmowane po wykryciu zagrożenia?

 

Skanowanie bez usuwania: proszę dobrać akcję Skip all. Po ocenie wyników zostanie podane jak postąpić z wykrytymi zagrożeniami.

 

8515_0313-258865.png

 

 

 

Raporty

 

Dostęp do czytelnej postaci raportów odbywa się poprzez opcję Report w głównym oknie. Niestety obecna wersja KVRT posiada uciążliwość, która ma być rozwiązana dopiero w nowszej wersji: nie jest możliwe skopiowanie raportu. Zaszyfrowane (czyli nieczytelne) raporty narzędzia są gromadzone na dysku systemowym w folderze C:\KVRT_Data\Reports.

 

 

Deinstalacja

 

Zamknięcie głównego okna programu powinno powodować automatyczne skasowanie śladów narzędzia z dysku. Ten proces nie usuwa jednak wszystkich składników - na dysku m.in. zostaje folder C:\KVRT_Data.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

mbamlogo.png

 

Malwarebytes Anti-Malware (MBAM)

 

Strona domowa

 

Platforma: Windows XP SP2+, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png  button.png

 

 

Narzędzia pomocnicze:

 

Chameleon [pomaga zainstalować i uruchomić MBAM w przypadku gdy jest on blokowany przez malware]

MB-Clean [usuwa program, gdy nie można go w normalny sposób odinstalować]

 

 

INSTRUKCJA URUCHOMIENIA (WERSJA 3.x)

 

Uruchom pobrany instalator mb3-setup-consumer-[wersja].exe i postępuj zgodnie ze wskazówkami na ekranach instalacyjnych. Wersja 3.x w odróżnieniu od starszej linii 2.x nie umożliwia odznaczenia opcji trial w instalatorze i domyślnie jest instalowana wersja próbna z aktywną osłoną, która wygasa po 14 dniach (program przełączy się na wersję darmową oferującą nielimitowany skan i usuwanie na żądanie).

 

W przypadku gdy instalacja i/lub uruchomienie programu są zablokowane przez malware, skorzystaj z Chameleon. Po rozpakowaniu w folderze są liczne kopie imitujące inne procesy, np. "svchost.exe". Uruchom jedną z tych kopii.

 

Po uruchomieniu programu nie zmieniaj domyślnych ustawień skanowania, wejdź do karty Skanowanie i wybierz opcję zalecaną:

 

mbam.png

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

rkico.png

 

RogueKiller Free

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png

 

 

... opis w budowie ...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

zamico.png

Zemana AntiMalware Free

Strona domowa

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Oficjalne autoryzowane linki pobierania:

button.png

 

 

Bezpłatna edycja programu Zemana, ograniczona do skanu i usuwania infekcji. Obecnie program ma także zintegrowany nasz główny skaner diagnostyczny używany na forum, czyli FRST  (ukryty w opcjach Zaawansowanych).
 
... opis w budowie ...
 
zam.png

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

seico.png

 

ShadowExplorer

 

Strona domowa

 

Platforma: Windows Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png (klik w odnośnik Portable)

 

 

Program nie jest przeznaczony dla systemu XP i nie będzie na nim działał. XP posiada inną strukturę Przywracania systemu niż platformy Vista i nowsze.

 

 

ShadowExplorer - Program umożliwiający wygodny dostęp do zawartości punktów Przywracania systemu i wyciąganie poprzednich wersji pojedynczych plików/folderów bez konieczności uruchamiania kompleksowego Przywracania systemu. Jest alternatywą dla systemowej funkcji "Poprzednie wersje" obecnej w niektórych wyższych edycjach Windows. Oczywiście, program jest zdolny pracować tylko, gdy Przywracanie systemu było włączone i są nagrane jakiekolwiek punkty Przywracania. ShadowExplorer może być przydatny do odzyskiwania skasowanych danych, np. na skutek aktywności infekcji szyfrującej dane (o ile infekcja nie ma zaplanowanego usuwania wszystkich punktów Przywracania systemu), lub błędu w procedurach dezynfekcyjnych.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

shcico.png

 

SpyHunterCleaner

 

Strona domowa

 

Platforma: Windows Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

button.png (klik w odnośnik SpyHunterCleaner 1.05 pod "Alte Versionen")

 

 

SpyHunterCleaner - Skrypt autorstwa M-K-D-B z niemieckiego serwisu Trojaner-Board.de, przeznaczony do siłowego usunięcia wątpliwego programu SpyHunter, widzianego tu w co drugim logu na forum, w przypadku gdy normalna deinstalacja nie działa poprawnie i nie można się pozbyć SpyHunter. Aplikacja tylko i wyłącznie po niemiecku, ale nie ma to znaczenia, bo jedyną interakcją z użytkownikiem jest wciśnięcie z klawiatury dowolnego klawisza. Działa w pełni z automatu i nie generuje żadnego raportu.

 

 

INSTRUKCJA URUCHOMIENIA:

 

Przed użyciem narzędzia proszę spróbować SpyHunter odinstalować w normalny sposób przy udziale Panelu sterowania. Dopiero gdy deinstalacja zawiedzie:

 

 

 

shc1.png

 

Plik musi być pobrany na Pulpit, w przeciwnym wypadku narzędzie może nie zadziałać. Uruchom przez dwuklik i potwierdź dialog UAC. Może też pojawić się ekran Smart Screen, który należy rozwinąć i wybrać opcję "Uruchom mimo to".

 

Zgłosi się ekran konsolowy z prośbą o wciśnięcie jakiegokolwiek klawisza, by kontynuować:

 

                           ++++++++++++++++++++++++++

                           +    SpyHunterCleaner    +

                           +         1.1.4          +

                           ++++++++++++++++++++++++++

 

Dieses Programm wird versuchen, SpyHunter zu entfernen.

 

Um den Entfernungsprozess zu starten,

Press any key to continue . . .

 

ENTER. W oknie będzie obrazowany postęp prac usuwających rozłożonych na 6 etapów (usługi i procesy, foldery, pliki, zaplanowane zadania, rejestracja produktu, przygotowywanie do restartu komputera). Proces nie powinien zająć więcej niż minutę.

 

                           ++++++++++++++++++++++++++

                           +    SpyHunterCleaner    +

                           +         1.1.4          +

                           ++++++++++++++++++++++++++

 

Dieses Programm wird versuchen, SpyHunter zu entfernen.

 

Um den Entfernungsprozess zu starten,

Press any key to continue . . .

 

1. Beende Dienste und Prozesse ...

2. Entferne Ordner ...

3. Entferne Dateien ...

4. Entferne Tasks ...

5. Bereinige die Registrierungsdatenbank ...

6. Bereite Neustart vor ...

 

 ... Fertig!

 

 

Następnie w/w okno zostanie automatycznie zamknięte i zgłosi się ostrzeżenie o automatycznym restarcie systemu, koniecznym by dokończyć usuwanie opornych elementów. Procesu restartu nie można powstrzymać.

 

shc3.png

 

Po restarcie pojawi się na Pulpicie pomocniczy komponent SpyHunterCleaner-reboot.exe i otworzy się na chwilę jego konsolowe okno. Gdy okno zostanie automatycznie zamknięte, można skasować z dysku oba pliki SpyHunterCleaner.exe + SpyHunterCleaner-reboot.exe.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

win10_medium.png

Program Install and Uninstall Troubleshooter

Fix problems that block programs from being installed or removed


Wersja dla Windows 7, Windows 8/8.1, Windows 10 (MicrosoftProgram_Install_and_Uninstall.meta.diagcab):

button.png

Wersja dla XP i Vista (MicrosoftFixit.ProgramInstallUninstall.Run.exe):

button.png

 

 

Program Install and Uninstall Troubleshooter - Narzędzie Microsoftu dedykowane rozwiązywaniu problemów z instalacją i deinstalacją programów opartych na Instalatorze Windows (czyli nie wszystkich), zastępujący stare narzędzie Windows Installer Cleanup (wycofane ze względu na błędy). Na forum m.in. stosowane do usuwania wejść programów oznaczonych flagą "Hidden" w raporcie FRST, ale nie tylko. Pierwotnie artykuł Microsoftu linkował do narzędzia Fix-it zgodnego z systemami XP do Windows 8.1. Ostatnio wprowadzono zmiany, podstawiono inne narzędzie i usunięto kompatybilność z XP i Vista, ale wygrzebałam z czeluści poprzednią wersję zgodną z tymi systemami. Na systemie XP wymagany co najmniej .NET Framework 2.0, na XP i Vista jest też pobierany PowerShell.

 

 

Narzędzie jest specjalizowane w usuwaniu rejestracji MSI produktu, czyli eliminacji głównie wejść listy deinstalacji. Nie usuwa powiązanych z programem komponentów takich jak sterowniki / usługi czy foldery.

 

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...