Zanim zadasz pytanie

    • kolobos Proszę nie pisać w TYM wątku! 20.03.06, 16:55
      Wszystkie posty poza tymi nalezacymi do FAQ beda odrazu kasowane!
      Jezeli ktos chce zadac jakies pytanie itp. to niech zalozy nowy watek na forum!
    • neder tryb awaryjny 26.03.06, 22:11
      Uruchamianie komputera w trybie awaryjnym:


      -> 1 sposób:
      Tuż po uruchomieniu komputera, gdy widoczny jest jeszcze czarny ekran klikamy F8
      ( w wyjątkowych przypadkach F5).

      Na komputerze, którego konfiguracja umożliwia rozruch w wielu systemach
      operacyjnych, klawisz F8 należy nacisnąć po wyświetleniu menu Wybierz system
      operacyjny do uruchomienia.


      -> 2 sposób:
      Windows 98/ME:
      Start > Uruchom > msconfig > zakładka Ogólne > Zaawansowane > opcja 'Włącz menu
      Autostart '> ok.

      Windows 2000:
      dostepny tylko poprzez klawisz F8

      Windows XP:
      Start > Uruchom > msconfig > zakładka BOOT.INI > zaznaczamy /SAFEBOOT

      W przypadku korzystania z drugiego sposobu, należy przywrócić ustawienia w celu
      uruchomienia systemu w trybie normalnym.
    • neder "to co zawsze poleca Kolobos" "skan tym co zwykle" 27.03.06, 10:34
      Jeśli w odpowiedzi na prośbę o sprawdzenie loga pojawi się taki tekst oznacza to
      nic innego, jak te 2 programy (przynajmniej na dzień dzisiejszy ;))

      download.ewido.net/ewido-setup.exe
      www.download.net.pl/d365/Webroot-Spy-Sweeper/
      Przed skanowaniem należy uaktualnić bazy, po skanownaiu programy odinsalować (są
      to wersje trial, na nic się nam po jakimś czasie zdadzą).
      • barracuda7110 Re: "to co zawsze poleca Kolobos" "skan tym co zw 27.03.06, 10:52
        www.majorgeeks.com/download3263.html
    • neder kilka prostych zasad... 14.04.06, 21:55
      Szczególnie dotyczacych wklejania logów.
      1. log wklejamy raz. Nie zakładamy kilku wątków i nie wrzucamy loga gdzie
      popadnie, byleby go ktoś zauważył.

      2. oprócz loga dajemy krótki opis co jest nie tak. Szklane kule nam się rozp***.
      Wszystkie.

      3. Nowy log, już po sprawdzeniu i wykonaniu tego, co było zalecone wklejamy w
      tym samym wątku. Ułatwi to zorientowanie się co miało być zrobione i jak to się
      ma do rzeczywistości.

      4. Nie podbijamy wątku co piętnaście minut, bo nie uzyskujemy odpowiedzi. Nikt
      tu nie siedzi cały czas i nie czeka aż pojawią się nowe wątki, żeby pomóc.


      Pewnie jeszcze tysiące innych rzeczy, o których teraz nie pamiętam...
      • wiewia1 Gmer- "Program wykrywający Rootkity i nie tylko" 30.07.06, 19:45
        GMER www.gmer.net/

        Rootkit ukrywa niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. I właśnie do jego wykrycia i usunięcia potrzebny nam będzie program Gmer.

        Ściągnięty plik Gmera wypakowujemy koniecznie na dysk C:\

        Wchodzimy w program w zakładke "PROCESY". Na pierwszy rzut oka mamy po prawej funkcje bardzo przydatne których będziemy używać przy walce z rootkitem lub z innymi dręczącymi nas wirusami a są to:

        "ZABIJ WSZYSTKO"

        "(Gmer) AWARYJNY"

        Obie funkcje są do siebie dość podobne. Z tym że "ZABIJ WSZYSTKO" działa bezpośrednio na uruchomionym sytemie a 'AWARYJNY' gmer restartuje kompa i uruchamia system w trybie dla nie go awaryjnym. Sa tylko dwa procesy "CSRSS.EXE i GMER.EXE". Obie te funkcje pozwalają nam bezproblemowo usunąć wirusa.

        A teraz następna funkcja programu bardzo przydatna którą będziemy mogli zastosować.

        Przechodzimy do zakładki "CMD" Jest to nasz 'WIERSZ POLECEŃ" (CMD) Za pomocą którego będziemy usuwać wirusy które normalnie nie chcą opuścić naszego kompa.
        Drugi jest to 'REGEDIT' który pozwala nam dokonywać zmian w rejestrze bez potrzeby tworzenia różnych plików .reg

        I UWAGA te funkcje gmera pozwalają nam usuwać wirusy z którymi trzeba się męczyć w konsoli odzyskiwania.( i oczywiście nie tylko w konsoli ) A wiadomo jak jest z konsolą : nie mamy płyty xp , nie działają dyskietki itd.. Wystarczy wpisać komendy i wybrać funkcje 'ZABIJ WSZYSTKO' następnie uruchom i po kłopocie. Komputer nie będzie nas dręczył komunikatami że coś jest używane w danej chwili i nie da rady usunąć.

        Tworzenie log-a

        Tworzenie loga jest bardzo proste wybieramy zakładke Rootkit >>> Szukaj . Czekamy aż gmer skończy i następnie Kopiuj >>> Ctrl + V (do posta wklejamy).

        "Problemy z programem gmer"

        Gmer jak kazdy program może mieć swoje problemy wynikające z zainstalowanego np: jakiegoś softu na naszym kompie lub zainstalowane drivery wirtualnych dysków

        "Nie działa mi funkcja zabij wszystko. Gmer również nie uruchamia sie w trybie awaryjnym"

        - Proszę wejść: Prawym myszki na Mój komputer >>>Właściwości >>> Zaawansowane
        • wiewia1 Przydatne funkcje w programie "GMER 30.07.06, 20:04
          1."Usuwanie plików "z ręki" kiedy nie działają komendy w CMD (wierszu pleceń)"

          Przykładem takiego zastosowania usuwania może być chiński rootkit ostatnio bardzo popularny w sieci.
          Jego przykładowy wygląd w logu w hijackthis jest taki:

          O4 - HKLM\..\RunServices: [˙_zskp`wzwhl^pdciyvsw50inkrwksz_] c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe
          O4 - HKCU\..\Run: [˙_zskp`wzwhl^pdciyvsw50inkrwksz_] c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe

          Gmer dodatkowo nam pokaże jeszcze te jego pliki:

          File C:\WINDOWS\system32\_zskwrkni05S`MR[IPV_G`[`KXL.dll
          File C:\WINDOWS\system32\_zskwrkni05S`MR[IPV_G`[`KXL.exe
          File C:\WINDOWS\system32\_zskwrkni05WSVYICDP^LHWZW`P.dll

          Jak widzimy nazwy tych plików są strasznie pokręcone i wiersz poleceń (cmd) może nie wykonać komend usuwania.
          Więc muismy usuwanie zastosować ręczne. Przechodzimy do zakładka procesy i wybieramy albo "ZABIJ WSZYSTKO" albo "GMER AWARYJNY". Następnie wybieramy funkcje PLIKI.Wyszukujemy pliki syfu na dysku np: c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe ,
          zaznaczamy i dajemy usuń. Jeśli usuniemy wszystkie złośliwe pliki możemy w zakładce procesy uruchomić np: program hijackthis i usunąć wpisy rootkita. Czyli wybieramy ... (trzy kropki) szukamy hijackthis (zaznaczając po prawo opcje pokaż wszystko) Dajemy ok i Uruchom. I możemy teraz skasowac wpisy.
          Oczywiście to jest przykład. Tą metode usuwania można zastowac i w innych przypadkach.

          2."Usuwanie złośliwych usług np:Trojana HAXDOOR"

          Log z gmera (Zakładka rootkit=>zaznaczone tylko usługi i pokaż wszystko) nam pokaże naszą niepotrzebną usługe

          Service F:\WINDOWS\System32\msudp4.sys [SYSTEM] msudp4

          Klikamy na nią prawym myszy i kasujemy. Program zapyta się czy skasowac plik. Oczywiście zgadzamy się.

          Przechodzimy do zakładki "CMD" i wklejamy komendy:

          ATTRIB -R -S -H C:\WINDOWS\System32\msudp4.sys
          DEL C:\WINDOWS\System32\msudp4.sys

          Przechodzimy na zakładke procesy i wybieramy opcje "ZABIJ WSZYSTKO" i wracamy do zakładki "CMD" i dajemy uruchom. Powrót do zakładki procesy i wybieramy "RESTART"

          3."Przykład usuwania Rootkit'a pe386"

          Wycinek loga z Gmer'a (Zakładka Rootkit=>szukaj , bez zaznaczania opcji pokaż wszystko)

          Service C:\WINDOWS\pe386.sys (*** hidden *** ) [SYSTEM] pe386 <
    • kolobos Jak odinstalowac Messenger'a. 10.09.06, 16:25
      Wpisujemy w start-uruchom:
      RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

      Mozna tez uzyc XP-AntiSpy (dostepny na google).
    • wiewia1 Roguefix 03.02.07, 19:40
      Bardzo dobry program do usuwania programów fałszywek i trojanów. Podobne działanie jak SmitFraudFix. Do pobrania z tej strony www.internetinspiration.co.uk/roguefix.htm#uninstall
      Program w obsłudze bardzo prosty uruchamiamy. Zapisac plik na dysku C:\ wystartować do awaryjnego uruchomić narzędzie i wykonywać polecenia które nam się pojawią.

      Po sprawdzeniu plików i rejestru padnie pytanie czy wykasować obecną tapetę i strone startową. Jesli usuwamy fałszywca to napewno nam to pozmieniał i oczywiście dajemy Y i ENTER.
      Po usuwaniu mamy log. możemy zobaczyć co program wykonał roguefix.txt
      • kolobos ComboScan 06.03.07, 18:19
        Link do programu:
        www.techsupportforum.com/sectools/Deckard/comboscan.exe
        Link do opisu:
        cybertrash.pl/images/tata/ComboScan/ComboScan.html
        (Link znalazlem na google. Mam nadzieje, ze tata1959 nie bedzie sie gniewal, ze go tutaj zamiescilem.)
        • wiewia1 ComboFix 06.05.07, 10:39
          ComboFix download.bleepingcomputer.com/sUBs/ComboFix.exe


          Działa na systemach Windows XP/2000

          Bardzo przydatne narzędzie do usuwania multiinfekcji takiej jak Look2Me, SurfSideKick, Qoologic, Vundo, DollarRevenue, Alcan, E-Give, PurityScanoraz również Rootkita pe386

          Za nim zaczniemy pracę z narzędziem musza być spełnione pewne warunki

          1. Narzędzia pracuje TYLKO na koncie admistratora i lub z uprawnieniami administratorskimi

          Inaczej pojawi nam się taki komunikat

          "YOU NEED TO HAVE ADMINISTRATIVE PRIVILEGES TO RUN THIS TOOL"

          2. Podczas pracy narzędzia nie klikamy myszą nie włączamy innych programów. Może to spowodować zawieszenie pracy narzędzia. Ignorujemy oczywiście wszelkie komunikaty związane z wirusem od oprogramowania zabezpieczającego. Osobiście zalecam wyłaczenie internetu i oprogramowania zabezpieczającego typu antywirus lub inne które bronią dostępu do rejestru lub plików , w celu lepszej pracy narzędzia

          3. Program narazie uruchamiamy w trybie normalnym opcja (SAfeBoot) została dodana niedawno i dlatego narazie zalecam uruchamianie w trybie normalnym

          Ogólne zasady działania ComboFix

          Przy pierwszym uruchomieniu zobaczymy okno powitalne oczywiście klikamy Y Następnie ComboFix przejdzie do kompletnego skanowania systemu.

          Oczywiście jak każde narzędzie usuwające syf z naszego kompa ma swojego przeciwnika Robaka wirusy.antivirenkit.pl/pl/opis/P2P-Worm.Win32.Alcan.a.html P2P-Worm.Win32.Alcan.a który mu wybitnie przeszkadza w pracy. I dlatego skanowanie zaczynie od niego aby ewentualnie go wyeliminować w takich sekcjach:

          regedit.com
          taskmgr.exe
          tasklist.com
          taskkill.com
          netstat.com
          tracert.com
          ping.com
          cmd.com

          Wszystkie znajdują się na partycji zainstalowanego systemu domyślnie w: C:\WINDOWS\system32

          Potem przechodzi do wyszukiwania plików systemowych a są to :

          C:\WINDOWS\System32\Command.com
          C:\WINDOWS\System32\Autoexec.NT
          C:\WINDOWS\System32\Config.nt

          Jeśli podczas wyszukiwania tych plików któregoś stwierdzi brak wyskoczy nam stosowny komunikat

          "16-bitowy podsystem MS-DOS
          Ścieżka do programu, który próbujesz uruchomić
          C:\WINDOWS\system32\XXX Ten plik systemowy nie nadaje się do uruchamiania aplikacji systemu MS-DOS lub Microsoft Windows. Wybierz opcję Zamknij, aby zamknąć aplikację"

          W tedy należy zastosować rozwiązanie ze strony microsoftu support.microsoft.com/default.aspx?scid=kb%3Bpl%3B305521 "Komunikat o błędzie 16-bitowy podsystem MS-DOS"

          Jak aplikacja skończy pracę otrzymujemy log w postaci txt, który znajdować się będzie w C:\ComboFix.txt

          Podczas pracy aplikacja utworzy sobie foldery na dysku a są to:

          C:\sUBs\- po skończenie pracy narzędzia zostanie automatycznie wykasowany
          C:\sUBs\TSF\ - jego własne pliki , potrzebne do pracy aplikacji

          Inne uwagi dotyczące ComboFix

          1. Nie raz mimo zalogowania się do systemu jako Administrator, dalej nie możemy uruchomić narzędzia i wyświetla nam się taki komunikat

          You need to have Administrative privileges to run this tool

          Wówczas należy wpisać w Start=>Uruchom to:

          "%userprofile%\XXX\combofix.exe" /admin

          %userprofile% - Nazwa twojego konta

          XXX- Przykładowa lokalizacja programu. Moze być nim np: Pulpit

          Wtedy by wyglądało to tak

          "%userprofile%\Pulpit\combofix.exe" /admin

          2. Innym problemem w uruchamianiu się aplikacji jest jest zaraz po otwarciu zamykanie się. W tedy należy przypuszczać że

          System jest zainfekowany Rootkitem Haxdoor

          Zmieniona została nazwa pliku combofix.exe

          Występuje blokada skryptów VBS (np: przez Nortona) W tedy należy wpisać w Start=>Uruchom to

          egsvr32 vbscript.dll

          Na koniec

          Dlaczego uważam ze combofix jest godny uwagi , ponieważ

          1. Wykonywany przez niego LOG jest podzielony na sekcje czyli Sekcja L2M (Look2Me) , Sekcja Qoologic , Sekcja E2-Give/ SurfSideKick , Sekcja Vundo , Seckja PurityScan... itd co umożliwia nam zlokalizowanie syfu jaki nam się wdarł do systemu i ewntualnie użyć jeszcze innych narzędzi jeśli combofix nie wykasował wszystkich plików danego syfu

          2. W logu również występuje sekcja stworzonych plików w odstępie jednego miesiąca lub zmodyfikowanych plików i folderów przez ostatnie 3 miesiące np:

          "Files Created from 2007-01-01 to 2007-02-01 - stworzone pliki


          2007-01-30 20:54 - C:\Program Files\Add Remove Pro
          2007-01-30 18:14 - C:\PrcView_5_2_15
          2007-01-30 18:13 - C:\WINDOWS\pss
          2007-01-30 17:55 - C:\pv
          2007-01-29 16:27 - C:\WINDOWS\system32\Futuremark


          Find3M Report - zmodyfikowane pliki lub foldery


          2007-01-31 17:21 - C:\Program Files\capture-a-screenshot
          2007-01-31 14:43 - C:\DOCUME~1\XXX\Dane aplikacji\openoffice.org2
          2007-01-30 21:53 - C:\Program Files\installshield installation information


          Do czego ma nam to służyć ? Tej sekcji nigdy nie lekceważymy ponieważ mogą tu występować stworzone lub zmodyfikowane pliki lub foldery przez wirusa. Przykładowo nasze oprogramowanie zabezpieczające wykryło zagrozenie. Nie jest wstanie wszystkiego napewno usunąć zawsze jakiś plik mu umknie uwagi. W tedy po zrobieniu raportu z Combofix możemy zobaczyć i porównać godz i date stworzenia lub modyfikacji plików lub folderów. Czyli jeśli złapaliśmy syf o 10:20 i Combofix listuje jeszcze nam pliki które były stworzone lub zmodyfikowane o tej podobnej godzinie i dacie oczywiście. Jest duże prawdopodobieństwo ze są to pliki wirusa , robaka , lub innego dziadostwa
    • Gość: @ OTMoveIt - narzędzie do usuwania opornych plików. IP: *.chello.pl 03.06.07, 15:33
      Bardzo proste w obsłudze narzędzie do usuwania plików.
      Instrukcja obsługi.

      Ściągnij i uruchom OTMoveIt.
      download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
      Do pola "Paste List of Files/Folders to be Moved" wklej ścieżkę dostępu do pliku
      który chcesz usunąć.
      Następnie kliknij na przycisk "MoveIt".
      Jeżeli pojawi się pytanie "Do you want to reboot now?" kliknij przycisk "Yes".
      Po usuwaniu skasuj ręcznie folder C:\_OTMoveIt.

Inne wątki na temat:
Pełna wersja