kolobos Proszę nie pisać w TYM wątku! 20.03.06, 16:55 Wszystkie posty poza tymi nalezacymi do FAQ beda odrazu kasowane! Jezeli ktos chce zadac jakies pytanie itp. to niech zalozy nowy watek na forum! Odpowiedz Link Zgłoś
neder tryb awaryjny 26.03.06, 22:11 Uruchamianie komputera w trybie awaryjnym: -> 1 sposób: Tuż po uruchomieniu komputera, gdy widoczny jest jeszcze czarny ekran klikamy F8 ( w wyjątkowych przypadkach F5). Na komputerze, którego konfiguracja umożliwia rozruch w wielu systemach operacyjnych, klawisz F8 należy nacisnąć po wyświetleniu menu Wybierz system operacyjny do uruchomienia. -> 2 sposób: Windows 98/ME: Start > Uruchom > msconfig > zakładka Ogólne > Zaawansowane > opcja 'Włącz menu Autostart '> ok. Windows 2000: dostepny tylko poprzez klawisz F8 Windows XP: Start > Uruchom > msconfig > zakładka BOOT.INI > zaznaczamy /SAFEBOOT W przypadku korzystania z drugiego sposobu, należy przywrócić ustawienia w celu uruchomienia systemu w trybie normalnym. Odpowiedz Link Zgłoś
neder "to co zawsze poleca Kolobos" "skan tym co zwykle" 27.03.06, 10:34 Jeśli w odpowiedzi na prośbę o sprawdzenie loga pojawi się taki tekst oznacza to nic innego, jak te 2 programy (przynajmniej na dzień dzisiejszy ;)) download.ewido.net/ewido-setup.exe www.download.net.pl/d365/Webroot-Spy-Sweeper/ Przed skanowaniem należy uaktualnić bazy, po skanownaiu programy odinsalować (są to wersje trial, na nic się nam po jakimś czasie zdadzą). Odpowiedz Link Zgłoś
barracuda7110 Re: "to co zawsze poleca Kolobos" "skan tym co zw 27.03.06, 10:52 www.majorgeeks.com/download3263.html Odpowiedz Link Zgłoś
neder kilka prostych zasad... 14.04.06, 21:55 Szczególnie dotyczacych wklejania logów. 1. log wklejamy raz. Nie zakładamy kilku wątków i nie wrzucamy loga gdzie popadnie, byleby go ktoś zauważył. 2. oprócz loga dajemy krótki opis co jest nie tak. Szklane kule nam się rozp***. Wszystkie. 3. Nowy log, już po sprawdzeniu i wykonaniu tego, co było zalecone wklejamy w tym samym wątku. Ułatwi to zorientowanie się co miało być zrobione i jak to się ma do rzeczywistości. 4. Nie podbijamy wątku co piętnaście minut, bo nie uzyskujemy odpowiedzi. Nikt tu nie siedzi cały czas i nie czeka aż pojawią się nowe wątki, żeby pomóc. Pewnie jeszcze tysiące innych rzeczy, o których teraz nie pamiętam... Odpowiedz Link Zgłoś
wiewia1 Gmer- "Program wykrywający Rootkity i nie tylko" 30.07.06, 19:45 GMER www.gmer.net/ Rootkit ukrywa niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. I właśnie do jego wykrycia i usunięcia potrzebny nam będzie program Gmer. Ściągnięty plik Gmera wypakowujemy koniecznie na dysk C:\ Wchodzimy w program w zakładke "PROCESY". Na pierwszy rzut oka mamy po prawej funkcje bardzo przydatne których będziemy używać przy walce z rootkitem lub z innymi dręczącymi nas wirusami a są to: "ZABIJ WSZYSTKO" "(Gmer) AWARYJNY" Obie funkcje są do siebie dość podobne. Z tym że "ZABIJ WSZYSTKO" działa bezpośrednio na uruchomionym sytemie a 'AWARYJNY' gmer restartuje kompa i uruchamia system w trybie dla nie go awaryjnym. Sa tylko dwa procesy "CSRSS.EXE i GMER.EXE". Obie te funkcje pozwalają nam bezproblemowo usunąć wirusa. A teraz następna funkcja programu bardzo przydatna którą będziemy mogli zastosować. Przechodzimy do zakładki "CMD" Jest to nasz 'WIERSZ POLECEŃ" (CMD) Za pomocą którego będziemy usuwać wirusy które normalnie nie chcą opuścić naszego kompa. Drugi jest to 'REGEDIT' który pozwala nam dokonywać zmian w rejestrze bez potrzeby tworzenia różnych plików .reg I UWAGA te funkcje gmera pozwalają nam usuwać wirusy z którymi trzeba się męczyć w konsoli odzyskiwania.( i oczywiście nie tylko w konsoli ) A wiadomo jak jest z konsolą : nie mamy płyty xp , nie działają dyskietki itd.. Wystarczy wpisać komendy i wybrać funkcje 'ZABIJ WSZYSTKO' następnie uruchom i po kłopocie. Komputer nie będzie nas dręczył komunikatami że coś jest używane w danej chwili i nie da rady usunąć. Tworzenie log-a Tworzenie loga jest bardzo proste wybieramy zakładke Rootkit >>> Szukaj . Czekamy aż gmer skończy i następnie Kopiuj >>> Ctrl + V (do posta wklejamy). "Problemy z programem gmer" Gmer jak kazdy program może mieć swoje problemy wynikające z zainstalowanego np: jakiegoś softu na naszym kompie lub zainstalowane drivery wirtualnych dysków "Nie działa mi funkcja zabij wszystko. Gmer również nie uruchamia sie w trybie awaryjnym" - Proszę wejść: Prawym myszki na Mój komputer >>>Właściwości >>> Zaawansowane Odpowiedz Link Zgłoś
wiewia1 Przydatne funkcje w programie "GMER 30.07.06, 20:04 1."Usuwanie plików "z ręki" kiedy nie działają komendy w CMD (wierszu pleceń)" Przykładem takiego zastosowania usuwania może być chiński rootkit ostatnio bardzo popularny w sieci. Jego przykładowy wygląd w logu w hijackthis jest taki: O4 - HKLM\..\RunServices: [˙_zskp`wzwhl^pdciyvsw50inkrwksz_] c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe O4 - HKCU\..\Run: [˙_zskp`wzwhl^pdciyvsw50inkrwksz_] c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe Gmer dodatkowo nam pokaże jeszcze te jego pliki: File C:\WINDOWS\system32\_zskwrkni05S`MR[IPV_G`[`KXL.dll File C:\WINDOWS\system32\_zskwrkni05S`MR[IPV_G`[`KXL.exe File C:\WINDOWS\system32\_zskwrkni05WSVYICDP^LHWZW`P.dll Jak widzimy nazwy tych plików są strasznie pokręcone i wiersz poleceń (cmd) może nie wykonać komend usuwania. Więc muismy usuwanie zastosować ręczne. Przechodzimy do zakładka procesy i wybieramy albo "ZABIJ WSZYSTKO" albo "GMER AWARYJNY". Następnie wybieramy funkcje PLIKI.Wyszukujemy pliki syfu na dysku np: c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe , zaznaczamy i dajemy usuń. Jeśli usuniemy wszystkie złośliwe pliki możemy w zakładce procesy uruchomić np: program hijackthis i usunąć wpisy rootkita. Czyli wybieramy ... (trzy kropki) szukamy hijackthis (zaznaczając po prawo opcje pokaż wszystko) Dajemy ok i Uruchom. I możemy teraz skasowac wpisy. Oczywiście to jest przykład. Tą metode usuwania można zastowac i w innych przypadkach. 2."Usuwanie złośliwych usług np:Trojana HAXDOOR" Log z gmera (Zakładka rootkit=>zaznaczone tylko usługi i pokaż wszystko) nam pokaże naszą niepotrzebną usługe Service F:\WINDOWS\System32\msudp4.sys [SYSTEM] msudp4 Klikamy na nią prawym myszy i kasujemy. Program zapyta się czy skasowac plik. Oczywiście zgadzamy się. Przechodzimy do zakładki "CMD" i wklejamy komendy: ATTRIB -R -S -H C:\WINDOWS\System32\msudp4.sys DEL C:\WINDOWS\System32\msudp4.sys Przechodzimy na zakładke procesy i wybieramy opcje "ZABIJ WSZYSTKO" i wracamy do zakładki "CMD" i dajemy uruchom. Powrót do zakładki procesy i wybieramy "RESTART" 3."Przykład usuwania Rootkit'a pe386" Wycinek loga z Gmer'a (Zakładka Rootkit=>szukaj , bez zaznaczania opcji pokaż wszystko) Service C:\WINDOWS\pe386.sys (*** hidden *** ) [SYSTEM] pe386 < Odpowiedz Link Zgłoś
kolobos Jak odinstalowac Messenger'a. 10.09.06, 16:25 Wpisujemy w start-uruchom: RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove Mozna tez uzyc XP-AntiSpy (dostepny na google). Odpowiedz Link Zgłoś
wiewia1 Roguefix 03.02.07, 19:40 Bardzo dobry program do usuwania programów fałszywek i trojanów. Podobne działanie jak SmitFraudFix. Do pobrania z tej strony www.internetinspiration.co.uk/roguefix.htm#uninstall Program w obsłudze bardzo prosty uruchamiamy. Zapisac plik na dysku C:\ wystartować do awaryjnego uruchomić narzędzie i wykonywać polecenia które nam się pojawią. Po sprawdzeniu plików i rejestru padnie pytanie czy wykasować obecną tapetę i strone startową. Jesli usuwamy fałszywca to napewno nam to pozmieniał i oczywiście dajemy Y i ENTER. Po usuwaniu mamy log. możemy zobaczyć co program wykonał roguefix.txt Odpowiedz Link Zgłoś
kolobos ComboScan 06.03.07, 18:19 Link do programu: www.techsupportforum.com/sectools/Deckard/comboscan.exe Link do opisu: cybertrash.pl/images/tata/ComboScan/ComboScan.html (Link znalazlem na google. Mam nadzieje, ze tata1959 nie bedzie sie gniewal, ze go tutaj zamiescilem.) Odpowiedz Link Zgłoś
wiewia1 ComboFix 06.05.07, 10:39 ComboFix download.bleepingcomputer.com/sUBs/ComboFix.exe Działa na systemach Windows XP/2000 Bardzo przydatne narzędzie do usuwania multiinfekcji takiej jak Look2Me, SurfSideKick, Qoologic, Vundo, DollarRevenue, Alcan, E-Give, PurityScanoraz również Rootkita pe386 Za nim zaczniemy pracę z narzędziem musza być spełnione pewne warunki 1. Narzędzia pracuje TYLKO na koncie admistratora i lub z uprawnieniami administratorskimi Inaczej pojawi nam się taki komunikat "YOU NEED TO HAVE ADMINISTRATIVE PRIVILEGES TO RUN THIS TOOL" 2. Podczas pracy narzędzia nie klikamy myszą nie włączamy innych programów. Może to spowodować zawieszenie pracy narzędzia. Ignorujemy oczywiście wszelkie komunikaty związane z wirusem od oprogramowania zabezpieczającego. Osobiście zalecam wyłaczenie internetu i oprogramowania zabezpieczającego typu antywirus lub inne które bronią dostępu do rejestru lub plików , w celu lepszej pracy narzędzia 3. Program narazie uruchamiamy w trybie normalnym opcja (SAfeBoot) została dodana niedawno i dlatego narazie zalecam uruchamianie w trybie normalnym Ogólne zasady działania ComboFix Przy pierwszym uruchomieniu zobaczymy okno powitalne oczywiście klikamy Y Następnie ComboFix przejdzie do kompletnego skanowania systemu. Oczywiście jak każde narzędzie usuwające syf z naszego kompa ma swojego przeciwnika Robaka wirusy.antivirenkit.pl/pl/opis/P2P-Worm.Win32.Alcan.a.html P2P-Worm.Win32.Alcan.a który mu wybitnie przeszkadza w pracy. I dlatego skanowanie zaczynie od niego aby ewentualnie go wyeliminować w takich sekcjach: regedit.com taskmgr.exe tasklist.com taskkill.com netstat.com tracert.com ping.com cmd.com Wszystkie znajdują się na partycji zainstalowanego systemu domyślnie w: C:\WINDOWS\system32 Potem przechodzi do wyszukiwania plików systemowych a są to : C:\WINDOWS\System32\Command.com C:\WINDOWS\System32\Autoexec.NT C:\WINDOWS\System32\Config.nt Jeśli podczas wyszukiwania tych plików któregoś stwierdzi brak wyskoczy nam stosowny komunikat "16-bitowy podsystem MS-DOS Ścieżka do programu, który próbujesz uruchomić C:\WINDOWS\system32\XXX Ten plik systemowy nie nadaje się do uruchamiania aplikacji systemu MS-DOS lub Microsoft Windows. Wybierz opcję Zamknij, aby zamknąć aplikację" W tedy należy zastosować rozwiązanie ze strony microsoftu support.microsoft.com/default.aspx?scid=kb%3Bpl%3B305521 "Komunikat o błędzie 16-bitowy podsystem MS-DOS" Jak aplikacja skończy pracę otrzymujemy log w postaci txt, który znajdować się będzie w C:\ComboFix.txt Podczas pracy aplikacja utworzy sobie foldery na dysku a są to: C:\sUBs\- po skończenie pracy narzędzia zostanie automatycznie wykasowany C:\sUBs\TSF\ - jego własne pliki , potrzebne do pracy aplikacji Inne uwagi dotyczące ComboFix 1. Nie raz mimo zalogowania się do systemu jako Administrator, dalej nie możemy uruchomić narzędzia i wyświetla nam się taki komunikat You need to have Administrative privileges to run this tool Wówczas należy wpisać w Start=>Uruchom to: "%userprofile%\XXX\combofix.exe" /admin %userprofile% - Nazwa twojego konta XXX- Przykładowa lokalizacja programu. Moze być nim np: Pulpit Wtedy by wyglądało to tak "%userprofile%\Pulpit\combofix.exe" /admin 2. Innym problemem w uruchamianiu się aplikacji jest jest zaraz po otwarciu zamykanie się. W tedy należy przypuszczać że System jest zainfekowany Rootkitem Haxdoor Zmieniona została nazwa pliku combofix.exe Występuje blokada skryptów VBS (np: przez Nortona) W tedy należy wpisać w Start=>Uruchom to egsvr32 vbscript.dll Na koniec Dlaczego uważam ze combofix jest godny uwagi , ponieważ 1. Wykonywany przez niego LOG jest podzielony na sekcje czyli Sekcja L2M (Look2Me) , Sekcja Qoologic , Sekcja E2-Give/ SurfSideKick , Sekcja Vundo , Seckja PurityScan... itd co umożliwia nam zlokalizowanie syfu jaki nam się wdarł do systemu i ewntualnie użyć jeszcze innych narzędzi jeśli combofix nie wykasował wszystkich plików danego syfu 2. W logu również występuje sekcja stworzonych plików w odstępie jednego miesiąca lub zmodyfikowanych plików i folderów przez ostatnie 3 miesiące np: "Files Created from 2007-01-01 to 2007-02-01 - stworzone pliki 2007-01-30 20:54 - C:\Program Files\Add Remove Pro 2007-01-30 18:14 - C:\PrcView_5_2_15 2007-01-30 18:13 - C:\WINDOWS\pss 2007-01-30 17:55 - C:\pv 2007-01-29 16:27 - C:\WINDOWS\system32\Futuremark Find3M Report - zmodyfikowane pliki lub foldery 2007-01-31 17:21 - C:\Program Files\capture-a-screenshot 2007-01-31 14:43 - C:\DOCUME~1\XXX\Dane aplikacji\openoffice.org2 2007-01-30 21:53 - C:\Program Files\installshield installation information Do czego ma nam to służyć ? Tej sekcji nigdy nie lekceważymy ponieważ mogą tu występować stworzone lub zmodyfikowane pliki lub foldery przez wirusa. Przykładowo nasze oprogramowanie zabezpieczające wykryło zagrozenie. Nie jest wstanie wszystkiego napewno usunąć zawsze jakiś plik mu umknie uwagi. W tedy po zrobieniu raportu z Combofix możemy zobaczyć i porównać godz i date stworzenia lub modyfikacji plików lub folderów. Czyli jeśli złapaliśmy syf o 10:20 i Combofix listuje jeszcze nam pliki które były stworzone lub zmodyfikowane o tej podobnej godzinie i dacie oczywiście. Jest duże prawdopodobieństwo ze są to pliki wirusa , robaka , lub innego dziadostwa Odpowiedz Link Zgłoś
Gość: @ OTMoveIt - narzędzie do usuwania opornych plików. IP: *.chello.pl 03.06.07, 15:33 Bardzo proste w obsłudze narzędzie do usuwania plików. Instrukcja obsługi. Ściągnij i uruchom OTMoveIt. download.bleepingcomputer.com/oldtimer/OTMoveIt.exe Do pola "Paste List of Files/Folders to be Moved" wklej ścieżkę dostępu do pliku który chcesz usunąć. Następnie kliknij na przycisk "MoveIt". Jeżeli pojawi się pytanie "Do you want to reboot now?" kliknij przycisk "Yes". Po usuwaniu skasuj ręcznie folder C:\_OTMoveIt. Odpowiedz Link Zgłoś