Forum PCLab.pl: Standardowe instrukcje po zainfekowaniu systemu - Forum PCLab.pl

Skocz do zawartości

Dodaj obrazek

Otwarty

Ikona Ostatnio dodane tematy

Ikona Najnowsze pliki

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Standardowe instrukcje po zainfekowaniu systemu m.in. instrukcje wykonania logów w OTL i ComboFix Oceń temat: ***** 6 Głosów

#1 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 20:09

Na forum użytkownikiem, ekspertem zajmującym się leczeniem zainfekowanych systemów MS Windows jest tehawanka.



ZAKŁADANIE TEMATU

  • Użytkownik, który chciałby uzyskać pomoc, zobowiązany jest do założenia własnego tematu. Nie powinien podczepiać się pod cudzy.

  • Tytuł tematu powinien odzwierciedlać istotę problemu. Nie powinno się tytułować wątku np. "Proszę sprawdzić log", gdyż w gąszczu takich samych lub podobnych tematów można łatwo się zgubić.

  • W opisie tematu, zaraz pod tytułem, powinno się wpisać krótko - OTL, co będzie znakiem charakterystycznym, rozpoznawczym dla użytkownika udzielającego pomocy.

    Przykład:
    Dodaj obrazek

  • W poście powinno się szczegółowo opisać problem i załączyć logi z narzędzia OTL (patrz - instrukcja nr 1).

  • Jeśli było już wykonane skanowanie \ usuwanie za pomocą innych skanerów (np. skanery antywirusowe), to również należy załączyć ich logi.




SPIS INSTRUKCJI


Ten post był edytowany przez yngve dnia: 10 Marzec 2011 - 12:50


#2 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 20:46

1. OTL - instrukcja wykonania wymaganych logów systemowych

Dodaj obrazek OTL

Systemy operacyjne: Windows 2000/XP/Vista/7 32-bit i 64-bit

Pobierz: OTL.exe | OTL.scr | OTL.com
Pobierz z mirrorów:
OTL.exe | OTL.scr | OTL.com

Oficjalny poradnik: OTL Tutorial - How to use OldTimer ListIt


INSTRUKCJA WYKONANIA LOGÓW

1. Pobieramy OTL.EXE. Jeśli narzędzia nie uda się uruchomić, wtedy pobieramy z rozszerzeniem SCR lub COM.

Dodaj obrazek

2. Uruchamiamy narzędzie w trybie administratora.

3. Ustawiamy jak na obrazku zaznaczając dodatkowo opcje Wszyscy użytkownicy, Infekcja LOP - sprawdzenie, Infekcja Purity - sprawdzenie. W przypadku systemów 64-bitowych pojawi się także opcja Część 64bit systemu, którą należy zaznaczyć.

Dodaj obrazek

Dla systemów 64-bitowych

Dodaj obrazek

4. Klikamy przycisk Skanuj. Czekamy cierpliwie, aż zostaną wygenerowane dwa logi OTL.txt i Extras.txt. Logi utworzone będą w katalogu, z którego zostało uruchomione narzędzie. Zostaną automatycznie otworzone przez Notatnik. Oba logi należy wstawić do postu, podając linki do logów zapisanych np. na wklej.org lub wklej.eu, można wstawić pomiędzy tagi "code", lub ew. dodać jako załącznik.

Dodaj obrazek

Ten post był edytowany przez yngve dnia: 13 Sierpień 2010 - 14:56


#3 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 21:03

2. ComboFix - instrukcje wykonania loga, odinstalowania narzędzia


Dodaj obrazek
ComboFix

System: Windows 2000/XP/Vista/7 32-bit
Pobierz: ComboFix.exe | ComboFix.exe

Opis:

Combofix jest narzędziem służącym do sporządzania szczegółowych logów oraz usuwania szkodliwych infekcji z systemu Windows.

Cytuj

Jest to bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny FIX oraz modyfikuje system.


Uwagi:

  • Narzędzia ComboFix nie powinno się stosować bez nadzoru. Logi podajemy tylko na uprzednią prośbę osoby uprawnionej, polecanej do udzielania pomocy.
  • ComboFix konfliktuje z emulatorami napędów. Emulatory należy całkowicie odinstalować lub skorzystać z narzędzia Defogger (wyłącza \ włącza sterowniki emulatorów CD/DVD).
  • ComboFix działa tylko z uprawnieniami administratora.
  • Przed uruchomieniem Combofixa wyłączamy wszystkie programy zabezpieczające tj. antywirusy, firewalle, itp., poza tym także wszystkie aktywne (niepotrzebne programy), rozłączamy się z internetem i zamykamy wszystkie otwarte okna.
  • Podczas samej pracy programu nie powinno się uruchamiać innych programów. Należy cierpliwie poczekać na ukończenie skanu. W przeciwnym wypadku ComboFix może się zawiesić.



Instrukcja wygenerowania loga


  • Po wykonaniu wszystkich wcześniej wymienionych czynności uruchamiamy ComboFix.exe przez dwuklik. Potem czekamy aż załaduje się pasek postępu.

    Dodaj obrazek

    Dodaj obrazek

  • Pojawi się okno "Zrzeczenie się gwarancji na oprogramowanie" - klikamy Tak.

    Dodaj obrazek

    Pojawi się potem kolejne okno, informujące o rozpoczęciu działania przez narzędzie.

    Dodaj obrazek

    ComboFix poinformuje o próbie utworzenia punktu Przywracania Systemu.

    Dodaj obrazek

    Następnie narzędzie rozpocznie skanowanie w poszukiwaniu zainfekowanych plików. Należy cierpliwie czekać do ukończenia tego procesu. Skanowanie powinno potrwać do 10 minut, w zależności od stopnia zainfekowania systemu.

    Dodaj obrazek

    Pojawi się informacja o przygotowywaniu wyniku skanowania.

    Dodaj obrazek

    Na koniec Combofix wygeneruje log oraz poda ścieżkę do niego. Po ukończeniu pracy zostanie otworzony plik logiem w Notatniku (domyślnie w C:\ComboFix.txt).

    Dodaj obrazek


  • Logi należy wstawić na forum:
    • podając link do loga zapisanego np. na wklej.org lub wklej.eu,
      lub
    • pomiędzy tagi "code".


Instrukcja leczenia za pomocą skryptu podanego na forum

Osoba udzielająca pomocy może poprosić o zapisanie skryptu do notatnika. Plik ten zapisuje się pod nazwą CFScript.txt, a następnie przeciąga i upuszcza na ikonę ComboFix:

Dodaj obrazek

Przykładowy skrypt
File::
c:\windows\system32\DRIVERS\abicemxp.sys
c:\users\mj\AppData\Roaming\bawuho.dat

Driver::
abicemxp


Nastąpi teraz przejście przez całą procedurę jak w przypadku normalnego skanowania. Wygenerowane logi załącza się ponownie na forum do dalszej analizy.

Odinstalowanie ComboFixa

Start -> Uruchom -> wkleić polecenie deinstalacji narzędzia:

combofix /uninstall

Ten post był edytowany przez yngve dnia: 24 Sierpień 2010 - 18:31


#4 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 21:35

3. Podstawowy zestaw narzędzi do detekcji i usuwania infekcji

Dodaj obrazek
Malwarebytes' Anti-Malware free version

Dodaj obrazek
Dr. Web CureIt!

Dodaj obrazek
Kaspersky Virus Removal Tool 2010

Dodaj obrazek
Eset Skaner Online

Dodaj obrazek
SARDU - Shardana Antivirus Rescue Disk Utility

Dodaj obrazek
Dr.Web LiveCD

Ten post był edytowany przez yngve dnia: 13 Sierpień 2010 - 12:51


#5 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 21:41

4. Instrukcja uruchamiania systemu w trybie awaryjnym

Cytuj

W trybie awaryjnym system Windows uruchamia się z ograniczonym zestawem plików oraz sterowników. Programy grupy Autostart nie są uruchamiane w trybie awaryjnym. Ponadto w tym trybie są instalowane tylko podstawowe sterowniki niezbędne do uruchomienia systemu Windows.


Opcja nr 1

Cytuj

1. Usuń z komputera wszystkie dyskietki, dyski CD oraz DVD i uruchom go ponownie.

Kliknij przycisk Start, kliknij strzałkę przy przycisku Zamknij, a następnie kliknij przycisk Uruchom ponownie.

2. Wykonaj jedną z następujących czynności:

  • Jeśli na komputerze zainstalowano tylko jeden system operacyjny, naciśnij i przytrzymaj klawisz F8 podczas ponownego uruchamiania komputera. Klawisz F8 należy nacisnąć przed wyświetleniem logo systemu Windows. Jeżeli zostanie wyświetlone logo systemu Windows, należy spróbować ponownie, czekając na wyświetlenie monitu logowania systemu Windows, a następnie wyłączając i ponownie uruchamiając komputer.

  • Jeśli na komputerze zainstalowano więcej niż jeden system operacyjny, korzystając z klawiszy strzałek podświetl nazwę systemu operacyjnego, który chcesz uruchomić w trybie awaryjnym, a następnie naciśnij klawisz F8.


3. Na ekranie Zaawansowane opcje rozruchu użyj klawiszy strzałek, aby wyróżnić żądaną opcję trybu awaryjnego, a następnie naciśnij klawisz Enter.

4. Zaloguj się do komputera, używając konta użytkownika z prawami administratora.

Kiedy komputer pracuje w trybie awaryjnym, w rogach monitora wyświetlany jest napis Tryb awaryjny. Aby zakończyć pracę w trybie awaryjnym, uruchom ponownie komputer, tak aby system Windows uruchomił się normalnie.


Opcja nr 2

1. Usuń z komputera wszystkie dyskietki, dyski CD oraz DVD.

2. Menu Start -> w polu wyszukaj programy i pliki wpisujemy wpisujemy nazwę narzędzia msconfig -> zakładka Rozruch; zaznaczamy Bezpieczny rozruch, minimalny

Dodaj obrazek

3. Należy uruchomić ponownie komputer.

Ten post był edytowany przez yngve dnia: 13 Sierpień 2010 - 12:52


#6 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 21:50

5. Instrukcja czyszczenia folderów Przywracania systemu

Mechanizm Przywracania systemu regularnie śledzi zmiany wprowadzane w plikach systemowych na komputerze i za pomocą funkcji Ochrony systemu tworzy punkty przywracania. Ochrona systemu jest włączona domyślnie na wszystkich dyskach twardych komputera. Można wybrać dyski, na których Ochrona systemu będzie włączona.

Wyłączenie Ochrony systemu dla określonego dysku powoduje usunięcie wszystkich dotyczących go punktów przywracania. Taki dysk można będzie przywrócić dopiero po ponownym włączeniu Ochrony systemu i utworzeniu punktu przywracania.

Dlaczego wyłączamy (restartujemy) przywracanie systemu?
Gdy komputer jest zainfekowany, to prawdopodobnie kopia zapasowa wirusa może być utworzona przez Przywracanie systemu i zostanie on odtworzony przez uruchomienie kopii zapasowej, dlatego wymagane jest wyczyszczenie folderów Przywracania systemu.

Windows 7

Kombinacja klawiszy: WIN+Pause. W lewym oknie wybierz odnośnik w postaci łącza: Ochrona systemu. Zaznaczamy partycje i klikamy przycisk Konfiguruj..., następnie w nowym oknie klikamy na przycisk Usuń, co spowoduje usuniecie wszystkich punktów przywracania.

Dodaj obrazek

Dodaj obrazek


Windows Vista

Lokalizacja plików: System Volume Information

Panel sterowania -> System i konserwacja -> System

Dodaj obrazek

W lewym okienku kliknij łącze Ochrona systemu. Wymagane uprawnienia administratora. Jeśli zostanie wyświetlony monit o hasło administratora lub potwierdzenie, wpisz hasło lub potwierdź.

Aby wyłączyć Ochronę systemu należy odhaczyć umieszczone obok dysków pola wyboru, a następnie kliknąć przycisk OK, natomiast aby włączyć Ochronę systemu należy zaznacz te pola wyboru, a następnie kliknąć przycisk OK.


Windows XP

Lokalizacja plików: System Volume Information

Panel sterowania -> System -> Przywracanie Systemu
Dodaj obrazek

W oknie zaznaczamy opcję Wyłącz Przywracanie systemu na wszystkich dyskach i zatwierdzamy.

Ten post był edytowany przez yngve dnia: 13 Sierpień 2010 - 12:52


#7 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 10 Sierpień 2010 - 21:58

6. Instrukcja włączenia pokazywania ukrytych plików

Windows 7

Panel sterowania -> Wygląd i personalizacja -> Opcje Folderów i Wyszukiwania -> Widok

Dodaj obrazek

Ukryj chronione pliki systemu operacyjnego -> odznaczyć
Ukryj rozszerzenia znanych typów plików -> odznaczyć
Pokaż ukryte pliki, foldery i dyski -> zaznaczyć


Windows Vista

Panel sterowania -> Wygląd i personalizacja -> Opcje Folderów i Wyszukiwania -> Widok

Dodaj obrazek

Pokaż ukryte pliki i foldery -> zaznaczyć
Ukryj chronione pliki systemu operacyjnego -> odznaczyć
Ukrywaj rozszerzenia znanych plików -> odznaczyć


Windows XP

Windows Explorer (Mój komputer) -> Narzędzia -> Opcje folderów -> Widok

Dodaj obrazek

Pokaż ukryte pliki i foldery -> zaznaczyć
Ukryj chronione pliki systemu operacyjnego -> odznaczyć
Ukrywaj rozszerzenia znanych plików -> odznaczyć

Ten post był edytowany przez yngve dnia: 13 Sierpień 2010 - 13:05


#8 Użytkownik jest niedostępny   yngve Ikona

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 521
  • Dołączył: Pt, 25 Lip 08

Napisany 13 Sierpień 2010 - 12:48

7. Czyszczenie plików tymczasowych za pomocą TFC

TFC - Temp File Cleaner

Program przeznaczony dla systemów Windows 32-bit i 64-bit.
Pobierz: TFC.exe

Instrukcja czyszczenia

Uwagi:
Narzędzie wymaga praw administratora. Podczas czyszczenia plików wszystkie programy zostaną zamknięte a pulpit zniknie. Jeśli będzie wymagany restart systemu do usunięcia plików, wtedy pojawi się okno z pytaniem o restart. W przeciwnym wypadku pulpit zostanie przywrócony.

1. Pobieramy narzędzie i uruchamiamy z prawami administratora.

Dodaj obrazek

2. Kilkamy na przycisk Start.

Dodaj obrazek

3. Narzędzie może wymagać restartu systemu. W takiej sytuacji pojawi się okienko z pytaniem o restart. Należy potwierdzić, klikając przycisk OK.

Dodaj obrazek

#9 Użytkownik jest niedostępny   psorek Ikona

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 113
  • Dołączył: So, 11 Cze 11

Napisany 22 Styczeń 2013 - 19:36

Nie wiem, czy w ogóle wolno mi tu pisać - chciałem jednak polecić pewne narzędzie, które (jeśli wiadomo, że wirusy gdzieś siedzą) bardzo przyzwoicie czyści system.

F-Secure Rescue CD - oparty na linuxie produkt wymienionej firmy, o dziwo darmowy... Nagrywamy na płytkę/pendrive plik ISO, bootujemy z niego komputer, a resztę wykonuje płytka.
http://www.f-secure....rousel/view/142

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

3 Użytkowników czyta ten temat
0 użytkowników, 3 gości, 0 anonimowych