Čistíme napadnutý počítač

Pred založením témy...

Predtým, ako založíte tému, vykonajte nasledovné kroky. Je možné, že problém tým odstránite bez potreby asistencie radcu.

• Vypnite obnovu systému (pravý klik na Tento počítač, Vlastnosti, záložka Obnova systému (System Restore), vypnúť na všetkých diskoch)
• Vypnite rezidentný štít vášho antivírusu a antispywaru
• Odstráňte nepotrebné súbory s ATF Cleaner-om (mirror)
  
  • na hlavnej záložke označiť všetko (Select All) okrem Cookies, History, Prefetch a zvoliť Empty Selected
  • na záložke Firefox/Opera (ak používate) označit Cache a zvoliť Empty Selected

• Preskenujte systém aspoň s jedným z uvedených antispywarov:
  
  • Spyware Doctor (súčasť Google Pack)
  • SUPERAntiSpyware

• Preskenujte systém aspoň s jedným z uvedených antivírusov:
  
  • BitDefender Online Scanner
  • Dr. Web CureIt
  • Kaspersky Virus Removal Tool

• zapnite obnovu systému a aktualizujte operačný systém

autor: br4n0

ComboFix - vytvorenie logu

• Ukončite všetky spustené aplikácie, deaktivujte rezidentný štít antispywaru a antivírusu.
• Combofix stiahnite z jedného z uvedených zdrojov a uložte na plochu: BleepingComputer.com, ForoSpyware.com, GeeksTogo.com.
• Aplikáciu spustite pod účtom administrátora (ak máte všetky práva, tak pod vašim účtom).
• Po štarte programu potvrďte licenčné podmienky.
• Sken môže trvať až 10 minút. Počas skenu nespúštajte žiadne iné aplikácie a neklikajte na okno ComboFix-u.
• Počítač môže byť pred dokončením reštartovaný.
• Po dokončení skenu ComboFix zobrazí log (uložený v c:\combofix.txt). Skopírujte jeho obsah (CTRL+A, CTRL+C) a vložte (CTRL+V) do príspevku.
• Po vyriešení problému spustite T-Cleaner na odstránenie zbytkov Combofix-u.

Spustenie skriptu:
Ak budete požiadaný o odstránenie malware cez ComboFix, skopírujte poslaný kód do poznámového bloku, uložte na ploche ako CFScript.txt a pretiahnite na ikonu Combofix-u.



autor: br4n0

TrendMicro™ HijackThis™ - NÁVOD


1. Download: http://www.trendsecure.com/portal/en-US ... e=download

Na výber sú tri možnosti ---> samotný EXE súbor; archív ZIP; samorozbaľovací archív EXE. Pre vás je najjednoduchšie použiť prvú možnosť ---> EXE súbor. Súbor uložte do Vami zvoleného priečinka/složky.

2. Ako vytvoriť log:

Spustite program, potvrďte licenčné ujednanie a v hlavnom menu zvoľte možnosť ---> "Do a system scan and save a logfile".



Po chvíľke sa v priečinku, kde je uložený HijackThis vytvorí súbor hijackthis.log a Vám sa zobrazí jeho obsah. Obsah tohto súboru skopírujte do Vašeho threadu/témy.

3. Fixovanie položiek:

V poli označte potrebné položke, zvoľte "Fix checked", potvrďte a reštartujte počítač.



Autor Rbot.

Subory mozete oskenovat prostrednictvom online sluzby, ktora vyuziva jadra mnohych, najlepsich antivirov zo sveta. Uspesnost zachytenia viru je 99.999 percent

http://virusscan.jotti.org/
http://www.virustotal.com/

Subor staci uploadnut a pockat kym sa pretestuje. Ak je sluzba vytazena, pomaha stlacat F5 a refreshovat stranku dovtedy, kym sa uvolni slot pre testovanie. Happy testing

autor: Spirit

Jednoúčelové odstraňovače

Avenger
download
Avenger pracuje ako ovládač jadra, vďaka čomu môže ľahko vymazať akýkoľvek súbor, kľúč v registroch, či ovládač.
Skript poslaný radcom skopírujte a postupujte podľa obrázku. Počítač bude reštartovaný. Log je v c:\avenger.txt, záloha v c:\Avenger\backup.zip s heslom infected.



Killbox
download
Killbox sa snaží ukončiť proces blokujúci prácu so súborom alebo využije funkciu PendingFileRenameOperations dostupnú vo Windows na vymazanie súboru pri bootovaní. Záloha sa ukladá do c:\!KillBox, log je v c:\!KillBox\Logs (skrytý)



1 - vloženie súborov
Súbory na vymazanie je možné vložit viacerými spôsobmi:
* napísať cestu k súboru
* vybrať súbor (ikona zložky)
* pretiahnúť súbor(y)/zložku na riadok s cestou
* skopírovať zoznam súborov zo schránky (File - Paste from Clipboard), v tomto prípade je vhodné mať zapnutú voľbu Options - Autoparse, vďaka čomu je možné skopírovať akýkoľvek text a Killbox z neho extrahuje cesty k súborom, napr. 0122C:\Windows\system32\Winlogon.exedhsewjbcjewcjcebc232 -> C:\Windows\system32\Winlogon.exe

2 - spôsob vymazania
* Standard File Kill - pokúsi sa ukončiť proces blokujúci súbor a vymazať ho
* Delete on Reboot - naplánuje vymazanie súboru(ov) po reštarte pri bootovaní
* Replace on Reboot - naplánuje nahradenie súboru(ov) definovaným alebo "dummy" súborom pri bootovaní

3 - pri spôsobe Delete/Replace on Reboot výber spracovania jednotlivo alebo hromadne
4 - potvrdenie vymazania

Unlocker
download
Unlocker poskytuje podobné funkcie ako Killbox vždy prístupné cez kontextové menu "Unlocker". Je vhodné mať ho preventívne nainštalovaný.


autor: br4n0

Process Explorer
download



Process Explorer je alternatíva Správcu úloh doplnená o mnohé funkcie umožňujúce analýzu podozrivých procesov. Hlavné okno je rozdelené na dve časti: stromové usporiadanie procesov naľavo a ich podrobný popis v stĺpcoch napravo. Voliteľné spodné okno zobrazuje knižnice použité daným procesom alebo handles ("popisovače") - "objekty", ktoré má proces otvorené - súbory, kľúče v registroch, TCP/UDP porty atď. Ak chceme vidieť všetky načítané ovládače, zobrazíme si knižnice spustené pod procesom System.

Proces - predstavuje spustený program, ktorý je súčasťou Windows alebo inej aplikácie preň určenej. Príklad: explorer.exe, nod32kui.exe.
Služba - osobitý typ aplikácie bežiaci v "pozadí", zabezpečujúci rôzne funkcie Windows alebo iných aplikácií. Spúšťa sa už pri boote nezávisle od prihlásenia užívateľa. Môže bežať vo vlastnom procese alebo ako knižnica v Svchost.exe. Príklad: spoolsv.exe, lsass.exe, Bluetooth Support Service.

Typy procesov sú farebne odlíšené:

zelená - nové, práve spustené procesy (čas trvania zvýraznenia sa dá nastaviť v Options - Difference Highlight Duration...)
červená - práve ukončené procesy
bledomodrá - procesy spustené pod rovnakým účtom (momentálne prihláseného používateľa) ako Process Explorer
ružová - služby
fialová - komprimované/šifrované procesy (typické pre malware, ale aj neškodné programy)
oranžová - procesy, ktoré sú súčasťou Win32 úlohy (job)
žltá - procesy .NET
šedá - pozastavené procesy

Základné funkcie
Užitočnú funkciu skrýva ikona terča, ktorú možno pretiahnuť ponad neznáme okno a zistiť, ktorému procesu patrí. Medzerníkom možno zobrazenie "zmraziť" a zachytiť tak krátko trvajúce procesy. Proces možno nielen ukončiť (Kill), ale aj pozastaviť (pravý klik na proces, Suspend). Takto možno pozastaviť proces s veľkou záťažou alebo ukončiť malware, ktorý by svoje procesy pri ukončení bez pozastavenia regeneroval. Cez kontextové menu alebo pomocou CTRL+M sa dá názov podozrivého procesu vyhľadať na Google.
Pri podržaní kurzora nad procesom sa zobrazí cesta k nemu, prípadne služby pod ním bežiace. Po dvojkliku na proces sa zobrazia podrobné informácie, kde nás zaujímajú najmä záložky:

Services, kde možno manipulovať so spustenými službami
Image, kde vidieť cestu k súboru aj parametre príkazového riadka a možno ich skopírovať. Ak je podozrivý proces (údajne) od Microsoftu, možno tu overiť jeho digitálny podpis (Verify).
TCP/IP - sieťové spojenia otvorené procesom
Strings - zobraziteľné reťazce v procese. Pokiaľ je komprimovaný, je potrebné prepnúť na obsah v pamäti (Memory). Pri podozrivom procese tu hľadáme http, www, irc, aby sme zistili, či sa nepripája na nejaké podozrivé adresy (pri trojanoch je časté diaľkové ovládanie cez irc).

Zoznam spustených procesov možno kedykoľvek uložiť do textového súboru cez menu File, Save As... (CTRL+A). Zoznam spustených služieb sa dá uložiť urobením screenshotu okna cez ALT+PrintScreen a vložením napríklad do Skicára.

Nastavenia
Do stĺpcov možno zobraziť množstvo údajov, my si zobrazíme dva užitočné údaje: použitú pamäť a príkazový riadok. Pravý klik na ktorýkoľvek stĺpec, vybrať Select columns. Tu v záložke Process Image vybrať Command Line a v záložke Process memory vybrať Working Set Size. Uchopením stĺpcov možno meniť ich poradie.
Process Explorer tiež môže nahradiť implicitného správcu úloh spúštaného s CTRL+ALT+DEL pomocou nastavenia Replace Task Manager v menu Options (príp. aj s Always On Top).

Niektoré znaky malware procesov:
* nemajú ikonu
* nemajú popis, ani výrobcu
* sú od Microsoftu, ale nedá sa overiť digitálny podpis
* systémové procesy v zložke inej ako \windows\system32
* sú komprimované
* v reťazcoch majú podozrivé adresy
* majú otvorené TCP/IP spojenia
* bežia pod nimi podozrivé (komprimované) knižnice alebo služby

Ak chcete vrátiť nastavenia do pôvodného stavu, skopírujte do poznámkového bloku: kód:



uložte ako "peu.reg" (aj s úvodzovkami) a spustite.

Ak vás zaujíma pokročilejšie použitie tohoto a ďalších nástrojov od SysInternals pri odstraňovaní malwaru, pozrite si prednášku autora na Microsoft Technet Spotlight!

autor: br4n0

Ako si skontrolovať HijackThis log sám/sama?

Šikovný web http://www.hijackthis.de/cz Vám pomôže pri skontrolovaní výpisu z hijackThis.
Postup na skontrolovanie:
1. a) Log, ktorý chcete skontrolovať jednoducho skopírujte celý (CTRL+A; CTRL+V) do okna
1. b) Druhá možnosť je aj rovno vybrať súbor z PC
2. Kliknite na Analyzuj

Výsledky by ste mali už rozoznať sami

autor: J4N0

Hromadne sa tu začali množiť žiadosti o kontrolu logu z HijackThis.
menší návod ako si aspon preventivne prečistiť pc od havete bez pomoci fora je tu:

1.
::klikneme na stránku http://www.hijackthis.de/cz

2.




do určeného poľa vložíme log, a klikneme na analyze

3.
Zobrazí sa nám výsledok logu.
znamená že tento súbor je v poriadku
znamená že tento súbor je firewall
vo vecsine pripadov sa jedná o Antivirus, Antivirus nefixovat !!...pokail ide o vírus, fuxnúť.
určite fixnite
taktiež fixnite
neznáma aplikácia....precitajte si to a pokial nepoznate ten program alebo proces, fixnut.


by qpkqkma @ 2008


autor: qpkqkma

Druhý "automatický analyzátor". Upozorňujem však, že toto nie je 100% riešenie, databáza jednoducho nemôže obsiahnúť všetok známy malware a jeho varianty.

//Luks:smazány linky na jiná fora.

autor: br4n0

Ako som pisal, nieje to urcene vtedy, ked mate nejaky problem s pc, alebo pozorujete zmeny v rýchlosti. Návod je pre bežné použitie kedy máte aspon akú tu starostlivost o pc.

autor: qpkqkma

Dalsi automaticky analyzator najdete na LogAnal.eu.


Rozdiel je v tom, ze podporuje okrem HijackThis logov aj Ultimate Process Manager, ComboFix a dalsie.

autor: Kosak