| Winters |
 Wysłany: Pon 21:53, 11 Lut 2008 Temat postu: HiJack,Combofix itp. |
|
HiJack This
| Cytat: | | Rewelacyjny program pozwalający na uporanie się ze złośliwym oprogramowaniem np. podmieniającym stronę startową przeglądarki internetowej. Program umożliwia wyszukanie komponentów takich jak dodatkowe paski narzędzi (toolbars), kontrolki ActiveX, dialery, programy szpiegujące itd. Wyniki wyszukiwania są prezentowane w postaci logu podzielonego na cztery części: R - wpisy w rejestrze dot. domyślnej strony startowej i strony wyszukiwania, F - wpisy do plików uruchamianych przy starcie systemu, N - analogicznie jak R ale dla Netscape i Mozilli oraz O - pozostałe ustawienia. Każdy z wykrytych wpisów, komponentów czy programów można naprawić bądź usunąć. Log można też zapisać do pliku w celu późniejszej analizy bądź konsultacji z ekspertem. |
1.Do a system scan and save a logfile - Jest to najczęściej stosowana opcja. Wykonuje automatyczny scan i generuje jednocześnie *log.
2.Do a system scan only - Wykonuje tylko scan bez generowania logu. Opcja dla tych, co wiedzą, co chcą zrobić i jak zrobić.
1. Skanowanie i tworzenie loga.
Czyli uruchamiamy program i klikamy Do a system scan and save a logfile po tej operacji zacznie się skanowanie.
następnie automatycznie wyskoczy nam dokument tekstowy z wygenerowanym logiem którego całą zawartość wklejamy na forum.
Uwaga: Wyżej wymieniony dokument tekstowy zostanie automatycznie zapisany w folderze w którym znajduje się program
2. Usuwanie szkodliwych wpisów.
Uruchamiamy program i klikamy Do a system scan only
następnie klikamy Scan po czym program rozpocznie skanowanie, po jego ukończeniu zaznaczamy wpisy które chcemy usunąć i klikamy Fix checked
3. Przykładowy wygląd loga.
Cały log powinien wyglądać tak:
| Cytat: | Logfile of HijackThis v1.99.1
Scan saved at 20:03:36, on 2005-04-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
D:\Bezpie\Anty\ashDisp.exe
C:\Program Files\D-Link\Air Utility\AirCFG.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Bezpie\Anty\aswUpdSv.exe
D:\Bezpie\Anty\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\WZCBDL Service\WZCBDLS.exe
D:\Bezpie\Anty\ashMaiSv.exe
D:\Bezpie\Anty\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
D:\Narzędzia Systemowe\hijackthis\hijackthis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\Bezpie\Anty\ashDisp.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Internet\gadu gadu\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102263364124
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Bezpie\Anty\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Bezpie\Anty\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Bezpie\Anty\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Bezpie\Anty\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Program Files\WZCBDL Service\WZCBDLS.exe |
Combofix
INSTRUKCJA URUCHOMIENIA:
1) Zamknij wszystkie otwarte okna i programy (zwłaszcza internet).
2) ComboFix uruchamia się przez dwuklik na ikonkę ComboFix.exe 
3.Na te dwa okna odpowiadamy TAK.
4) pojawi się napis:
| Cytat: | Please wait
ComboFix is preparing to run
Scanning for infectes files...
This typically doen,t take more than 10 minutes
However, scan times for badly infected machines may easily double |
- czekać
5) pojawi się napis:
| Cytat: | ComboFix has changed your clock settings.
Do not change it back. It shall be restored later
- czekać |
6) W czasie skanowania nie wolno nic robić, nawet poruszać myszką.
Pojawią się kolejne etapy skanowania:
| Cytat: |
Completed stage_1
...
Completed stage_38
- czekać |
7) pojawi się | Cytat: |
Preparing log report.
Do not run any programs until ComboFix has finished
- czekać (Wszystko zniknie na chwilę z pulpitu.) |
 Pojawi się napis:
| Cytat: | Almost done.
This window will close in a short while
Please wait a few secunds for the report log to pop-up.
ComboFix,s log shall be located at C:\ComboFix.txt
|
9) Pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć na
10) Jeśli log jest zbyt długi, to wklej go na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
Uwaga: Jeśli w ciągu 10 minut ComboFix nie skończy, to wyłączyć i zacząć od nowa, bo się pewnie zawiesił.
Pobierz program SDFix
| Cytat: | * Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
* Wciśnij Y nastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
* Pokaż Report.txt znajdujący się w folderze SDFix. |
|
|
