[ Príspevkov: 10 ] 
AutorSpráva
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
NapísalOffline : 17.12.2008 15:24 | Čistíme napadnutý počítač

Pred založením témy...

Predtým, ako založíte tému, vykonajte nasledovné kroky. Je možné, že problém tým odstránite bez potreby asistencie radcu.
  • Vypnite obnovu systému (pravý klik na Tento počítač, Vlastnosti, záložka Obnova systému (System Restore), vypnúť na všetkých diskoch)
  • Vypnite rezidentný štít vášho antivírusu a antispywaru
  • Odstráňte nepotrebné súbory s ATF Cleaner-om (mirror)
    • na hlavnej záložke označiť všetko (Select All) okrem Cookies, History, Prefetch a zvoliť Empty Selected
    • na záložke Firefox/Opera (ak používate) označit Cache a zvoliť Empty Selected
  • zapnite obnovu systému a aktualizujte operačný systém


autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:52, celkovo upravené 2

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 15:26 | Čistíme napadnutý počítač

ComboFix - vytvorenie logu

  • Ukončite všetky spustené aplikácie, deaktivujte rezidentný štít antispywaru a antivírusu.
  • Combofix stiahnite z jedného z uvedených zdrojov a uložte na plochu: BleepingComputer.com, ForoSpyware.com, GeeksTogo.com.
  • Aplikáciu spustite pod účtom administrátora (ak máte všetky práva, tak pod vašim účtom).
  • Po štarte programu potvrďte licenčné podmienky.
  • Sken môže trvať až 10 minút. Počas skenu nespúštajte žiadne iné aplikácie a neklikajte na okno ComboFix-u.
  • Počítač môže byť pred dokončením reštartovaný.
  • Po dokončení skenu ComboFix zobrazí log (uložený v c:\combofix.txt). Skopírujte jeho obsah (CTRL+A, CTRL+C) a vložte (CTRL+V) do príspevku.
  • Po vyriešení problému spustite T-Cleaner na odstránenie zbytkov Combofix-u.

Spustenie skriptu:
Ak budete požiadaný o odstránenie malware cez ComboFix, skopírujte poslaný kód do poznámového bloku, uložte na ploche ako CFScript.txt a pretiahnite na ikonu Combofix-u.

Čistíme napadnutý počítač

autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:45, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 15:38 | Čistíme napadnutý počítač

TrendMicro™ HijackThis™ - NÁVOD


1. Download: http://www.trendsecure.com/portal/en-US ... e=download

Na výber sú tri možnosti ---> samotný EXE súbor; archív ZIP; samorozbaľovací archív EXE. Pre vás je najjednoduchšie použiť prvú možnosť ---> EXE súbor. Súbor uložte do Vami zvoleného priečinka/složky.

2. Ako vytvoriť log:

Spustite program, potvrďte licenčné ujednanie a v hlavnom menu zvoľte možnosť ---> "Do a system scan and save a logfile".

Čistíme napadnutý počítač

Po chvíľke sa v priečinku, kde je uložený HijackThis vytvorí súbor hijackthis.log a Vám sa zobrazí jeho obsah. Obsah tohto súboru skopírujte do Vašeho threadu/témy.

3. Fixovanie položiek:

V poli označte potrebné položke, zvoľte "Fix checked", potvrďte a reštartujte počítač.

Čistíme napadnutý počítač

Autor Rbot.

Subory mozete oskenovat prostrednictvom online sluzby, ktora vyuziva jadra mnohych, najlepsich antivirov zo sveta. Uspesnost zachytenia viru je 99.999 percent :)

http://virusscan.jotti.org/
http://www.virustotal.com/

Subor staci uploadnut a pockat kym sa pretestuje. Ak je sluzba vytazena, pomaha stlacat F5 a refreshovat stranku dovtedy, kym sa uvolni slot pre testovanie. Happy testing :)

autor: Spirit


Naposledy upravil marzo dňa 18.12.2008 9:45, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 15:46 | Čistíme napadnutý počítač

Jednoúčelové odstraňovače

Avenger
download
Avenger pracuje ako ovládač jadra, vďaka čomu môže ľahko vymazať akýkoľvek súbor, kľúč v registroch, či ovládač.
Skript poslaný radcom skopírujte a postupujte podľa obrázku. Počítač bude reštartovaný. Log je v c:\avenger.txt, záloha v c:\Avenger\backup.zip s heslom infected.

Čistíme napadnutý počítač

Killbox
download
Killbox sa snaží ukončiť proces blokujúci prácu so súborom alebo využije funkciu PendingFileRenameOperations dostupnú vo Windows na vymazanie súboru pri bootovaní. Záloha sa ukladá do c:\!KillBox, log je v c:\!KillBox\Logs (skrytý)

Čistíme napadnutý počítač

1 - vloženie súborov
Súbory na vymazanie je možné vložit viacerými spôsobmi:
* napísať cestu k súboru
* vybrať súbor (ikona zložky)
* pretiahnúť súbor(y)/zložku na riadok s cestou
* skopírovať zoznam súborov zo schránky (File - Paste from Clipboard), v tomto prípade je vhodné mať zapnutú voľbu Options - Autoparse, vďaka čomu je možné skopírovať akýkoľvek text a Killbox z neho extrahuje cesty k súborom, napr. 0122C:\Windows\system32\Winlogon.exedhsewjbcjewcjcebc232 -> C:\Windows\system32\Winlogon.exe

2 - spôsob vymazania
* Standard File Kill - pokúsi sa ukončiť proces blokujúci súbor a vymazať ho
* Delete on Reboot - naplánuje vymazanie súboru(ov) po reštarte pri bootovaní
* Replace on Reboot - naplánuje nahradenie súboru(ov) definovaným alebo "dummy" súborom pri bootovaní

3 - pri spôsobe Delete/Replace on Reboot výber spracovania jednotlivo alebo hromadne
4 - potvrdenie vymazania

Unlocker
download
Unlocker poskytuje podobné funkcie ako Killbox vždy prístupné cez kontextové menu "Unlocker". Je vhodné mať ho preventívne nainštalovaný.


autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:46, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 16:01 | Čistíme napadnutý počítač

Process Explorer
download

Čistíme napadnutý počítač

Process Explorer je alternatíva Správcu úloh doplnená o mnohé funkcie umožňujúce analýzu podozrivých procesov. Hlavné okno je rozdelené na dve časti: stromové usporiadanie procesov naľavo a ich podrobný popis v stĺpcoch napravo. Voliteľné spodné okno zobrazuje knižnice použité daným procesom alebo handles ("popisovače") - "objekty", ktoré má proces otvorené - súbory, kľúče v registroch, TCP/UDP porty atď. Ak chceme vidieť všetky načítané ovládače, zobrazíme si knižnice spustené pod procesom System.

Proces - predstavuje spustený program, ktorý je súčasťou Windows alebo inej aplikácie preň určenej. Príklad: explorer.exe, nod32kui.exe.
Služba - osobitý typ aplikácie bežiaci v "pozadí", zabezpečujúci rôzne funkcie Windows alebo iných aplikácií. Spúšťa sa už pri boote nezávisle od prihlásenia užívateľa. Môže bežať vo vlastnom procese alebo ako knižnica v Svchost.exe. Príklad: spoolsv.exe, lsass.exe, Bluetooth Support Service.

Typy procesov sú farebne odlíšené:

zelená - nové, práve spustené procesy (čas trvania zvýraznenia sa dá nastaviť v Options - Difference Highlight Duration...)
červená - práve ukončené procesy
bledomodrá - procesy spustené pod rovnakým účtom (momentálne prihláseného používateľa) ako Process Explorer
ružová - služby
fialová - komprimované/šifrované procesy (typické pre malware, ale aj neškodné programy)
oranžová - procesy, ktoré sú súčasťou Win32 úlohy (job)
žltá - procesy .NET
šedá - pozastavené procesy

Základné funkcie

Užitočnú funkciu skrýva ikona terča, ktorú možno pretiahnuť ponad neznáme okno a zistiť, ktorému procesu patrí. Medzerníkom možno zobrazenie "zmraziť" a zachytiť tak krátko trvajúce procesy. Proces možno nielen ukončiť (Kill), ale aj pozastaviť (pravý klik na proces, Suspend). Takto možno pozastaviť proces s veľkou záťažou alebo ukončiť malware, ktorý by svoje procesy pri ukončení bez pozastavenia regeneroval. Cez kontextové menu alebo pomocou CTRL+M sa dá názov podozrivého procesu vyhľadať na Google.
Pri podržaní kurzora nad procesom sa zobrazí cesta k nemu, prípadne služby pod ním bežiace. Po dvojkliku na proces sa zobrazia podrobné informácie, kde nás zaujímajú najmä záložky:

Services, kde možno manipulovať so spustenými službami
Image, kde vidieť cestu k súboru aj parametre príkazového riadka a možno ich skopírovať. Ak je podozrivý proces (údajne) od Microsoftu, možno tu overiť jeho digitálny podpis (Verify).
TCP/IP - sieťové spojenia otvorené procesom
Strings - zobraziteľné reťazce v procese. Pokiaľ je komprimovaný, je potrebné prepnúť na obsah v pamäti (Memory). Pri podozrivom procese tu hľadáme http, www, irc, aby sme zistili, či sa nepripája na nejaké podozrivé adresy (pri trojanoch je časté diaľkové ovládanie cez irc).

Zoznam spustených procesov možno kedykoľvek uložiť do textového súboru cez menu File, Save As... (CTRL+A). Zoznam spustených služieb sa dá uložiť urobením screenshotu okna cez ALT+PrintScreen a vložením napríklad do Skicára.

Nastavenia
Do stĺpcov možno zobraziť množstvo údajov, my si zobrazíme dva užitočné údaje: použitú pamäť a príkazový riadok. Pravý klik na ktorýkoľvek stĺpec, vybrať Select columns. Tu v záložke Process Image vybrať Command Line a v záložke Process memory vybrať Working Set Size. Uchopením stĺpcov možno meniť ich poradie.
Process Explorer tiež môže nahradiť implicitného správcu úloh spúštaného s CTRL+ALT+DEL pomocou nastavenia Replace Task Manager v menu Options (príp. aj s Always On Top).

Niektoré znaky malware procesov:
* nemajú ikonu
* nemajú popis, ani výrobcu
* sú od Microsoftu, ale nedá sa overiť digitálny podpis
* systémové procesy v zložke inej ako \windows\system32
* sú komprimované
* v reťazcoch majú podozrivé adresy
* majú otvorené TCP/IP spojenia
* bežia pod nimi podozrivé (komprimované) knižnice alebo služby

Ak chcete vrátiť nastavenia do pôvodného stavu, skopírujte do poznámkového bloku: kód:
Kód:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]



uložte ako "peu.reg" (aj s úvodzovkami) a spustite.

Ak vás zaujíma pokročilejšie použitie tohoto a ďalších nástrojov od SysInternals pri odstraňovaní malwaru, pozrite si prednášku autora na Microsoft Technet Spotlight!

autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:46, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 16:02 | Čistíme napadnutý počítač

Ako si skontrolovať HijackThis log sám/sama?

Šikovný web http://www.hijackthis.de/cz Vám pomôže pri skontrolovaní výpisu z hijackThis.
Postup na skontrolovanie:
1. a) Log, ktorý chcete skontrolovať jednoducho skopírujte celý (CTRL+A; CTRL+V) do okna
1. b) Druhá možnosť je aj rovno vybrať súbor z PC
2. Kliknite na Analyzuj

Výsledky by ste mali už rozoznať sami :)

autor: J4N0


Naposledy upravil marzo dňa 18.12.2008 9:47, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 16:07 | Čistíme napadnutý počítač

Hromadne sa tu začali množiť žiadosti o kontrolu logu z HijackThis.
menší návod ako si aspon preventivne prečistiť pc od havete bez pomoci fora je tu:

1.
::klikneme na stránku http://www.hijackthis.de/cz

2.


Čistíme napadnutý počítač
Čistíme napadnutý počítač

do určeného poľa vložíme log, a klikneme na analyze

3.
Zobrazí sa nám výsledok logu.
Čistíme napadnutý počítačznamená že tento súbor je v poriadku
Čistíme napadnutý počítačznamená že tento súbor je firewall
Čistíme napadnutý počítačvo vecsine pripadov sa jedná o Antivirus, Antivirus nefixovat !!...pokail ide o vírus, fuxnúť.
Čistíme napadnutý počítačurčite fixnite
Čistíme napadnutý počítačtaktiež fixnite
Čistíme napadnutý počítačneznáma aplikácia....precitajte si to a pokial nepoznate ten program alebo proces, fixnut.


by qpkqkma @ 2008


autor: qpkqkma


Naposledy upravil marzo dňa 18.12.2008 9:48, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 16:09 | Čistíme napadnutý počítač

Druhý "automatický analyzátor". Upozorňujem však, že toto nie je 100% riešenie, databáza jednoducho nemôže obsiahnúť všetok známy malware a jeho varianty.

//Luks:smazány linky na jiná fora.

autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:48, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 16:09 | Čistíme napadnutý počítač

Ako som pisal, nieje to urcene vtedy, ked mate nejaky problem s pc, alebo pozorujete zmeny v rýchlosti. Návod je pre bežné použitie kedy máte aspon akú tu starostlivost o pc.

autor: qpkqkma


Naposledy upravil marzo dňa 18.12.2008 9:49, celkovo upravené 1

_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1366
Témy: 64 | 64
Bydlisko: Banská Byst...
Napísal autor témyOffline : 17.12.2008 16:11 | Čistíme napadnutý počítač

Dalsi automaticky analyzator najdete na LogAnal.eu.


Rozdiel je v tom, ze podporuje okrem HijackThis logov aj Ultimate Process Manager, ComboFix a dalsie.

autor: Kosak


_________________
Bezpodpisoid fórumový
 [ Príspevkov: 10 ] 


Čistíme napadnutý počítač



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Proces explorer.exe napadnuty...

v Antivíry a antispywary

7

1545

09.09.2008 23:03

Huron

V tomto fóre nie sú ďalšie neprečítané témy.

počítač

v PC zostavy

3

214

07.07.2015 9:33

Miso122

V tomto fóre nie sú ďalšie neprečítané témy.

Pocitac

v Ostatné

5

190

17.07.2012 16:42

KocuR

V tomto fóre nie sú ďalšie neprečítané témy.

Pocitac

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PC zostavy

36

1083

30.09.2011 17:53

Lozty

V tomto fóre nie sú ďalšie neprečítané témy.

Počítač

v PC zostavy

7

161

07.07.2013 20:59

werwest

V tomto fóre nie sú ďalšie neprečítané témy.

Počítač

v PC zostavy

21

888

26.11.2007 17:41

Mathys

V tomto fóre nie sú ďalšie neprečítané témy.

Pocitac

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PC zostavy

41

1748

07.10.2008 18:52

pukepulos

V tomto fóre nie sú ďalšie neprečítané témy.

I: Počítač

v Informujem sa

4

256

26.07.2011 13:42

dixi

V tomto fóre nie sú ďalšie neprečítané témy.

Herný počítač

v PC zostavy

1

160

05.08.2017 14:31

Toshibak

V tomto fóre nie sú ďalšie neprečítané témy.

počítač SM ..

v Kúpim

0

111

04.04.2014 14:37

simro

V tomto fóre nie sú ďalšie neprečítané témy.

Nestabilný počítač

v Benchmarky a diagnostické programy

11

4521

14.12.2008 16:22

chorche

V tomto fóre nie sú ďalšie neprečítané témy.

Kompetní počítač

v PC zostavy

11

414

04.11.2007 14:53

Fireblade46

V tomto fóre nie sú ďalšie neprečítané témy.

Herný Počítač

v PC zostavy

5

282

30.04.2013 0:20

Casseus

V tomto fóre nie sú ďalšie neprečítané témy.

Počítač - predám

v Predám

0

211

23.03.2014 14:26

tatko Tom

V tomto fóre nie sú ďalšie neprečítané témy.

Herný počítač

v PC zostavy

13

419

09.07.2012 1:19

EXIREXT

V tomto fóre nie sú ďalšie neprečítané témy.

Herný počítač

v PC zostavy

10

219

01.07.2014 18:00

largO.o



© 2005 - 2017 PCforum, edited by JanoF