Obsah fóra
PravidláRegistrovaťPrihlásenie




Odpovedať na tému [ Príspevkov: 10 ] 
AutorSpráva
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok NapísalOffline : 17.12.2008 15:24

Pred založením témy...

Predtým, ako založíte tému, vykonajte nasledovné kroky. Je možné, že problém tým odstránite bez potreby asistencie radcu.
  • Vypnite obnovu systému (pravý klik na Tento počítač, Vlastnosti, záložka Obnova systému (System Restore), vypnúť na všetkých diskoch)
  • Vypnite rezidentný štít vášho antivírusu a antispywaru
  • Odstráňte nepotrebné súbory s ATF Cleaner-om (mirror)
    • na hlavnej záložke označiť všetko (Select All) okrem Cookies, History, Prefetch a zvoliť Empty Selected
    • na záložke Firefox/Opera (ak používate) označit Cache a zvoliť Empty Selected
  • zapnite obnovu systému a aktualizujte operačný systém


autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:52, celkovo upravené 2






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 15:26

ComboFix - vytvorenie logu

  • Ukončite všetky spustené aplikácie, deaktivujte rezidentný štít antispywaru a antivírusu.
  • Combofix stiahnite z jedného z uvedených zdrojov a uložte na plochu: BleepingComputer.com, ForoSpyware.com, GeeksTogo.com.
  • Aplikáciu spustite pod účtom administrátora (ak máte všetky práva, tak pod vašim účtom).
  • Po štarte programu potvrďte licenčné podmienky.
  • Sken môže trvať až 10 minút. Počas skenu nespúštajte žiadne iné aplikácie a neklikajte na okno ComboFix-u.
  • Počítač môže byť pred dokončením reštartovaný.
  • Po dokončení skenu ComboFix zobrazí log (uložený v c:\combofix.txt). Skopírujte jeho obsah (CTRL+A, CTRL+C) a vložte (CTRL+V) do príspevku.
  • Po vyriešení problému spustite T-Cleaner na odstránenie zbytkov Combofix-u.

Spustenie skriptu:
Ak budete požiadaný o odstránenie malware cez ComboFix, skopírujte poslaný kód do poznámového bloku, uložte na ploche ako CFScript.txt a pretiahnite na ikonu Combofix-u.

Čistíme napadnutý počítač

autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:45, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 15:38

TrendMicro™ HijackThis™ - NÁVOD


1. Download: http://www.trendsecure.com/portal/en-US ... e=download

Na výber sú tri možnosti ---> samotný EXE súbor; archív ZIP; samorozbaľovací archív EXE. Pre vás je najjednoduchšie použiť prvú možnosť ---> EXE súbor. Súbor uložte do Vami zvoleného priečinka/složky.

2. Ako vytvoriť log:

Spustite program, potvrďte licenčné ujednanie a v hlavnom menu zvoľte možnosť ---> "Do a system scan and save a logfile".

Čistíme napadnutý počítač

Po chvíľke sa v priečinku, kde je uložený HijackThis vytvorí súbor hijackthis.log a Vám sa zobrazí jeho obsah. Obsah tohto súboru skopírujte do Vašeho threadu/témy.

3. Fixovanie položiek:

V poli označte potrebné položke, zvoľte "Fix checked", potvrďte a reštartujte počítač.

Čistíme napadnutý počítač

Autor Rbot.

Subory mozete oskenovat prostrednictvom online sluzby, ktora vyuziva jadra mnohych, najlepsich antivirov zo sveta. Uspesnost zachytenia viru je 99.999 percent :)

http://virusscan.jotti.org/
http://www.virustotal.com/

Subor staci uploadnut a pockat kym sa pretestuje. Ak je sluzba vytazena, pomaha stlacat F5 a refreshovat stranku dovtedy, kym sa uvolni slot pre testovanie. Happy testing :)

autor: Spirit


Naposledy upravil marzo dňa 18.12.2008 9:45, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 15:46

Jednoúčelové odstraňovače

Avenger
download
Avenger pracuje ako ovládač jadra, vďaka čomu môže ľahko vymazať akýkoľvek súbor, kľúč v registroch, či ovládač.
Skript poslaný radcom skopírujte a postupujte podľa obrázku. Počítač bude reštartovaný. Log je v c:\avenger.txt, záloha v c:\Avenger\backup.zip s heslom infected.

Čistíme napadnutý počítač

Killbox
download
Killbox sa snaží ukončiť proces blokujúci prácu so súborom alebo využije funkciu PendingFileRenameOperations dostupnú vo Windows na vymazanie súboru pri bootovaní. Záloha sa ukladá do c:\!KillBox, log je v c:\!KillBox\Logs (skrytý)

Čistíme napadnutý počítač

1 - vloženie súborov
Súbory na vymazanie je možné vložit viacerými spôsobmi:
* napísať cestu k súboru
* vybrať súbor (ikona zložky)
* pretiahnúť súbor(y)/zložku na riadok s cestou
* skopírovať zoznam súborov zo schránky (File - Paste from Clipboard), v tomto prípade je vhodné mať zapnutú voľbu Options - Autoparse, vďaka čomu je možné skopírovať akýkoľvek text a Killbox z neho extrahuje cesty k súborom, napr. 0122C:\Windows\system32\Winlogon.exedhsewjbcjewcjcebc232 -> C:\Windows\system32\Winlogon.exe

2 - spôsob vymazania
* Standard File Kill - pokúsi sa ukončiť proces blokujúci súbor a vymazať ho
* Delete on Reboot - naplánuje vymazanie súboru(ov) po reštarte pri bootovaní
* Replace on Reboot - naplánuje nahradenie súboru(ov) definovaným alebo "dummy" súborom pri bootovaní

3 - pri spôsobe Delete/Replace on Reboot výber spracovania jednotlivo alebo hromadne
4 - potvrdenie vymazania

Unlocker
download
Unlocker poskytuje podobné funkcie ako Killbox vždy prístupné cez kontextové menu "Unlocker". Je vhodné mať ho preventívne nainštalovaný.


autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:46, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 16:01

Process Explorer
download

Čistíme napadnutý počítač

Process Explorer je alternatíva Správcu úloh doplnená o mnohé funkcie umožňujúce analýzu podozrivých procesov. Hlavné okno je rozdelené na dve časti: stromové usporiadanie procesov naľavo a ich podrobný popis v stĺpcoch napravo. Voliteľné spodné okno zobrazuje knižnice použité daným procesom alebo handles ("popisovače") - "objekty", ktoré má proces otvorené - súbory, kľúče v registroch, TCP/UDP porty atď. Ak chceme vidieť všetky načítané ovládače, zobrazíme si knižnice spustené pod procesom System.

Proces - predstavuje spustený program, ktorý je súčasťou Windows alebo inej aplikácie preň určenej. Príklad: explorer.exe, nod32kui.exe.
Služba - osobitý typ aplikácie bežiaci v "pozadí", zabezpečujúci rôzne funkcie Windows alebo iných aplikácií. Spúšťa sa už pri boote nezávisle od prihlásenia užívateľa. Môže bežať vo vlastnom procese alebo ako knižnica v Svchost.exe. Príklad: spoolsv.exe, lsass.exe, Bluetooth Support Service.

Typy procesov sú farebne odlíšené:

zelená - nové, práve spustené procesy (čas trvania zvýraznenia sa dá nastaviť v Options - Difference Highlight Duration...)
červená - práve ukončené procesy
bledomodrá - procesy spustené pod rovnakým účtom (momentálne prihláseného používateľa) ako Process Explorer
ružová - služby
fialová - komprimované/šifrované procesy (typické pre malware, ale aj neškodné programy)
oranžová - procesy, ktoré sú súčasťou Win32 úlohy (job)
žltá - procesy .NET
šedá - pozastavené procesy

Základné funkcie

Užitočnú funkciu skrýva ikona terča, ktorú možno pretiahnuť ponad neznáme okno a zistiť, ktorému procesu patrí. Medzerníkom možno zobrazenie "zmraziť" a zachytiť tak krátko trvajúce procesy. Proces možno nielen ukončiť (Kill), ale aj pozastaviť (pravý klik na proces, Suspend). Takto možno pozastaviť proces s veľkou záťažou alebo ukončiť malware, ktorý by svoje procesy pri ukončení bez pozastavenia regeneroval. Cez kontextové menu alebo pomocou CTRL+M sa dá názov podozrivého procesu vyhľadať na Google.
Pri podržaní kurzora nad procesom sa zobrazí cesta k nemu, prípadne služby pod ním bežiace. Po dvojkliku na proces sa zobrazia podrobné informácie, kde nás zaujímajú najmä záložky:

Services, kde možno manipulovať so spustenými službami
Image, kde vidieť cestu k súboru aj parametre príkazového riadka a možno ich skopírovať. Ak je podozrivý proces (údajne) od Microsoftu, možno tu overiť jeho digitálny podpis (Verify).
TCP/IP - sieťové spojenia otvorené procesom
Strings - zobraziteľné reťazce v procese. Pokiaľ je komprimovaný, je potrebné prepnúť na obsah v pamäti (Memory). Pri podozrivom procese tu hľadáme http, www, irc, aby sme zistili, či sa nepripája na nejaké podozrivé adresy (pri trojanoch je časté diaľkové ovládanie cez irc).

Zoznam spustených procesov možno kedykoľvek uložiť do textového súboru cez menu File, Save As... (CTRL+A). Zoznam spustených služieb sa dá uložiť urobením screenshotu okna cez ALT+PrintScreen a vložením napríklad do Skicára.

Nastavenia
Do stĺpcov možno zobraziť množstvo údajov, my si zobrazíme dva užitočné údaje: použitú pamäť a príkazový riadok. Pravý klik na ktorýkoľvek stĺpec, vybrať Select columns. Tu v záložke Process Image vybrať Command Line a v záložke Process memory vybrať Working Set Size. Uchopením stĺpcov možno meniť ich poradie.
Process Explorer tiež môže nahradiť implicitného správcu úloh spúštaného s CTRL+ALT+DEL pomocou nastavenia Replace Task Manager v menu Options (príp. aj s Always On Top).

Niektoré znaky malware procesov:
* nemajú ikonu
* nemajú popis, ani výrobcu
* sú od Microsoftu, ale nedá sa overiť digitálny podpis
* systémové procesy v zložke inej ako \windows\system32
* sú komprimované
* v reťazcoch majú podozrivé adresy
* majú otvorené TCP/IP spojenia
* bežia pod nimi podozrivé (komprimované) knižnice alebo služby

Ak chcete vrátiť nastavenia do pôvodného stavu, skopírujte do poznámkového bloku: kód:
Kód:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]



uložte ako "peu.reg" (aj s úvodzovkami) a spustite.

Ak vás zaujíma pokročilejšie použitie tohoto a ďalších nástrojov od SysInternals pri odstraňovaní malwaru, pozrite si prednášku autora na Microsoft Technet Spotlight!

autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:46, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 16:02

Ako si skontrolovať HijackThis log sám/sama?

Šikovný web http://www.hijackthis.de/cz Vám pomôže pri skontrolovaní výpisu z hijackThis.
Postup na skontrolovanie:
1. a) Log, ktorý chcete skontrolovať jednoducho skopírujte celý (CTRL+A; CTRL+V) do okna
1. b) Druhá možnosť je aj rovno vybrať súbor z PC
2. Kliknite na Analyzuj

Výsledky by ste mali už rozoznať sami :)

autor: J4N0


Naposledy upravil marzo dňa 18.12.2008 9:47, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 16:07

Hromadne sa tu začali množiť žiadosti o kontrolu logu z HijackThis.
menší návod ako si aspon preventivne prečistiť pc od havete bez pomoci fora je tu:

1.
::klikneme na stránku http://www.hijackthis.de/cz

2.


Čistíme napadnutý počítač
Čistíme napadnutý počítač

do určeného poľa vložíme log, a klikneme na analyze

3.
Zobrazí sa nám výsledok logu.
Čistíme napadnutý počítačznamená že tento súbor je v poriadku
Čistíme napadnutý počítačznamená že tento súbor je firewall
Čistíme napadnutý počítačvo vecsine pripadov sa jedná o Antivirus, Antivirus nefixovat !!...pokail ide o vírus, fuxnúť.
Čistíme napadnutý počítačurčite fixnite
Čistíme napadnutý počítačtaktiež fixnite
Čistíme napadnutý počítačneznáma aplikácia....precitajte si to a pokial nepoznate ten program alebo proces, fixnut.


by qpkqkma @ 2008


autor: qpkqkma


Naposledy upravil marzo dňa 18.12.2008 9:48, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 16:09

Druhý "automatický analyzátor". Upozorňujem však, že toto nie je 100% riešenie, databáza jednoducho nemôže obsiahnúť všetok známy malware a jeho varianty.

//Luks:smazány linky na jiná fora.

autor: br4n0


Naposledy upravil marzo dňa 18.12.2008 9:48, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 16:09

Ako som pisal, nieje to urcene vtedy, ked mate nejaky problem s pc, alebo pozorujete zmeny v rýchlosti. Návod je pre bežné použitie kedy máte aspon akú tu starostlivost o pc.

autor: qpkqkma


Naposledy upravil marzo dňa 18.12.2008 9:49, celkovo upravené 1






_________________
Bezpodpisoid fórumový
Offline

Čestný člen
Čestný člen
Čistíme napadnutý počítač

Registrovaný: 10.11.05
Príspevky: 1342
Témy: 67
Bydlisko: Banská Byst...
Príspevok Napísal autor témyOffline : 17.12.2008 16:11

Dalsi automaticky analyzator najdete na LogAnal.eu.


Rozdiel je v tom, ze podporuje okrem HijackThis logov aj Ultimate Process Manager, ComboFix a dalsie.

autor: Kosak







_________________
Bezpodpisoid fórumový
Odpovedať na tému [ Príspevkov: 10 ] 


Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy. Napadnuty eshop

v Ostatné

4

225

29.11.2023 19:09

eMp Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Proces explorer.exe napadnuty...

v Antivíry a antispywary

7

1843

09.09.2008 23:03

Huron Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Pocitac

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PC zostavy

36

1778

30.09.2011 17:53

Lozty Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Pocitac

v Ostatné

5

406

17.07.2012 16:42

KocuR Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Počítač

v PC zostavy

7

423

07.07.2013 20:59

werwest Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Počítač

v PC zostavy

21

1287

26.11.2007 17:41

Mathys Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Pocitac

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PC zostavy

41

2212

07.10.2008 18:52

pukepulos Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. počítač

v PC zostavy

3

558

07.07.2015 9:33

Miso122 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Herný počítač

v PC zostavy

0

473

28.11.2022 16:02

sluggish Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Zamrzající počítač

v Intel - Integrated Electronics

5

979

17.12.2005 20:38

manek Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. novy pocitac

v PC zostavy

11

630

12.08.2009 21:33

nebster381 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Herný počíťač

v PC zostavy

13

868

16.09.2022 19:14

Jakub1411 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Spomalený počitač

v Operačné systémy Microsoft

8

682

04.08.2011 13:59

stano9696 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. pomaly pocitac

v Operačné systémy Microsoft

1

533

27.05.2008 22:07

tinozv Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. I: Počítač

v Informujem sa

6

521

09.09.2012 14:45

Demik Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Tento počítač

v Operačné systémy Microsoft

2

265

25.01.2015 18:19

12mato45 Zobrazenie posledných príspevkov


Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre

Skočiť na:  

Powered by phpBB Jarvis © 2005 - 2024 PCforum, webhosting by WebSupport, secured by GeoTrust, edited by JanoF
Ako väčšina webových stránok aj my používame cookies. Zotrvaním na webovej stránke súhlasíte, že ich môžeme používať.
Všeobecné podmienky, spracovanie osobných údajov a pravidlá fóra