picasso Opublikowano 25 Maja 2010 Zgłoś Udostępnij Opublikowano 25 Maja 2010 Ogólne narzędzia do operacji na MBR ESET Hidden File System Reader (2013) MBRWizard CLI Freeware (2011) Sysint MBRFix (2009) Bootkity - Infekcje w MBR aswMBR (2014, strona główna kieruje obecnie do pobierania Avast Free Antivirus, choć link bezpośredni nadal czynny) Bitdefender Bootkit Removal Tool (funkcjonalność wbudowana do Bitdefender Rootkit Remover) Bitdefender Rootkit Remover (narzędzie nierozwijane, jego funkcjonalność została zintegrowana w Rescue Mode) eSage Lab Bootkit Remover (narzędzie nierozwijane i usunięte, martwa strona) HelpAssistant/Mebroot check + HelpAssistant/Mebroot fix (2010, pobieranie nieczynne) Mebroot Fixtool (2008, usunięty) MBR rootkit detector (usunięty, zastąpiły go bardziej rozbudowane aswMBR i GMER, które również nie są już rozwijane) MBRCheck (nierozwijany, zastępują go bardziej rozbudowane aswMBR i GMER, które również nie są już rozwijane) Webroot Anti-Popureb Tool (2011) Rootkit TDSS/TDL/Olmarik - Klony MaxSS/SST/Olmasco Bitdefender Rootkit.MBR.TDSS Removal Tool (funkcjonalność wbudowana do Bitdefender Rootkit Remover) Bitdefender TDL4/Pihar/MAXSS Removal Tool (funkcjonalność wbudowana do Bitdefender Rootkit Remover) eSage Lab TDSS remover (narzędzie nierozwijane i usunięte, martwa strona) ESET OlmarikTDL4 / Olmasco Cleaner Norman TDSS Cleaner (2010, niedostępny - marka Norman przejęta przez AVG) Symantec Backdoor.Tidserv Removal Tool (2012) Rootkit Max++/ZeroAccess/Sirefef (zamknięty botnet) AVG Win32/ZeroAccess Remover (2013) BitDefender ZeroAccess Removal Tool (2012, niedostępny) ESET Sirfef Cleaner tool (2014) Panda Yorkyt.exe tool (niedostępny, zastąpiony przez ogólny Panda Cloud Cleaner) Trojan.Zeroaccess Removal Tool (2012) Webroot AntiZeroAccess (2011) Rootkit Necurs ESET Necurs Remover (2014) Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2010 Infekcje w MBR dysków (hasła powiązane: Stoned Bootkit / Whistler Bootkit / Black Internet) MBRCheck Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit i 64-bit Pobierz Pobierz Program od lat nierozwijany. Pod kątem funkcyjnym zastąpiły go nowsze produkcje Gmer. Obecnie żaden z programów Gmera (GMER, aswMBR) nie jest rozwijany i nie ma wsparcia dla najnowszych wersji Windows 10. Uzupełnienie do wątków infekcji w MBR adresujące przypadki typu Whistler Bootkit. MBRCheck to narzędzie trybu user mode dedykowane detekcji i usuwaniu bootkitów, czyli rootkitów wykorzystujących obszar startowy MBR. MBRCheck to wariacja nierozwijanego już eSage Lab Bookit Remover. Jest unowocześniony, podaje lepsze informacje (typuje rodzaj infekcji), a prowadzenie naprawy jest rozplanowane na interakcję z użytkownikiem. Narzędzie także podaje informacje OEM i kilka innych szczegółów (np. przeliczenie hashu pierwszych bajtów MBR). Narzędzie jest typem konsolowym, tzn. jest obsługiwane z wiersza poleceń. OBSŁUGA PROGRAMU: Pobrany plik uruchamiamy przez dwuklik. Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Zostanie otworzone okno konsolowe: Tworzenie raportu W oknie wiersza poleceń automatycznie pojawią się wyniki skanowania, formatowane w podobny sposób jak w narzędziu Bootkit Remover, z wyjątkiem rozszerzonych informacji OEM oraz innej treści w statusach: MBRCheck, version 1.2.3 © 2010, AD Command-line: Windows Version: Windows 7 Ultimate Edition Windows Information: (build 7600), 32-bit Base Board Manufacturer: ASUSTeK Computer INC. BIOS Manufacturer: American Megatrends Inc. System Manufacturer: System manufacturer System Product Name: P5Q-E Logical Drives Mask: 0x0000003c \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000019`00200000 (NTFS) \\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000 (NTFS) Size Device Name MBR Status -------------------------------------------- 596 GB \\.\PhysicalDrive0__Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 596 GB \\.\PhysicalDrive1__Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! Press ENTER to exit... Narzędzie, niezależnie skąd uruchomione, samoistnie tworzy na Pulpicie korespondujący plik tekstowego raportu z datowaniem w nazwie. Zawartość tego pliku należy przekleić do posta na forum. Dla każdego z namierzonych dysków może się pokazać następujący stan: Size Device Name MBR Status -------------------------------------------- 40 GB \\.\PhysicalDrive0 Windows (wersja) MBR code detected Size Device Name MBR Status -------------------------------------------- 40 GB \\.\PhysicalDrive0 Unknown MBR code Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Size Device Name MBR Status -------------------------------------------- 596 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)! 596 GB \\.\PhysicalDrive1 MBR Code Faked! Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Jeśli na forum prosimy o "log z MBRCheck", to oznacza dokładnie tylko to. Nie podejmujcie naprawy na własną rękę. Przejście do dalszych czynności naprawczych zapada na podstawie oceny dostarczonego raportu. Dezynfekcja W przypadku gdy wyniki są inne niż standardowe, narzędzie uaktywnia podopcje, które prowadzą do specyficznych operacji. By dostać się do modułu usuwania należy wklepać z klawiatury Y i ENTER: Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Y Pokażą się trzy opcje wyboru. Pierwsza ma charakter analityczny dla zaawansowanych (zrzut kodu MBR). Druga to właściwa naprawa MBR. Trzecia zakańcza działanie narzędzia. Z klawiatury należy wpisań liczbę 2 i ENTER: Options: [1] Dump the MBR of a physical disk to file [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter Your choice: 2 Pojawi się prośba o wpisanie numeru dysku fizycznego (liczby z zakresu 0 do 99) do naprawy lub ewentualne anulowanie działania przez wpisanie -1. Numer dysku fizycznego jest pobierany z ciągu \\.\PhysicalDriveX, czyli przykładowo dla \\.\PhysicalDrive0 wpisujemy 0 i ENTER: Enter the physical disk number to fix (0-99, -1 to cancel): 0 Narzędzie poda listę kodów odpowiadających sygnaturom poszczególnych systemów operacyjnych i poprosi o dokonanie wyboru. Należy wpisać z klawiatury tę liczbę, która pasuje do naszej wersji systemu, np. dla Windows 7 będzie to 5 i ENTER: Available MBR codes: [ 0] Default (Windows XP) [ 1] XP [ 2] Server 2003 [ 3] Vista [ 4] 2008 [ 5] 7 [ 1] Cancel Please select the MBR code to write to this drive: 5 Zgłosi się ostateczne zatwierdzanie operacji nadpisania MBR, wykonywane przez wpisanie YES i ENTER: Do You want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES Otrzymamy komunikat o przepisaniu MBR, prośbę o restart systemu w celu ukończenia operacji i zamknięcie aktualnie otwartego okna przez ENTER z klawiatury: Successfully wrote new MBR code! Please reboot your computer to complete the fix. Done! Press ENTER to exit... Restartujemy komputer. Po restarcie uruchamiamy ponownie narzędzie, po pomyślnej naprawie wynik powinien być zgodny z sygnaturą systemową: Size Device Name MBR Status -------------------------------------------- 40 GB \\.\PhysicalDrive0 Windows 7 MBR code detected PROCEDURY ALTERNATYWNE: Jeśli zawiedzie czyszczenie przy użyciu tego narzędzia, odpowiednikiem jest skorzystanie ze środowisk zewnętrznych: Windows XP/2003: FIXMBR z Konsoli Odzyskiwania Tutorial: Opis startu do Konsoli Odzyskiwania i pobieranie gotowej płyty Windows Vista/2008/7: BOOTREC /FIXMBR z Dysku Odzyskiwania WinRE Tutorial: Opis startu do środowiska WinRE i pobieranie gotowej płyty Funkcje aktualizacji kodu MBR są także wbudowane do rozwiązań producentów trzecich np. płyty: Paragon Rescue Kit Free, TestDisk Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2010 Infekcja w MBR dysków (hasła powiązane: Mebroot / Sinowal / MaosBoot / Torpig / TDL4) MBR rootkit detector Strona domowa Platforma: Windows 2000, XP, Vista, Windows 7 Pobierz Narzędzie zastąpione przez aswMBR, w późniejszym czasie także usunięte (poniżej kolejny opis). Obecnie żaden z programów Gmera (GMER, aswMBR) nie jest rozwijany i nie ma wsparcia dla najnowszych wersji Windows 10. Program autorstwa Gmera do sprawdzania i czyszczenia z rootkitów obszaru Master Boot Record (MBR) dysku twardego. Od wersji 0.4.2 jest w stanie wykonać detekcję rootkita TDL4. MBR.EXE jest także integrowany w innych specjalistycznych narzędziach (ComboFix, DDS). TWORZENIE RAPORTU: 1. Narzędzie pobieramy z linka i zapisujemy w katalogu głównym dysku C. Vista/7: wymagane przejście przez proces UAC (C jest lokalizacją domyślnie zabezpieczoną). 2. Uruchamiamy z dwukliku, by dostać log aktualnego stanu MBR. Vista/7: tryb Uruchom jako Administrator. Uruchomi się na chwilę konsolowe okno. 3. Okno cmd samoczynnie się zamknie, a wynikową jest wygenerowany w tym samym katalogu, z którego startowano narzędzie, plik tekstowy mbr.log. DEZYNFEKCJA: Narzędzie MBR.EXE jest obsługiwane z linii poleceń. Jeśli infekcja zostanie wykryta, log będzie mieć postać podobną do tej (+ ze wskazówką użycia komendy naprawczej): Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, "http://www.gmer.net" Windows 6.0.6002 Disk: ST350082 rev.SD1A -> Harddisk0\DR0 -> \Device\00000059 device: opened successfully user: MBR read successfully Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85858446]<< _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8585e504]; MOV EAX, [0x8585e580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; } 1 ntkrnlpa!IofCallDriver[0x81E46962] -> \Device\Harddisk0\DR0[0x857B0308] 3 CLASSPNP[0x881A18B3] -> ntkrnlpa!IofCallDriver[0x81E46962] -> [0x852F2F08] 5 acpi[0x824106BC] -> ntkrnlpa!IofCallDriver[0x81E46962] -> [0x852EFC90] \Driver\nvstor32[0x8583FC68] -> IRP_MJ_CREATE -> 0x85858446 kernel: MBR read successfully _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; } detected disk devices: \Device\00000058 -> \??\SCSI#Disk&Ven_ST350082&Prod_0AS#4&3840d2d&0&000000#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found detected hooks: \Driver\atapi -> 0x84e1f1f8 user != kernel MBR !!! Warning: possible TDL4 rootkit infection ! TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix. Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x88b8ecb8 NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330 Warning: possible MBR rootkit infection ! copy of MBR has been found in sector 0x04A891C1 malicious code @ sector 0x04A891C4 ! PE file found in sector at 0x04A891DA ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. 1. W celu wykonania czyszczenia MBR należy zastartować do trybu awaryjnego z obsługą wiersza polecenia. Tutorial: Opis startu do Trybu awaryjnego (Safe Mode) W linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER. C:\Documents and settings\Administrator>C:\mbr.exe -f 2. Restartujemy komputer już normalnie. Uruchamiamy narzędzie mbr.exe ponownie z dwukliku, by uzyskać kolejny log potwierdzający naprawę. ----> Jeśli była ona pomyślna, log będzie mieć postać: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x04A891C1 malicious code @ sector 0x04A891C4 ! PE file found in sector at 0x04A891DA ! ----> Jeśli proces zawiedzie, log może przybrać postać: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x88b8ecb8 NDIS: Dynex Enhanced G Desktop Card -> SendCompleteHandler -> 0x884ac330 Warning: possible MBR rootkit infection ! user & kernel MBR OK copy of MBR has been found in sector 0x04A891C1 malicious code @ sector 0x04A891C4 ! PE file found in sector at 0x04A891DA ! Use "Recovery Console" command "fixmbr" to clear infection ! PROCEDURY ALTERNATYWNE: Jeśli zawiedzie czyszczenie przy użyciu MBR.EXE, odpowiednikiem jest skorzystanie ze środowisk zewnętrznych: Windows 2000/XP/2003: FIXMBR z Konsoli Odzyskiwania Tutorial: Opis startu do Konsoli Odzyskiwania i pobieranie gotowej płyty Windows Vista/2008/7: BOOTREC /FIXMBR z Dysku Odzyskiwania WinRE Tutorial: Opis startu do środowiska WinRE i pobieranie gotowej płyty Funkcje aktualizacji kodu MBR są także wbudowane do rozwiązań producentów trzecich np. płyty: Paragon Rescue Kit Free, TestDisk. Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2011 Webroot AntiZeroAccess Strona opisowa na blogu Webroot Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit Pobierz Narzędzie przeterminowane. Wykrywa tylko stary wariant infekcji (infekcja w sterownikach). Obecnie botnet ZeroAccess i tak zamknięty. Narzędzie Webroot dedykowane usuwaniu głównych komponentów rootkita określonego aliasami ZeroAccess lub Max++ (jego aktywność Microsoft Security Essentials może wychwytywać pod nazwą "Sirefef"). Skrótowa charakterystyka: zaawansowane techniki hookowania / intercepcji systemowego sterownika disk.sys, infekcja losowych sterowników systemowych, przekierowania przy udziale linków symbolicznych kierujących na ścieżki falsyfikaty oraz manipulacje w Winsock. Jednym z widocznych znaków działania tej infekcji w omawianej tu wersji jest całkowity nokaut oprogramowania zabezpieczającego i narzędzi analizy - po uruchomieniu narzędzia są nagle zamykane, a próba ich ponownego uruchomienia zwraca już komunikat braku dostępu (rootkit przekształca cały zestaw uprawnień). Infekcja ta jest zdolna także atakować systemy 64-bit, aczkolwiek ze względu na inną konstrukcję platformy komponent rootkit nie występuje i jest używana nieco inna metoda ładowania. Opis działania tej infekcji na systemie 64-bit jest zlokalizowany w tym artykule: MAX++ sets its sights on x64 platforms. Przykład infekcji 64-bit z forum: Win32:Malware-gen. Narzędzie Webroot jest przeznaczone tylko dla systemów 32-bit, próba uruchomienia na systemie 64-bit zwraca komunikat o braku wsparcia dla tej platformy. OBSŁUGA NARZĘDZIA: Uwaga: narzędzie nie usuwa wszystkich skutków tej infekcji. Pozostają zdefektowane uprawnienia, link symboliczny i komponenty poboczne. Narzędzie uruchamiamy przez dwuklik. Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Pojawi się konsolowe okno interakcyjne z pytaniem czy rozpocząć skanowanie: Webroot ZeroAccess Remover Copyright© 2011 Webroot www.webroot.com This program will scan and remove any form of ZeroAccess Rootkit. Would you like to perform a System Scan? [Y/N] Należy z klawiatury wpisać Y i ENTER. W oknie będzie notowany progres skanowania, a elementy wykryte jako zainfekowane zostaną stosownie wyróżnione kolorem. Narzędzie oczekuje wciśnięcia jakiegokolwiek klawisza w celu przeprowadzenia dalszej analizy. Webroot ZeroAccess Remover Copyright© 2011 Webroot www.webroot.com This program will scan and remove any form of ZeroAccess Rootkit. Would you like to perform a System Scan? [Y/N] Y Check rootkit device: Found! System Disk class driver state: Infected! Current analysis path: C:\Windows\system32\Drivers\ Check file "1313000667.sys"... Clean! (...) Check file "tdx.sys"... Infected! (...) Check file "WUDFRd.sys"... Clean! Press any key to analyze results... Dostosowanie się do prośby przez wciśnięcie jakiegokolwiek klawisza zwróci kolejny ekran z zestawieniem elementów infekcji i pytaniem czy rozpocząć dezynfekcję: |-------------------------------------------------------------------| | WARNING! Your system is Infected!! | |-------------------------------------------------------------------| List of infected files: tdx.sys Your pc is infected. Would you like to perform system cleanup? [Y/N] Wpisanie z klawiatury Y i ENTER rozpoczyna czyszczenie, z podsumowaniem rezultatów oraz finałową prośbą o zamknięcie narzędzia i restart komputera w celu ukończenia procesu odładowania malware. |-------------------------------------------------------------------| | WARNING! Your system is Infected!! | |-------------------------------------------------------------------| List of infected files: tdx.sys Your pc is infected. Would you like to perform system cleanup? [Y/N] Y Disk class driver new state: Cleaned! File "tdx.sys" new state: Cleaned! Rootkit self defense driver... Not found! ZeroAccess rootkit has been succesfully removed from the system! Note: Please restart your system because some part of the infection could still be active... Execution ended. Press any key to exit... Po restarcie ponowne uruchomienie narzędzia powinno zwrócić takie oto wyniki: Copyright© 2011 Webroot www.webroot.com This program will scan and remove any form of ZeroAccess Rootkit. Would you like to perform a System Scan? [Y/N] Y Check rootkit device: Not found! System Disk class driver state: OK Current analysis path: C:\Windows\system32\Drivers\ Check file "1313000667.sys"... Clean! (...) Check file "tdx.sys"... Clean! (...) Check file "WUDFRd.sys"... Clean! Your system is not infected by ZeroAccess/Max++ Rootkit! Execution ended. Press any key to exit... Narzędzie generuje log tekstowy AntiZeroAccess_Log.txt, zlokalizowany w tym samym katalogu z którego uruchamiano narzędzie. Przykładowy wygląd raportu: Webroot AntiZeroAccess 0.8 Log File Execution time: 10/08/2011 - 11:11 Host operation System: Windows Seven X86 version 6.1.7600 11:12:31 - CheckSystem - Begin to check system... 11:12:31 - OpenRootDrive - Opening system root volume and physical drive.... 11:12:31 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x04FFF000 sectors. 11:12:31 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys". 11:12:31 - InstallAndStartDriver - Main driver was installed and now is running. 11:12:31 - CheckSystem - Warning! Disk class driver is INFECTED. 11:12:31 - CheckFile - Access Denied while reading "1313000667.sys" file. Now I try to take ownership of this file... 11:12:31 - CheckFile - Successfully obtained ownership of file 1313000667.sys. 11:12:38 - CheckFile - Warning! File "tdx.sys" is Infected by ZeroAccess Rootkit. 11:14:37 - DoRepair - Begin to perform system repair.... 11:14:37 - DoRepair - System Disk class driver was repaired. 11:14:37 - DoRepair - Infected "tdx.sys" file was renamed. 11:14:37 - DoRepair - Infected "tdx.sys" file was successfully cleaned! 11:14:37 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 11:14:37 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 11:14:37 - Execution Ended! Jest wymagane dalsze czyszczenie systemu, ze względu na niekompletną procedurę. Odnośnik do komentarza
picasso Opublikowano 8 Października 2011 Autor Zgłoś Udostępnij Opublikowano 8 Października 2011 ESET Sirefef Cleaner tool Artykuł opisowy w bazie technicznej ESET Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit Nowsza wersja "ESET Sirefef Cleaner": Pobierz Stara wersja "ESET Sirefef Remover": Pobierz Poniższy opis pochodzi ze starszej wersji narzędzia. Narzędzia ogólnie przeterminowane. Obecnie botnet ZeroAccess i tak zamknięty. Narzędzie od ESET dedykowane pladze rootkit ZeroAccess (ESET wykorzystuje alias "Sirefef", podobnie jak MS Essentials). Remover działa półautomatycznie, oczekiwana minimalna interwencja ze strony użytkownika, tzn. zatwierdzanie komunikatów. Podstawowym zadaniem jest usunięcie czynnych komponentów rootkit, w dalszej kolejności należy wykonać już tradycyjny skan antywirusowy oraz inne poprawki. OBSŁUGA NARZĘDZIA ESET Sirefef Remover (stara wersja): Uwaga: narzędzie nie usuwa wszystkich skutków tej infekcji. Pozostają zdefektowane uprawnienia, link symboliczny i komponenty poboczne. Narzędzie uruchamiamy przez dwuklik. Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Aplikacja otwiera się w oknie konsolowym i jest inicjowany skan pod kątem różnych wariantów trojana Sirefef. ESET Win32/Sirefef Trojan remover v1.0.1.0 (Oct 4 2011 16:58:52) Copyright © ESET, spol. s r.o. 1992-2011. All rights reserved. Usage: "cleaner.exe " Options: -autoclean - start auto cleaning without prompts -reboot - reboot machine after successful cleaning Driver successfully initialized. Win32/Sirefef.A not found on your computer. Checking for latest variant of Sirefef aka "ZeroAccess" Przy wykryciu infekcji ZeroAccess okno prezentuje zainfekowane komponenty i wyskakuje pop-up z pytaniem czy podjąć się leczenia zainfekowanego sterownika systemowego: Checking for latest variant of Sirefef aka "ZeroAccess" Hidden file: afd.sys Po zatwierdzeniu w oknie zostanie odnotowany status, pomyślnie wyczyszczenie jest oznajmiane kolejnym pop-upem: Checking for latest variant of Sirefef aka "ZeroAccess" Hidden file: afd.sys File was successfully disinfected C:\Windows\system32\Drivers\afd.sys Jest wymagany restart komputera, w celu ukończenia procesu: Checking for latest variant of Sirefef aka "ZeroAccess" Hidden file: afd.sys File was successfully disinfected C:\Windows\system32\Drivers\afd.sys Zatwierdzenie informacji prowokuje automatyczny restart. Brak logów tekstowych z operacji. Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 ESET Necurs Remover Artykuł opisowy w bazie technicznej ESET Platforma: Windows XP, Windows 2003, Vista, Windows 2008, Windows 7 32-bit i 64-bit Pobierz Poniższy opis pochodzi ze starszej wersji narzędzia. Obecnie jest inny konsolowy interfejs. Zaś rootkit Necurs jako taki jest rzadko już (o ile w ogóle) spotykany. Narzędzie od ESET specjalizowane w usuwaniu rootkita Necurs. Rootkit cechuje się implementacją cyfrowego losowego sterownika i zablokowaniem sporej części standardowych prawidłowych sterowników, co ma odbicie m.in. w niemożności uruchomienia określonych skanerów antywirusowych / antyrootkit. Przykład z uruchamiania TDSSKiller (pomimo jednak tego błędu akurat to szczególne narzędzie jest zdolne się uruchomić, wykonać skan i nawet poradzić sobie ze sterownikiem rootkit): Rootkit jest zdolny atakować systemy 64-bit (info), sterownik jest możliwy do osadzenia ze względu na wykonywaną przez infekcję edycję pliku startowego BCD, na którym zostaje wdrożona komenda włączenia ładowania sterowników podpisanych testowo. Z forum: przykład z systemu 32-bit / przykład z systemu 64-bit. Narzędzie ESET dedykuje infekcję w obu wydaniach, 32-bit i 64-bit. OBSŁUGA NARZĘDZIA: Pobraną paczkę rozpakowujemy, ze środka uruchamiamy plik ESETNecursRemover.exe przez dwuklik: Aktualizacja: teraz narzędzie nie jest w ZIP tylko EXE. Czyli od razu plik uruchamiany przez dwuklik. Vista/7: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Aplikacja otwiera się w oknie konsolowym i jest inicjowany skan na obecność rootkita Necurs. W przypadku braku wykrycia okno się samoczynnie zamknie. W przypadku wykrycia infekcji zgłosi się taki oto dialog z pytaniem o wszczęcie procedury usuwania: ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright © ESET, spol. s r.o. 1992-2011. All rights reserved. Usage: "cleaner.exe " Options: -autoclean - start auto cleaning without prompts -reboot - reboot machine after successful cleaning Win32/Necurs was found active on your system. Do you want to perform cleaning? Zatwierdzenie czyszczenia zgłasza kolejny dialog o konieczności instalacji przez ESET jego sterownika wymaganego do przeprowadzenia procedury: ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright © ESET, spol. s r.o. 1992-2011. All rights reserved. Usage: "cleaner.exe " Options: -autoclean - start auto cleaning without prompts -reboot - reboot machine after successful cleaning Win32/Necurs was found active on your system. Do you want to perform cleaning? Po zatwierdzeniu kolejny dialog notujący pomyślne zainstalowanie sterownika ESET i prośba o reset: ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright © ESET, spol. s r.o. 1992-2011. All rights reserved. Usage: "cleaner.exe " Options: -autoclean - start auto cleaning without prompts -reboot - reboot machine after successful cleaning Win32/Necurs was found active on your system. Do you want to perform cleaning? Driver installed successfully, restart now?. Zatwierdzenie prowokuje automatyczny restart. Po restarcie przy bootowaniu przed załadowaniem Pulpitu zgłosi się komunikat ESET poświadczający zablokowanie sterownika Necurs umożliwiające już pracę narzędzi antywirusowych: ESET Win32/Necurs Trojan remover v1.0.0.0 (Aug 4 2011 15:07:32) Copyright © ESET, spol. s r.o. 1992-2011. All rights reserved. Usage: "cleaner.exe " Options: -autoclean - start auto cleaning without prompts -reboot - reboot machine after successful cleaning Rootkit Win32/Necurs has been blocked and not running anymore. 24bb382025920c78 service was disabled. Załaduje się Pulpit. Na systemie 64-bit na Pulpicie pojawi się znak wodny Trybu testowego (uprzednio niewidzialny ze względu na ingerencję rootkit): Dalsze działania na podstawie instrukcji udzielonych każdemu indywidualnie będą polegać na wyłączeniu trybu testowego oraz doczyszczeniu składników Necurs (już nieaktywnych). Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 aswMBR Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Program nieaktualizowany od 2014 i ostatecznie zlikwidowany przez Avast. Obecnie w/w strona domowa kieruje do Free Rootkit Scanner and Removal Tool, czyli pobierania Avast Free Antivirus. aswMBR można nadal ściągnąć z przycisku widocznego powyżej, ale nie wiadomo jak długo narzędzie będzie dostępne. aswMBR - Narzędzie od Gmera, stworzone dla ekipy Avast, dedykowane detekcji rootkitów MBR, VBR oraz infekcji sterowników (pierwotnie orientacja tylko na stare warianty TDL3/TDL4). Narzędzie jest prostsze obsługowo niż pierwowzór czyli konsolowy MBR.EXE i go zastępuje (MBR.EXE nie jest rozwijany i został usunięty z oficjalnej strony GMER), gdyż polecenia zostały przeobrażone w buttoniki. Do bardziej kompleksowego skanu zalecam jednak TDSSKiller i/lub MBAR linkowane w zbiorze narzędzi usuwających. INSTRUKCJA URUCHOMIENIA: Uruchamiamy pobrany plik przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Jeśli komputer obsługuje technologię wirtualizacji sprzętowej, zostanie zadane pytanie czy wykorzystać ją w skanie: Następnie padnie propozycja ściągania definicji Avast wspomagających skanowanie. Jest to krok opcjonalny i nie wymagany, by przeprowadzić skan zasadniczy. Opcje Dostępne operacje: Scan - Skanowanie w trybie tylko do odczytu FixMBR - Usuwanie infekcji w MBR Fix - usuwanie infekcji TDL4 Save log - Zapis raportu tekstowego (równocześnie i zrzucanie MBR do pliku) Trace disk IO calls - Dodatkowe śledzenie zapytań IO dysku Ponadto pliki wykryte jako "podejrzane" można skopiować spod narzędzia w celu analizy np. na VirusTotal. Skanowanie Rozpoczynamy diagnostykę przyciskiem Scan. W oknie pojawią się wyniki. Jeśli aswMBR wykryje konkretną infekcję, wynik jest stosownie opisany i zakreślony w kolorze czerwonym. Szerszy wykaz notujący podejrzaną aktywność uzyskamy po zaznaczeniu opcji Trace disk IO calls. Usuwanie infekcji W celu usunięcia infekcji z MBR należy wybrać aktywny przycisk FixMBR. Postęp naprawczy jest notowany stosownymi komunikatami. Po pomyślnie przeprowadzonej operacji padnie prośba o restart komputera. Przycisk FixMBR jest niedostępny, jeśli narzędzie: nie wykryło infekcji wcale, nie potrafi jej zdiagnozować w sposób jednoznaczny lub jest to rootkit infekujący sterowniki systemowe a nie MBR. Odnośnik do komentarza
Rekomendowane odpowiedzi