Skocz do zawartości

Dezynfekcja: zbiór narzędzi usuwających


Rekomendowane odpowiedzi

Proszę nie pobierać linkowanych programów z innych stron niż wyliczone (np. polskie portale, hostingi). Ryzyko "bonusów". Najnowsza wersja gwarantowana tylko na stronie domowej. Linki w indeksie oznaczone ikonką oznaczają pełny opis w temacie, pozostałe to tylko przekierowania na strony domowe.

Jest tu przyjęty określony przedział czasowy, by narzędzie można było uznać za użyteczne. Większość narzędzi jest stale aktualizowana i należy je pobierać za każdym razem od nowa, a nie gromadzić na dysku "na zapas". Prawie wszystkie wyliczone aplikacje są darmowe - z wyjątkiem Hitman Pro (jednorazowa licencja na 30 dni bezpłatnego usuwania).

Lista jest na bieżąco modyfikowana. Jeśli nie widzisz tu narzędzia zlinkowanego w danym temacie, oznacza to że narzędzie wylądowało w Archiwum.

 


 

 

Programy stosowane w tematach na forum:

 

 

 


 
 

 

Ogólna lista podzielona wg typu zadań (rozwiń spoiler):

 


 

  Pokaż ukrytą zawartość




Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

 

 

Edytowane przez picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Identyfikacja infekcji szyfrujących

 

 

 

ID Ransomware (zastępuje wymarłe już narzędzie IDTool) - Strona, na którą można zuploadować plik infekcji szyfrującej (notatkę ransom lub wybrany zaszyfrowany plik) w celu identyfikacji rodzaju infekcji. Dane mają pomóc precyzyjnie ustalić z jakim wariantem mamy do czynienia, gdyż ta informacja umożliwia zdefiniowanie jakie dalsze kroki można podjąć i czy jest jakakolwiek szansa na odszyfrowanie danych.

 

Dane z tego serwisu są również używane przez dwa narzędzia pomocnicze: CryptoSearch (wyszukiwanie zaszyfrowanych plików i kopiowanie na inny nośnik) i RansomNoteCleaner (usuwanie notatek ransom).

Edytowane przez picasso
Odnośnik do komentarza

Pomocnik pod infekcje szyfrujące dane bądź niespodziewaną utratę danych

 

seico.png

 

ShadowExplorer

 

Strona domowa

 

Platforma: Windows Vista i nowsze 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:


Pobierz  (klik w odnośnik Portable)

 

 

Program nie jest przeznaczony dla systemu XP i nie będzie na nim działał. XP posiada inną strukturę Przywracania systemu niż platformy Vista i nowsze.

 

 

ShadowExplorer - Program umożliwiający wygodny dostęp do zawartości punktów Przywracania systemu i wyciąganie poprzednich wersji pojedynczych plików/folderów bez konieczności uruchamiania kompleksowego Przywracania systemu. Jest alternatywą dla systemowej funkcji "Poprzednie wersje" obecnej w niektórych wyższych edycjach Windows. Oczywiście, program jest zdolny pracować tylko, gdy Przywracanie systemu było włączone i są nagrane jakiekolwiek punkty Przywracania. ShadowExplorer może być przydatny do odzyskiwania skasowanych danych, np. na skutek aktywności infekcji szyfrującej dane (o ile infekcja nie ma zaplanowanego usuwania wszystkich punktów Przywracania systemu), lub błędu w procedurach dezynfekcyjnych.

 

Odnośnik do komentarza

Zabijanie aktywnych procesów malware

 

 

rkillico.png

 

RKill

 

Strona domowa

Wątek dyskusyjny na forum programu

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:


Pobierz  Pobierz  Pobierz

 

RKill - Program autorstwa BleepingComputer.com dedykowany odładowaniu procesów malware, które blokują uruchomienie narzędzi anty-malware. Typowe znaki podczas działania tego rodzaju infekcji: przy próbie uruchomiania programu komunikat proszący o wybranie aplikacji do jego otwierania, bądź też fałszywe komunikaty tego typu zgłaszające podczas uruchomienia dowolnego programu, że program jest zainfekowany jakimś "wirusem z archiwum X". Zadania, które prowadzi RKill, to: zabicie znanych 32-bitowych i 64-bitowych procesów malware działających w tle, import prawidłowych wpisów do rejestru reperujących nieprawidłowe skojarzenia plików oraz likwidujących polisy zapobiegające uruchomieniu określonych narzędzi. W dalszej fazie narzędzie przeładowuje powłokę explorer.exe (widoczne jako zanik Pulpitu i Paska zadań), by uaktywnić zmiany wprowadzone w rejestrze. Po ukończeniu pracy RKill sumuje operacje w logu, podając listę unieszkodliwionych procesów, zarówno tych zakończonych ręcznie przez użytkownika jak i automatycznie via RKill.

 

 

INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

 

  Pokaż ukrytą zawartość

 

Odnośnik do komentarza

Usuwanie określonych komponentów adware

 

 

macleanerico.png

AdwCleaner

Strona domowa pod szyldem Malwarebytes
Strona domowa po szyldem ToolsLib
Oficjalne forum

Platforma: Windows 7 i nowsze 32-bit i 64-bit

Oficjalne autoryzowane linki pobierania:

Pobierz  Pobierz  Pobierz

 

 

Systemy XP i Vista nie są już obsługiwane. Oficjalnie kompatybilność kończyła się na linii 6.x, ale nadal można było korzystać z linii 7.x. Ostatnia wersja możliwa do uruchomienia: AdwCleaner 7.4.2 Legacy. Z pewnością wersja ta nie będzie się mogła aktualizować.

 


AdwCleaner - Następca archaicznego AD-Remover. Program wybitnie specjalizowany w detekcji i usuwaniu infekcji typu adware/PUP. Narzędzie rozpoznaje preferencje wszystkich głównych przeglądarek w najnowszych wersjach: Firefox, Google Chrome, Microsoft Edge, Opera i inne na silniku Mozilla czy Chromium/Blink. Początkowo niezależny projekt, w październiku 2016 został przejęty przez Malwarebytes.
AdwCleaner jest bardzo często aktualizowany. Interfejs jest wyświetlany po polsku na natywnie polskim systemie, a w razie braku automatycznego wykrycia można z menu ustawić pożądany język.
 


INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

 

  Pokaż ukrytą zawartość

 

Odnośnik do komentarza
  • 2 tygodnie później...

 

hitmanpro.svg

 

HitmanPro

 

Strona domowa

 

Platforma: Windows XP i nowsze 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

Wersja dla systemów 64-bit:


Pobierz  Pobierz
 

Wersja dla systemów 32-bit:


Pobierz  Pobierz
 

 

 

W ramach wyjątku jedyny program komercyjny tu wyliczany. Hitman udziela jednorazowej darmowej licencji na usuwanie malware przez 30 dni. Po upłynięciu tego okresu czynny jest tylko skan bez możliwości usuwających.

 

Darmową wersją bez limitu czasowego (opartą na tym samym silniku lecz bez kilku opcji i w innej "skórze") jest Sophos Scan & Clean. Uciążliwością tu jest, że pobieranie programu wymaga wypełnienia formularza rejestracyjnego.

 

 

INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):
 

  Pokaż ukrytą zawartość

 

 

Odnośnik do komentarza

 

kaspersky.svg

 

Kaspersky Virus Removal Tool (KVRT) 2020

 

Strona domowa

 

Platforma: Windows 7 i nowsze oraz edycje serwerowe 2008 (R2) i nowsze 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

Pobierz
 

 

 

Systemy XP i Vista nie są już obsługiwane. Ostatnia wersja działająca na tych systemach to stara edycja Kaspersky Virus Removal Tool 2015. Zastępuje przestarzały i nieaktualizowany TDSSKiller.

 

 

kvrt1.png

 

... opis w budowie ...

Edytowane przez picasso
Odnośnik do komentarza

 

mbam.svg

 

Malwarebytes (MB)

 

Strona domowa

 

Platforma: Windows 7 i nowsze 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:


Pobierz  Pobierz  Pobierz
 

 

Narzędzia pomocnicze:

 

Malwarebytes Support Tool [Diagnostyk do reperacji lub awaryjnej deinstalacji narzędzia. Zastępuje stary MB-Clean.]

 

 

Systemy XP i Vista nie są już obsługiwane. Ostatnia wersja działająca na tych systemach to stara edycja Malwarebytes 3.5.1 Legacy. W marcu 2023 potwierdziłam u źródła, że nastąpi całkowite odcięcie od definicji.

 

 

mbamsetup.png

 

.... opis w budowie ....
 

Edytowane przez picasso
Odnośnik do komentarza
  • 8 miesięcy temu...

 

win10.svg

Program Install and Uninstall Troubleshooter

Fix problems that block programs from being installed or removed

Platforma: Windows 7, Windows 8/8.1 i Windows 10 32-bit i 64-bit

Oficjalne autoryzowane linki pobierania:

Pobierz

 

 

Artykuł pierwotnie kierował do narzędzia Fix-it zgodnego z systemami XP do Windows 8.1. Nastąpiła wymiana narzędzi z MicrosoftFixit.ProgramInstallUninstall.Run.exe na MicrosoftProgram_Install_and_Uninstall.meta.diagcab i odcięcie archaicznych systemów.

 

 

Program Install and Uninstall Troubleshooter - Narzędzie Microsoftu dedykowane rozwiązywaniu problemów z instalacją i deinstalacją programów opartych na Instalatorze Windows (czyli nie wszystkich), zastępujący stare narzędzie Windows Installer Cleanup (wycofane ze względu na błędy). Na forum m.in. stosowane do usuwania wejść programów oznaczonych flagą "Hidden" w raporcie FRST, ale nie tylko.

 

Narzędzie jest specjalizowane w usuwaniu rejestracji MSI produktu, czyli eliminacji głównie wejść listy deinstalacji. Nie usuwa powiązanych z programem komponentów takich jak sterowniki / usługi czy foldery.

 

 

msuninstaller1.png

Odnośnik do komentarza

 

avbrlogo.png

AV block remover (AVbr)

Strona domowa

Platforma: systemy powyżej XP (infekcja nie występuje na tym systemie)

Oficjalne autoryzowane linki pobierania:

Statyczna nazwa w paczce ZIP:

Pobierz 

Nazwa generowana losowo:

Pobierz

W razie problemów, dostarczenie alternatywy w gestii autoryzowanego pomocnika.

 

 

Narzędzie autorstwa regist z serwisu SafeZone, specjalizowane w usuwaniu konkretnej infekcji typu miner, która blokuje zarówno instalację programów AV, jak i dostęp do stron z pobieraniem AV i forów udzielających pomocy. Prócz tych oczywistych znaków, miner charakteryzuje się również: procesy symulujące "poprawne procesy" (np. taskhostw.exe, realtekhd.exe), zamykanie Menedżera zadań i gpedit.msc, ukryte konto o nazwie John, hijack usługi systemowej TermService, utylizacja RMS (prawdopodobny wyciek danych!). Przykładowe logi prezentujące elementy infekcji. Proszę zwrócić uwagę na sekcję "Flock" oraz konto minera (obecnie powinno mieć flagę ATTENTION / UWAGA w FRST):

 

John (S-1-5-21-2341195396-3742866233-128469134-1002 - Limited - Enabled)

 

Narzędzie eliminuje elementy minera i jego pochodnych, a także usuwa lub odwraca niepożądane modyfikacje w systemie. Wśród funkcji:

  • Odblokowywanie instalacji antywirusów. W skład wchodzi: usuwanie pustych fałszywych folderów blokujących AV, reset uprawnień prawdziwych / niepustych folderów AV, usuwanie restrykcji DisallowRun*, reset zasad AppLocker (jeśli włączone i aktywne), usuwanie blokad charakterystycznych dla trojana CertLock.
  • Rekonstrukcja usługi "Dostawca kopiowania w tle oprogramowania firmy Microsoft" (Microsoft Software Shadow Copy Provider).
  • Odkręcenie zmodyfikowanych ustawień Windows Defender. W tym próba reaktywacji "Ochrony przed naruszeniami" (Tamper Protection), przy niepowodzeniu log poda tę informację.
  • Usuwanie reguł Zapory systemu Windows dodanych przez infekcję.
  • Usuwanie ukrytego konta "John" (aczkolwiek podczas usuwania użytkownik otrzyma pytanie, by potwierdzić akcję).
  • Operacje na pliku Hosts. Odtwarza brakujący plik. Jeśli plik istnieje, ale jego zawartość odbiega od domyślnej, zgodnie z wyborem użytkownika AVbr albo go zresetuje, albo otworzy do bezpośredniej edycji.

Miner jest bardzo agresywny i często aktualizowany. Autor AVbr stara się nadążać za "sztuczkami". Narzędzie ma zakodowaną ograniczoną żywotność i po wygaśnieciu poprosi o pobranie nowszej wersji.

 

* FRST jest również blokowany, ale po zmianie nazwy potrafi podczas skanu automatycznie usunąć blokadę swojego oryginalnego EXE:

 

HKU\S-1-5-21-2341195396-3742866233-128469134-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => removed successfully

 

 

INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

 

Miner blokuje również AVbr. W związku z naturą infekcji, jest ciężko pobrać narzędzie i zapobiec jego zablokowaniu. Link pobierania powinien być atypowy, a nazwa pliku EXE losowa. Powyżej są podane standardowe linki, w tym o charakterze losowym, ale jest prawdopodobne, że nie przejdą. Autor pozwala na przehostowanie paczki.

 

 

  Pokaż ukrytą zawartość

 

 

 

Odnośnik do komentarza

 

fmrslogo.png

Furtivex Malware Removal Script (FMRS)

Strona domowa

Platforma: Windows 10 i Windows 11 32-bit i 64-bit

Oficjalne autoryzowane linki pobierania:

Pobierz

 

 

Skrypt portable od thisisu (autor zlikwidowanego Junkware Removal Tool) orientowany na nowoczesne platformy operacyjne. Multijęzyczny, polskie tłumaczenie mojego autorstwa. Zadania które wykonuje skrypt:

 

- Skan w poszukiwaniu malware, które mogło zostać przeoczone przez standardowe skanery. Autor na bieżąco śledzi krajobraz malware i w razie potrzeby dodaje nowe procedury.

 

W odróżnieniu od większości narzędzi, skrypt nie tworzy żadnej kopii zapasowej usuwanych obiektów. Usuwanie jest permanentne.

Dodatkowo, FMRS stosuje zabieg odwrotny niż typowa czarna lista. Narzędzie się nie patyczkuje i usuwa obiekty takie jak zaplanowane zadania spoza wbudowanej "bezpiecznej listy" (tzn. ważne zadania Microsoftu oraz antywirusów), czyli nawet od poprawnych aplikacji. Autor wychodzi z założenia, że te elementy zostaną samoczynnie odtworzone po ponownym uruchomieniu danego programu. Ostrzegam jednak, że są zadania które nie zostaną zrekonstruowane.

 

- Skan pod kątem brakujących plików systemowych (limitowana pula). W przypadku wykrycia braków, narzędzie uruchomi dobrze znane komendy naprawcze *:

 

DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf

 

- Usuwanie zadań kolejki BITS (Inteligentnego transferu w tle), które posiadają błędy.

- Czyszczenie różnych pamięci podręcznych (cache) wliczając też Steam, Discord, Java i CRL URL Cache. Ciasteczka (Cookies) są omijane, toteż nie będzie skutków ubocznych w postaci wylogowania z serwisów online.

- Czyszczenie powiadomień Push w przeglądarce Edge (w układzie multi-profilów obecnie tylko 3 zostaną zaadresowane). W przyszłości zostanie prawdopodobnie uwzględnione również Google Chrome.
- Czyszczenie Dzienników systemu Windows, wszystkich pięciu: Aplikacja (Application), Zabezpieczenia (Security), Ustawienia (Setup), System, Zdarzenia przesyłane dalej (ForwardedEvents).

- Sprawdzanie statusu Aktywacji systemu Windows. Gdy wszystko będzie w porządku, w nagłówku raportu w linii z typem systemu operacyjnego pojawi się fraza Licensed.

- W sekcji "Informacje dodatkowe" (Miscellaneous) są gromadzone dane tylko do odczytu, takie jak: zawartość kwarantanny FRST (o ile wykryta), lista plików zrzutów pamięci *.dmp (o ile były awarie) do analizy przez eksperta, wyniki skanów naprawczych * (o ile wykonane) i wyselekcjonowane ustawienia w rejestrze (o ile wykryte). W większości przypadków sekcja będzie pusta.

 

 

INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

 

  Pokaż ukrytą zawartość

 

 

 

Odnośnik do komentarza

Temat w trakcie aktualizacji. Póki co:

- Dodałam opis AV block remover i Furtivex Malware Removal Script.

- Do Archiwum zostały przeniesione programy MBAR i TDSSKiller (stare i zastąpione innymi rozwiązaniami producentów).

Do zrobienia: uzupełnić stare brakujące opisy, ew. dodać opis narzędzia Antivirus Removal Tool.

 

[post do skasowania potem]

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...