Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety •

Pełna wersja: Usuwanie złośliwego oprogramowania z pomocą RogueKiller
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
[Obrazek: Przechwytywanie.JPG]
RogueKiller jest aplikacją ,której głównym celem jest wykrywanie i usuwanie złośliwego oprogramowania z komputera. Zaletą jego jest, dokładność,skuteczność podczas skanowania systemu.Przeprowadza analizę wszystkich elementów systemu oraz skanuje całą zawartość dysku systemowego w komputerze.Jest on napisany w C++.
Program skanuje aktywne procesy w systemie, usługi systemowe, rejestr systemowy,biblioteki DLL.RogueKiller dobrze radzi sobie z usuwaniem złośliwego oprogramowania uruchamiającego się automatycznie dzięki wpisom w rejestrze jak i folderom startowym, czy głównym sektorze rozruchowym (MBR).Umożliwia również naprawianie adresów "DNS" i serwerów "proxy". Wykrywa , usuwa niebezpieczne "rootkity", które aktywują się po uruchomieniu systemu operacyjnego.Oferuje możliwość naprawy pliku "Hosts".Usuwa także.Usuwa także infekcje takie jak TDSS, ZeroAcces,Ransomwares.
Działanie "RogueKiller" oparte jest na czarnej/białej liście jak i module heurystycznym (wykrywanie nieznanych zagrożeń).
RogueKiller wymaga uprawnień administratora.Czyli trzeba go uruchomić na koncie z uprawnieniami administratora ,lub je nadać, czyli nacisnąć prawym przyciskiem myszki na ikonę programu, a następnie z menu kontekstowego wybrać opcję "Uruchom jako administrator". Przed włączeniem narzędzia zalecam wyłączyć obecne programy antywirusowe w systemie by nie powodować konfliktów,program może być blednie klasyfikowany jako złośliwe oprogramowanie ze względu na swój silny moduł skanujący.
Program po skończonym skanowaniu generuje raport w postaci pliku tekstowego na pulpicie systemu.Ten raport/log najlepiej pokazać doświadczonej osobie na forum komputerowym by dokonała analizy.po skończonym usuwaniu także jest generowany raport z czyszczenia systemu w postaci logu.Ten raport także pokazujemy osobie prowadzącej na forum komputerowym.Generowany jest też raport kwarantanny,czyli jakie pliki się w niej znajdują po czyszczeniu.
OSTRZEŻENIE!
Program jest przeznaczony raczej dla doświadczonych użytkowników komputera. Nieprawidłowe korzystanie z aplikacji może doprowadzić do usunięcia istotnych składników systemowych.Dlatego przed usuwaniem czegokolwiek zalecam skontaktowanie się z kimś doświadczonym na forum w celu przeanalizowania logów z programu.Zalecam także korzystanie z programu gdy poprosi o to ktoś doświadczony z forum gdzie problem jest analizowany.
Logi z programu do analizy zamieszczamy tutaj na forum w dziale 'Bezpieczeństwo >> Logi".
Strona producenta programu skąd możemy go pobrać i zawierająca oficjalny poradnik:
http://www.adlice.com/softwares/roguekiller/
http://tigzy.geekstogo.com/roguekiller.php
Aplikację możemy użyć w systemach Windows XP/Vista/7/8.

Dokładna lista z czym program jest w stanie sobie poradzić:
-Zabija złośliwe procesy,
-Zatrzymuje szkodliwe usługi,
-Usuwa szkodliwe pliki DLL z procesów,
-Zabija ukrytezłośliwe procesy w systemie,
-Znajduje i usuwa złośliwe wpisy z autostartu systemu, w tym:
*Klucze rejestru (RUN / RunOnce, ...),
*Zadania (Scheduler 1.0/2.0),
*Foldery startowe w systemie,
-Usunąć wpisy, w tym:
*Shell / Wpisy obciążenia,
*Hijacks DLL,
*Itp.,
-Naprawia DNS/ Fix DNS (przycisk Fix DNS),
_Przechwytuje,usuwa złosliwe przekierowania Proxy(przycisk Fix proxy),
-Naprawia plik Hosts ( Fix Hosts),
-Przywraca skróty / pliki ukryte przez złośliwe oprogramowanie typu "Fałszywy HDD",
-Naprawa sektora rozruchowego MBR i usuniecie z niego szkodników,
-Znajdowanie, naprawianie i usuwanie fałszywych plików systemowych.

Pracę z programem zaczynamy od pobrania odpowiedniej wersji programu pod nasz system (32 Bit,64 Bit).
Uruchamiamy program.Na koncie bez praw administratora w systemach Vista/7/8 klikamy p.p. myszki na ikonę aplikacji i wybieramy opcję : Uruchom jako administrator. RogueKiller nie wymaga on instalacji.Po uruchomieniu Roguekiller dokonuje wstępnego automatycznego skanowania systemu.
Aplikacja jest stale aktualizowana,gdy wykryje po połączeniu się z swoim serwerem że jest nowsza wersja wyskoczy monit z ostrzeżeniem że używana jest starsza wersja programu i zapyta czy nie pobrać nowej wersji.

[Obrazek: Ashampoo_Snap_2014.01.26_00h50m58s_001_R...+-x64-.jpg]

Po zakończonym wstępnym skanowaniu program wyświetli komunikat o jego końcu,poprosi o pełny skan.Domyślnie są zaznaczone opcje:
-Skan MBR
-Szukaj fałszywych
-Szukaj Rootkit
Pozostawiamy te opcje zaznaczone,gdyby były nieaktywne,zaznaczamy je.

[Obrazek: Ashampoo_Snap_2014.01.26_01h03m32s_002_R...+-x64-.jpg]

Rozpoczynamy skanowanie,możemy je w każdej chwile przerwać naciskając "Stop".

[Obrazek: Ashampoo_Snap_2014.01.26_01h16m56s_004_R...+-x64-.jpg]

Skanowanie może potrwać chwilkę,po jego zakończeniu w oknie programu w poszczególnych zakładkach pojawią się wyniki

[Obrazek: Ashampoo_Snap_2014.01.26_01h26m36s_002_R...+-x64-.jpg]

Jednak przed usuwaniem zalecam kontakt na forum w celu weryfikacji wyników z doświadczonym użytkownikiem. RogueKiller tworzy na Pulpicie komputera raport ze skanowania i folder kwarantanny .Ten raport pokazujemy na forum w celu weryfikacji.Możemy go zamieścić bezpośrednio na forum ,lub na stronie internetowej,jak np.: "wklej.to" i podać linka do raportu na forum w celu umożliwienia pobrania.

[Obrazek: Ashampoo_Snap_2014.01.26_01h35m04s_004_.jpg]

A tak wygląda sam raport po otwarciu:

[Obrazek: Ashampoo_Snap_2014.01.26_01h47m19s_008_.jpg]
[Obrazek: Ashampoo_Snap_2014.01.26_01h48m21s_009_.jpg]

Po weryfikacji możemy przystąpić do usuwania znalezionych problemów ,infekcji,nieprawidłowości. Klikamy w tym Celu na opcje "Usuń".Zostaną osunięte zaznaczone problemy w zakładce "Rejestr".By dokonać naprawy pozostałych problemów,musimy po kolei uruchamiać odpowiednie opcje:

[Obrazek: Ashampoo_Snap_2014.01.26_01h55m46s_010_-...094cc1.jpg]

[img]Na kolejnych zakładkach możemy podejrzeć co program jeszcze znalazł.Jeśli zakładki są puste,oznacza to że nie występują żadne problemy w tym miejscu,czyli:[/img]

[Obrazek: Ashampoo_Snap_2014.01.26_02h00m33s_011_R...0-x64-.jpg]
[Obrazek: Ashampoo_Snap_2014.01.26_02h10m55s_012_R...+-x64-.jpg]

[img]Po zakończonym usuwaniu,czyszczeniu program tworzy raporty na pulpicie systemu,te raporty również pokazujemy do wglądu na forum:[/img]

A tak wygląda raport:

[Obrazek: Ashampoo_Snap_2014.01.26_02h20m33s_016_.jpg]

Dlaczego raporty podajemy weryfikacji,a to dlatego że pomimo tego że program tu omawiany jest bardzo skuteczny,mimo to popełnia błędy i może usuwać prawidłowe pliki.W raporcie z usuwania widzimy blednie sklasyfikowany "OnetDysk' jako szkodliwy proces i osunięty,widzimy błędnie sklasyfikowany klucz rejestru programu antywirusowego Avast,odhaczony od usunięcia po weryfikacji logu.
Kliknięcie na opcje "Podsumowanie" w programie pokazuje raport z usuwania który znajduje się po czyszczeniu na pulpicie.wszystkie osunięte pliki,klucze rejestru itp. znajdują się w kwarantannej,dzięki czemu jeśli coś blednie zostało osunięte możemy przywrócić.

Tu na dole postaram się jeszcze omówić co program znajduje,co naprawia i co pokazuje w raporcie(logu).
W raportach na samej górze mamy:

NAGŁÓWEK RAPORTU

RogueKiller V8.8.3 _x64_ [Jan 24 2014] od Tigzy (wersja programu z data jego udostępnienia),
mail : tigzyRK<at>gmail<dot>com (adres e-mail do jego producenta),
Dodaj opinię : http://www.adlice.com/forum/(link do forum programu),
Strona internetowa : http://www.adlice.com/softwares/roguekiller/(strona internetowa producenta),
Blog : http://www.adlice.com (blog autora),

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version(dane systemu operacyjnego,w jakim trybie też systemu program zostal uruchomiony,z jakimi uprawnieniami konta użytkownika systemu),
Uruchomiono z : Tryb normalny
Użytkownik : Illidan [Uprawnienia Administratora]
Tryb : Usuń -- Data : 02/02/2014 17:37:34(sposób uruchomienia programu i data jego uruchomienia)
| ARK || FAK || MBR |(przełączniki Startu programu: ARK = AntiRootkit, FAK = Pliki sfałszowane MBR = Master Boot Record),

SEKCJA PROCESÓW

Sekcja zawierająca szkodliwe procesy w systemie jeśli takowe program wykryje i które zostały zatrzymane w skanowaniu wstępnym programu.
¤ ¤ ¤ złośliwego procesu: 4 (liczba procesów zabitych) ¤ ¤ ¤
[RESIDUE] dmwu.exe -- C:\Windows\System32\dmwu.exe -> KILLED [TermProc]
[Rans.Gendarm (nazwa wykrywania) ] [SUSP PATH (powód) ] PRPRniUHTUXvqo.exe (nazwa procesu) -
C: \ ProgramData. \ PRPRniUHTUXvqo exe (ścieżka procesu) [7] (podpisany plik) -> Zabity (Status) [TermProc] (metodologia)

Biblioteki systemu DDL,ładowane przez procesy jak są prawidłowe zostają rozładowane,szkodliwe zabijane.
SUSP PATH] [DLL] explorer.exe (nazwa procesu) - C: \ Windows \ explorer.exe (ścieżka procesu) :
C: \ Users \ gvanden \ AppData \ Local \ Microsoft \ Programy \ yluyvn.dll (ścieżka DLL znaleziona) [-] (niepodpisany plik) -> bez obciążenia (stan)
[SUSP PATH] [DLL] rundll32.exe - C:. \ Windows \ System32 \ rundll32 exe: C: \ Users \ gvanden \ AppData \ Local \ Microsoft \ Programy \ yluyvn.dll [-] -> zABITY [TermProc]

Okno (tytuł okna detekcji).
[WINDOW: System Check (Nazwa okna) ] vKAYD6qsRq9DKl.exe(Nazwa procesu) - C: \ ProgramData \ vKAYD6qsRq9DKl. exe(Ścieżka procesu) -> ZABITY(Status) [TermProc] (metodologia)

[WINDOW: Security Shield] syecx.exe - C: \ Documents and Settings \ Administrator \ Ustawienia lokalne \ Dane aplikacji \ syecx.exe -> ZABITY [TermProc]
[WINDOW: AV Bezpieczeństwa 2012] AV Bezpieczeństwa 2012v121.exe - C: \ WINDOWS \ system32 \ AV Bezpieczeństwa 2012v121.exe -> ZABITY [TermProc]

Usługi
[SERVICES] SSHNAS (nazwa usługi) - C: \ WINDOWS \ netsvcs system32 \ svchost.exe-k ( polecenie usługi ) -> Zatrzymana (stan)

SEKCJA REJESTRU SYSTEMU


Na tej liście znajdują się szkodliwe klucze rejestru systemowego Windows znalezione przez program.
¤ ¤ ¤ rejestru wpisy: 9 (Ilość wpisów znaleziono / usuniętych ) ¤ ¤ ¤
Klucz rejestru

Wśród tych kluczy rejestru, znajdujemy :

- Przyciski RUN / RunOnce / ...

[RUN ( Typ klucza) ] [SUSP PATH ( ze względu na nazwę wykrywania / wzór ) ] HKLM \ [...] \ Run ( ścieżka ) : 1356365.exe ( wartość klucza) ("C: \ WINDOWS \ TEMP \ 1356365.exe" ( dane dotyczące wartości ) ) -> USUNIETO(Status)

[RUN] [Rans.Gendarm] HKLM \ [...] \ Run: SonyAgent (C: \ Windows \ Temp \ temp91.exe) -> USUNIETO
[RunOnce] [SUSP PATH] HKLM \ [ ...] \ RunOnce: eP02401NmFnE02401 (C: \ Documents and Settings \ All Users \ Dane aplikacji \ eP02401NmFnE02401 \ eP02401NmFnE02401.exe) -> USUNIETO

- Nadużywanie Key SHELL (Userinit / ładowania / SafeBoot / ...)

[SHELL] [SUSP PATH] HKLM \ [...] \ Winlogon: Shell (explorer.exe "C: \ Users \ WILLIAMS FIGUEROA \ AppData \ Roaming \ Microsoft \ Windows \ msshell.exe") -> USUNIETO
[SHELL] [SUSP PATH] HKLM \ [...] \ Windows: obciążenia (C: \ Users \ Willia ~ 1 \ USTAWI ~ 1 \ Temp \ msbakx.scr) -> USUNIETO

- Klucz SERVICE(Usług)

[SERVICES] [Root.Necurs] HKLM \ [...] \ ControlSet001 \ Services \ e7a705764207da3c -> USUNIETO


- Nadużywanie PROXY (Internet Explorer)

[ PROXY IE] HKLM \ [...] \ Internet Settings: ProxyEnable (1) -> ZNALEZIONO


- Nadużywanie DNS

[DNS] HKLM \ [...] \ ControlSet001 \
Services \ Tcpip \ Interfaces \ { 53788193-4833-C993-BF8F- 90F051B43C30}: NameServer (46.4.11.10,8.8.8.8,8.8.4.4) -> ZNALEZIONO


- Inne,dywersyjne (Blokada Edytora Rejestru, Centrum Bezpieczeństwa, Podmiana tapety Pulpitu Systemu,Ustawienie Startu aplikacji,usług systemu....)

[HJ] HKLM \ [...] \ System : consentpromptbehavioruser (0) -> PODMIENIONO(1)
[DESK HJ] HKLM \ [...] \ ClassicStartMenu: {20D04FE0-3AEA-1069-A2D8- 08002B30309D} (1) -> PODMIENIONO(0)
[HJ DESK] HKCU \ [...] \ NewStartPanel: {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> PODMIENIONO (0)

[HJ] HKLM \ [...] \ SystemRestore: DisableSR (1) -> USUNIĘTO
[HJPOL] HKLM \ [...] \ System: DisableTaskMgr (0) -> USUNIĘTO
[HJPOL] HKLM \ [...] \ System: DisableRegistryTools (0) -> USUNIĘTO
[HJ] HKLM \ [...] \ Security Center: AntiVirusDisableNotify (1) -> USUNIĘTO(0)
[HJ] HKLM \ [...] \ Security Center: FirewallDisableNotify (1) -> PODMIENIONO (0)
[HJ ] HKLM \ [...] \ Security Center: UpdatesDisableNotify (1) -> PODMIENIONO (0)
[SMENU HJ] HKLM \ [...] \ Zaawansowane: Start_ShowMyComputer (0) -> PODMIENIONO (1)
[SMENU HJ] HKLM \ [...] \ Zaawansowane: Start_ShowSearch (0) -> PODMIENIONO (1)
[WallPP ] HKLM \ [...] \ Pulpit: Tapety () -> wymiany (C: \ WINDOWS \ web \ wallpaper \ verdoyante.bmp Hill)


- Nadużywanie DLL (zastąpienie bibliotek systemowych )

[HJ DLL (DLL, porwanie) ] [Rans.Gendarm (nazwa wzorca) ] HKLM \ [...] \ ControlSet003 \ Services \ winmgmt \ Parameters (key path) : ServiceDll (wartość) (C: \ Documenty i Ustawienia \ FR18733 \ wgsdgsdgdsgsd.exe (wartość danych) ) [-] (plik podpis) -> PODMIENIONO (% SystemRoot% \ system32 \ WBEM \ WMIsvc.dll) (stan: powrut do właściwej wartości)

[HJ Inproc] [ZeroAccess] HKCR \ [...] \ InprocServer32: (C: \ $ Recycle.Bin \ S-1-5-21- 524914533-2843266959-2165302196-1000 \ $ 0ec7203337002ec4d86f9f6253d8812d \ n) -> PODMIENIONY (C: \ Windows \ system32 \ shell32.dll)
[HJ Inproc] [ZeroAccess] HKCR \ [...] \ InprocServer32: (C: \ $ Recycle.Bin \ S-1.5.18 \ $ 0ec7203337002ec4d86f9f6253d881 2d \ n) -> PODMIENIONO (C: \ Windows \ system32 \ wbem \ Fastprox.dll)


- Nadużywanie wygaszacza ekranu (plik scr. jest plikiem binarnym, to może być zastąpiony przez malware)

[SCREENSV] [SUSP PATH] HKLM \ [...] \ Pulpit (C: \ Windows \ 62364fvdvs. scr) [-] -> ZNALEZIONO


- Nadużycie skojarzeń plików

[FILE ASSO] HKLM \ [...] Software \ Classes \ exe \ shell \ open \ command: ("C: \ Documents and Settings \. tigzy \ Ustawienia lokalne \ Dane aplikacji \ fcp.exe "-a"% 1 "% *) -> zastąpiono: ("% 1 "% *)
[FILE ASSO] HKLM \ [...] Software \ Classes \ exefile \ shell \ open \ command: ("C: \ Documents and Settings \ tigzy \ Ustawienia lokalne \ Dane aplikacji \ fcp.exe"-a "% 1"% *) -> zastąpiono: ("% 1"% *)
[FILE ASSO] HKLM \ [...] Software \ Clients \ StartMenuInternet \ firefox.exe shell \ open \ command \ ("C: \ Documents and Settings \ tigzy \ Ustawienia lokalne \ Dane aplikacji \ fcp.exe", "C : \ Program Files \ Mozilla Firefox \ firefox.exe ") -> zastąpiono: (" C: \ Program Files \ Mozilla Firefox \ firefox.exe ")
[FILE ASSO] HKLM \ [...] Software \ Clients \ StartMenuInternet \ firefox.exe \ shell \ command safemode \: ("C: \ Documents and Settings \ tigzy \ Ustawienia lokalne \ Dane aplikacji \ fcp.exe", "C: \ Program Files \ Mozilla Firefox \ firefox.exe"-safe- tryb) ->zastąpiono: ("C: \ Program Files \ Mozilla Firefox \ firefox.exe"-safe-mode)
[FILE ASSO] HKLM \ [...] Software \ Clients \ StartMenuInternet \ IEXPLORE.EXE \ shell \ open \ command: ("C: \ Documents and Settings \ tigzy \ Ustawienia lokalne \ Dane aplikacji \ fcp.exe", "C: \ Program Files \ Internet Explorer \ iexplore.exe") -> zastąpiono: ("C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE ")


- Klucze rejestru lub brakujące wartości rejestru systemowego


- Klucze trybu awaryjnego


- Kluczy rejestru automatycznego ładowania DLL's (AppInit, AppSecDll, ...)

[AppInit] [SUSP PATH] HKLM \ [...] \ Windows: AppInit_DLLs (C: \ ProgramData \ Performer Video Manager \ 2.6. 1123,78 \ {16cdff19- 861D-48e3-A751-d99a27784753} \ videomngr.dll) [7] -> podmieniono ()


- Nadużycie GUID


- Ukryte klucze rejestru systemowego

[SERVICES] [HIDDEN KEYS] HKLM \ [...] \ ControlSet001 \ Services \ huy32 \ Start -> wymieniono (4)
[RUN] [ HIDDEN VALLEY] HKLM \ [...] \ Run: (G: \ Program Files \ Network FS2004 \ iSafe All In One Keylogger Professional Edition 3.5.8 \ iSafe Keylogger 3.5.8 Aione \ winsrv.exe) -> ZNALEZIONO


- Klucze rejestru z zewnętrznego ula
(Brak systemu na dysku twardym lub uruchomienie innej partycji z live CD)

[SHELL (typ klucza ) ] [ROGUE ST (powód) ] [ON_F: (ul dysku) ] HKLM \ Software [...] \ Winlogon (klucz) : Shell (wartość) (C: \ PROGRA ~ 3 \ 2158446.bat) ( danych) -> wymieniono (Explorer.exe) (stan: Zresetowano do wartości prawidłowej)

Wpisy/aplikacje w folderze startowym

Foldery startowe służą do łatwego uruchomienia złośliwego oprogramowania podczas uruchomienia komputera. Rejestry te są kontrolowane dla każdego użytkownika komputera, jak również dla wspólnego folderu startowego.

[STARTUP (typ) ] [Rans.Gendarm (nazwa powód / wzór) ] runctf.lnk (nazwa) @ FR18733 (dotyczy użytkownika) :
C: \ WINDOWS \ system32 \ rundll32.exe | C: \ DOCUME ~ 1 \ FR18733 \ wgsdgsdgdsgsd.exe, M1N1 (wykonywany z linii poleceń) -> OSUNIĘTO (stan)

[STARTUP] [SUSP PATH] Explorer.lnk @ Stefan: C: \ ProgramData \ 16B6AABEC2CDBD \ 16B6AABEC2CDBD.exe -> ZNALEZIONO
[STARTUP] [SUSP PATH] Zentom Guard.lnk system: C: \ Documents and Settings \ tigzy \ Dane aplikacji \ BAB785534D470CCBE1A0AB21EFEFA0DA \ vcc70dep2r.exe -> USUNIĘTO

Zaplanowane zadania

Zaplanowane zadania mogą być wykorzystane do uruchomienia złośliwego oprogramowania podczas uruchamiania komputera, lub w określonym przedziale czasowym.

[TASK (typ) ] [SUSP PATH ( powód ) ] OptimizerProUpdaterTask.job ( nazwa zadania ) : C: \ Documents and Settings \ All Users \ Dane aplikacji \ Bonus \ OptimizerPro \ OptimizerPro.exe / harmonogram / ​​profilepath "C: \ Documents and Settings \ All Users \ Dane aplikacji \ Bonus \ OptimizerPro \ profile.ini" ( polecenie linii zadania) -> USUNIĘTO (stan )

- Wpisy w konkretnym pliku (np.: Firefox proxy)



SEKCJA PLIKÓW SPECYFICZNYCH
¤ ¤ ¤ pliki / foldery osoby: ¤ ¤ ¤
Ta sekcja pozwala na wyszukiwanie plików / folderów oznaczonych jako malware 100 % . Są to pliki, które RogueKiller może usunąć lub zastąpić zdrową kopią. Zawiera elementy plików systemowych,sterowników.


[ZeroAccess ( powód ) ] [JUNCTION (typ) ] C: \ Windows \ $ $ NtUninstallKB50421 ( ścieżka pliku ) >> \ \ system32 \ config ( węzeł docelowy ) -> USUNIĘTO ( stan )
[Del.Parent ( powód ) ] [File (typ) .] @ 00000004 ( nazwa ) : C: \ Windows \ $ NtUninstallKB50421 $ \ . 1822992477 \ U \ @ 00000004 ( ścieżka pliku ) -> USUNIĘTO ( stan )
[Del.Parent] [Folder] ROOT: C: \ Windows \ $ NtUninstallKB50421 $ \ 1822992477 \ U -> USUNIĘTO [Del.Parent] [Folder] ROOT: C: \ Windows \ $ NtUninstallKB50421 $ \ 1822992477 -> USUNIĘTO

[Faked.Drv] [FILE] Tdx.sys: C: \ Windows \ system32 \ drivers \ Tdx.sys -> WYMIENIONY PO RESTARCIE (C: \ Windows \ przekąskę \ Tdx.sys)
[Susp.ASLR] [FILE] services.exe C:. \ Windows \ system32 \ usług exe -> WYMIENIONY NA RESTARCIE
[Susp.ASLR]- ZeroAccess] [FILE] services.exe C:. \ Windows \ system32 \ usług exe -> ZNALEZIONY

SEKCJA STEROWNIKÓW

Ta sekcja zawiera listę wszystkich nieprawidłowości stwierdzonych przez RogueKiller w sterownikach systemowych. W systemie 64 Bits, sterownik nie jest załadowany to sekcja pozostaje pusta. Anomalie są zazwyczaj dokonywane przez rootkity w jądrze (SSDT, S_SSDT, IRP, ...)

SSDT [37] ( przedmiot + indeks ) : NtCreateFile ( API rootkit) @ 0x805790A2 ( adres ) -> Hooked
(\ \ System32 \ Drivers \ 4170085drv.sys ( rootkit ścieżka ) @ 0xA817E270 (adres ) ) IRP [IRP_MJ_INTERNAL_DEVICE_CONTROL] ( przedmiot + indeks ) : \ SystemRoot \ System32 \ drivers \ Mountmgr.sys ( podpięty moduł ) -> Hooked ([Major] ( typ rootkita ) Unknown (moduł rootkita) @ 0x86947FA9 (adres rootkita))

S_SSDT [13] NtGdiBitBlt -> Hooked (\ SystemRoot \ system32 \ drivers \
4170085drv.sys @ 0xA818E118)

SEKCJA INFEKCJI

Ta sekcja zawiera listę wszystkich infekcji wykrytych .
¤¤¤ Infection : Root.MBR ¤¤¤

SEKCJA HOSTS

Ta sekcja wyświetla pierwsze 20 linii pliku hosts.Należy sprawdzić czy nie ma na niej nieprawidłowych wpisów.Ewentualnie za pomocą RogueKiller przywrócić do wartości domyślnej.
¤ ¤ ¤ pliku hosts: ¤ ¤ ¤

-> C: \ Windows \ system32 \ drivers \ etc \ hosts ( ścieżka pliku hosts )

Localhost 127.0.0.1 (prawidłowe linie )
:: 1 localhost ( prawidłowe linie )
192.157.56.28 http://www.google-analytics.com . ( linia malware )
192.157.56.28 .
192.157.56.28 http://www.statcounter.com .
93.115.241.27 http://www.google-analytics.com .
93.115.241.27 .
93.115.241.27 http://www.statcounter.com .


SEKCJA MBR

Ta sekcja przedstawia konfigurację MBR pierwszych pięciu dysków fizycznych komputera. Obejmuje analizę sektora rozruchowego i partycji.
¤ ¤ ¤ MBR verif: ¤ ¤ ¤

+ + + + + PhysicalDrive0 ( dysk fizyczny ) : ST9160827AS ATA Device ( nazwa dysku ) + + + + + --- USER --- (najwyższy pozim weryfikacji)
[MBR] 293176d6b56795e13a67f5e273ee0c2d ( MD5 MBR )
[BSP] 5c11c6be435017a188f295e986e5df02 ( bootstrap MD5 ) : Windows Vista Kod MBR ( identyfikacja ścieżki rozruchowej )
Particion Table: ( tablica partycji )
0 ( wynik indeksu ) - [XXXXXX] ( nie-bootowalna ) ACER ( 0x27) ( typ partycji) [Vissible] ( widoczna ) Offset (sektory): 63 ( zaczyna się od bajtu 63 ) | Rozmiar: 12.291 MB ( 12 GB rozmiar )
1 - [ACTIVE] ( bootowalny ) NTFS (0x07) [Visible] Offset (sectors): 25173855 | Rozmiar: 140334 Mo
User= LL1 ... ! OK (wysoki poziom = Niski poziom 1: MBR nie jest ukryty)
User = LL2 ... ! OK (wysoki poziom = Niski poziom 1: MBR nie jest ukryty)

W przypadku ukrytego rootkita, MBR metody niskiego poziomu nie zwróci żadnych wyników, a tym samym pokazuje prawdziwy MBR ( rootkity nie chca zostać wykryte,widoczne)

User = LL1 ... OK! (wysoki poziom = Niski poziom 1: MBR nie jest ukryty)
User = LL2 ...! ! KO (wysoki poziom! = Niski poziom 2: MBR jest ukryty)
------ LL2 ----------- ( analiza niskiego poziomu znaleziono MBR )
[MBR] ffadd27a7f95b341085cc6d6ca1ce1a2
[BSP] 5c11c6be435017a188f295e986e5df02: Windows Vista Kod MBR [Możliwa maxSST w ! 2] ( SSt partycji rootkit w indeksie 2 )
Tabela Partycji:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
2 - [active] NTFS (0x17) [HIDDEN]! (ukryta partycja), Offset (sectors): 312579760 | Size: 0 Mo => PARTITION ROOTKIT

Czasami MBR nie jest ukryte przez rootkita, ale jest nadal zainfekowane.

+++++ PhysicalDrive0: SAMSUNG HM160HI ATA Device +++++
--- User ---
[MBR] 0b41881e9d0c49152e6087896cbec7
b7
[BSP] 99326bbdc32560c9a3d7e2917200c96f : Xpaj MBR Code! (zainfekowany bootstrap,ścieżka rozruchowa.)
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 152525 Mo
User = LL1 ... OK!
User = LL2 ... OK!

SEKCJA SKRÓTÓW


Ta sekcja pojawia się po wybraniu trybu "reset Skrót" w interfejsie. Zestawiono w nim ukryte pliki przywrócone przez RogueKiller (Jeśli Rogue "fałszywy HDD").
¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 6675 / Fail 0 (6675 plików przywrócony na pulpicie - 0 nieodzyskanych)
Lancement rapide: Success 7 / Fail 0
Programmes: Success 24786 / Fail 0
Menu demarrer: Success 430 / Fail 0
Dossier utilisateur: Success 6583 / Fail 0
Mes documents: Success 131315 / Fail 0
Mes favoris: Success 8 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 44060 / Fail 0
Sauvegarde: [FOUND] Success 125468 / Fail 0 / Exists 1 (Znaleziono 125468 kopii zapasowych plików i przywrócono )
Lecteurs: (wykaz ścieżek. RogueKiller zajmuje tylko dyski lokalne i zewnętrzne)
[C:] \Device\HarddiskVolume1 -- 0x3 --> Odzyskany
[D:] \Device\CdRom0 -- 0x5 --> Pominięty
[Z:] \Device\VBoxMiniRdr\;Z:\VBOXSVR\Shared -- 0x4 --> Pominięty (dysk sieciowy - ignorowany)

RAPORT

Termine : << RKreport[2]_D_13022013_125737.txt (nazwa bieżącego raportu)>>
RKreport[1]_S_13022013_125600.txt ; RKreport[2]_D_13022013_125737.txt (lista poprzednich sprawozdań,raportów)

Dodatkowe informacje

W niektórych sekcjach, znalezione pliki są sprawdzane za pomocą modułu "SigCheck". Dzięki temu wiesz, czy jest podpisany cyfrowo, czy nie. Widoczne jest to w następujący sposób:

[7] => Plik podpisany
[-] => Plik niepodpisane
[X] => Nie znaleziono pliku


PUM (potencjalne niechciane modyfikacje)
Wykrycia te są klasyfikowane jako "PUM", ponieważ nie jest to złośliwe oprogramowanie, ale zmiany systemu zostały dokonane przez złośliwe oprogramowanie. Maskowany jest menedżer zadań, regedit, ikony na pulpicie ,Centrum Bezpieczeństwa ,UAC lub ustawienia systemowe.Usunięcie tych zmian nie ma realnego wpływu na poziom infekcji komputera, ale w niektórych przypadkach może przywrócić użyteczność ustawień systemowych by wykorzystać je w celu usunięcia szkodników jak i przywrócić komfort korzystania z systemu.
Przykład:

[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> Znaleziono

Program przy skanowaniu wstępnym tworzy także ikony konta użytkownika na Pulpicie i ikonę "komputer",jest to zachowanie normalne,można te ikony pozostawić,lub w razie konieczności usunąć.Program także włącza ochronę konta UAC,jeśli została ona wcześniej wyłączona.także po wszystkim jeśli jest taka potrzeba trzeba ją wyłączyć ponownie.
Program także po uruchomieniu łączy się jeśli jest dostęp do internetu z swoim serwerem i szuka aktualizacji,jeśli zostanie ona znaleziona,to program powiadomi nas że korzystamy ze starszej wersji i czy chcemy dokonać aktualizacji.Zalecam dokonywanie aktualizacji,gdyż aktualny program jest w stanie zwalczyć więcej infekcji i bardziej skuteczniej.
Naprawę usług systemowych możemy dokonać przez opcje programu :
Narzędzia >> Usługi remontowe.

[Obrazek: SnipImage%2B%25281%2529.JPG]
Opcje programu


[Obrazek: Ashampoo_Snap_2014.02.15_00h58m44s_001_.jpg]

[Obrazek: Ashampoo_Snap_2014.02.15_01h08m29s_003_.jpg]

[Obrazek: Ashampoo_Snap_2014.02.15_01h14m24s_004_.jpg]

W zakładce "Łącza" mamy kilka opcji:
*Jaki był powód infekcji(WIGI)
To odnośnik do kolejnej aplikacji do sprawdzania czy wtyczki w przeglądarkach z których korzystamy są aktualne,pozwala je także zaktualizować.Często nieaktualna przeglądarka jest także powodem infekcji,wiec aplikacja jest przydatnym narzędziem.

[Obrazek: Capture5.png]
[Obrazek: Capture.png]

Strona z opisem aplikacji.
*RogueKiller strona internetowa
To odnośnik do strony internetowej programu skąd można go także pobrać.
*Darowizna przez PayPal
Tu możemy przekazać darowiznę na rozwój programu autorowi w Euro lub USD.
*RogueKiller instrukcja programu
Dwa odnośniki do instrukcji programu,pierwszy odnośnik do instrukcji w formie filmu,drugi odnośnik do instrukcji tekstowej.Niestety instrukcje są w języku francuskim.

[Obrazek: Ashampoo_Snap_2014.02.15_01h29m23s_005_.jpg]

* ?

[Obrazek: Ashampoo_Snap_2014.02.15_01h31m11s_006_.jpg]

Tu mamy dwie opcje
- O programie...
Jest to okno z linkami do stron programu na portalach społecznościowych,instrukcji angielskiej programu,strony internetowej programu.

[Obrazek: Ashampoo_Snap_2014.02.15_01h39m53s_007_.jpg]

-Znajdź aktualizacje
Sprawdza czy jest dostępna nowsza wersja aplikacji.

Poradnik został oparty na własnych doświadczeniach z programem,na poradniku z oficjalnej strony producenta jak i informacji z internetu.
Opracował Illidan
Kopiowanie poradnika i jego fragmentów tylko za zgodą.
Aktualizacja poradnika znajduje się na forum "MyITWorld" ,zapraszam.
Tutaj podaję "bezpośredni" odnośnik do nowej wersji poradnika KLIK
Przekierowanie