Nieingerencyjne narzędzia do tworzenia logów systemowych

[Natsuki Kuga]

Uwaga: Każde narzędzie do poprawnego działania wymaga uruchomienia go z uprawnieniami administratora!

 

Zalecane narzędzie podstawowe dla Windows XP i starszych: OTL

 

Zalecane narzędzie podstawowe dla Windows XP i nowszych: FRST x86/x64 (w zależności od wersji systemu (32/64-bit))

 

 

 

Raporty podstawowe

• OTL
• Farbar Recovery Scanner Tool (FRST)
• RSIT
• DDS
• Gmer

Skany dodatkowe - tylko na prośbę moderatora

• Farbar Service Scanner
• aswMBR
• SecurityCheck [w budowie]

Poza działającym systemem

• OTLPE [w budowie]
• Farbar Recovery Scanner Tool (FRST) [w budowie]
• Farbar Service Scanner

 

Stare, nieaktualne narzędzia do wykonywania logów

[Natsuki Kuga]

OTL

 

OTL jest kompleksowym skanerem dostarczającym informacji o systemie niezbędnych do przeprowadzenia analizy pod kątem wirusowym. Pozwala na wylistowanie działających usług i sterowników, ostatnio zmodyfikowanych/utworzonych plików, kluczowych fragmentów rejestru, ustawień przeglądarek internetowych, ostatnich wpisów dziennika zdarzeń, skojarzeń plików, zainstalowanych programów.

Platforma: Windows 2000/XP/Vista/7/8 32 i 64-bit

OTL.exe   OTL.com   OTL.scr

Uwaga!

Wersje OTL 3.2.70.1 / 3.2.70.2 zawierają poważny błąd, mogący doprowadzić do uszkodzenia systemu nawet po użyciu opcji Sprzątanie. Narzędzie pobieraj z wymienionych linków, lub jeśli wcześniej pobrałeś OTL, upewnij się, że nie jest to jedna z krytycznych wersji.

Instrukcja obsługi:

Skanowanie:

1. Ustaw program tak, jak na obrazku poniżej:


 
 
Przy wykonywaniu logów możesz użyć też dodatkowego skryptu, rozszerzającego obszar skanowania: (jak wkleić skrypt do OTL - patrz sekcja Wykonywanie skryptu)

netsvcs
C:\*.*
D:\*.*
E:\*.*
F:\*.*
G:\*.*
H:\*.*
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.
%SYSTEMDRIVE%\*. /mp /s
/md5start
atapi.sys
winlogon.exe
explorer.exe
beep.sys
agp440.sys
svchost.exe
userinit.exe
ntfs.sys
/md5stop
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\kernel32.dll /md5
%systemroot%\system32\user32.dll /md5
%systemroot%\Tasks\*.* /lockedfiles
restorepoints

 

 

Deinstalacja narzędzia

 

Należy kliknąć przycisk Sprzątanie. Spowoduje on usunięcie programu wraz z jego kwarantanną.

2. Kliknij Skanuj, postęp operacji możesz zobaczyć na pasku poniżej sekcji Własne opcje skanowania/skrypt:



3. Po zakończeniu skanowania ukażą się dwa pliki: OTL.txt oraz Extras.txt . Zamieść je na forum.

Wykonywanie skryptu:

1. Gdy dostaniesz odpowiedź na forum, z pewnością będziesz musiał usunąć określone elementy poprzez OTL. Otrzymany skrypt wklej do programu w odpowiednią sekcję, tak jak na obrazku:



Uwaga: Skrypt widniejący w oknie OTL został napisany dla przykładu - nie używaj go na swoim komputerze!

2. Kliknij Wykonaj skrypt, poczekaj aż program skończy usuwanie.

3. Po poprawnym wykonaniu zadania wyświetli się raport. Zamieść go na forum.

[Natsuki Kuga]

Random's system information tool (RSIT)

 

RSIT jest narzędziem pomocniczym do wykonywania raportów. W skład raportu wchodzi standardowy skan z HijackThis (jeśli zainstalowany), oraz dodatkowy skan listujący kluczowe fragmenty rejestru, ostatnio zmodyfikowane/utworzone pliki, działające usługi.

Platforma: Windows 2000/XP/Vista/7 32 i 64-bit

RSIT   RSIT x64

Instrukcja obsługi:

1. Po uruchomieniu programu ustaw go jak na obrazku:



2. Kliknij Continue, aplikacja będzie próbowała pobrać HijackThis, jeśli nie jest on zainstalowany w systemie. Możesz odrzucić tą propozycję, logi z tego programu nie są wymagane.

3. Przebieg gromadzenia informacji obrazuje pasek postępu:



4. Po wygenerowaniu raportów w notatniku otworzą się pliki RSIT.txt i info.txt . Zamieść je na forum.

Uwaga: Jeśli logi nie ukażą się po zakończeniu skanowania, szukaj folderu o nazwie RSIT na partycji systemowej.

 

 

Deinstalacja narzędzia

 

Należy odinstalować pozycję [b]HijackThis[/b] z poziomu panelu Dodaj/usuń programy, następnie usunąć folder [b]RSIT[/b] z partycji systemowej.

 

[Natsuki Kuga]

DDS

 

DDS jest również jednym z narzędzi pomocniczych. W skład podstawowego raportu wchodzi: listowanie działających procesów, pseudoraport HijackThis, ustawienia domyślnej przeglądarki, mini lista usług, pliki utworzone w ciągu ostatnich 30 dni. Skan dodatkowy obejmuje: zainstalowane programy, listę partycji, punkty przywracania systemu.

Platforma: Windows XP/Vista/7/8 32 i 64-bit

DDS.com   DDS.pif   DDS.scr

Instrukcja obsługi:

1. Uruchom program i ustaw go jak na obrazku:



2. Rozpocznie się skanowanie, jego przebieg zobaczysz na pasku:



3. W notatniku wyświetlą się pliki DDS.txt i Attach.txt. Pokaż je na forum.
 

 

Deinstalacja programu

 

DDS nie pozostawia na dysku innych śladów prócz wyników skanowania. Wystarczy usunięcie tych plików tekstowych po zakończeniu dezynfekcji.

[Natsuki Kuga]

Gmer

 

Gmer to zaawansowane narzędzie służące do skanowania systemu operacyjnego pod kątem obecności rootkitów, które nie są wykrywane przez pozostałe narzędzia z tego tematu. Do poprawnego działania zaleca się wyłączenie emulatorów dysków, inaczej wyniki mogą wyjść zafałszowane - patrz niżej.

Platforma: Windows NT4/2000/XP/Vista/7/8 32 i 64-bit

Narzędzie dostępne w wersji .exe (losowo generowana nazwa pliku) oraz archiwum .zip

losowo generowane exe   gmer.zip

Instrukcja obsługi:

Dla systemów z emulatorem dysków: zacznij od punktu 1
Dla systemów bez emulatora: zacznij od punktu 2


1. Jeśli posiadasz w systemie emulatory dysków (Daemon Tools, Alcohol 52%, 120%, itd.), najpierw musisz użyć narzędzia SPTDInst.

Jego obsługa jest bardzo prosta. Po uruchomieniu aplikacji ujrzysz okno:



Należy użyć opcji Uninstall.

2. Po zainicjowaniu Gmera rozpocznie się skanowanie, jednakże jest to tylko szybki skan. Poczekaj na jego zakończenie, upewnij się, że program jest ustawiony jak na ilustracji:



Następnie kliknij Szukaj.

Uwaga: Jeśli podczas skanowania dostaniesz ostrzeżenie, że wykryto rootkita, nie podejmuj samodzielnych prób dezynfekcji! Kontynuuj skan i zamieść go na forum, a osoba prowadząca temat wyda stosowne instrukcje usuwania infekcji.

3. Po zakończeniu skanowania klkinij na przycisk Kopiuj i otwórz notatnik. Użyj opcji wklej, zapisz powstały plik. Zapisany raport wklej na forum.

(dla użytkowników z emulatorami)

4. Po zakończeniu używania Gmer możesz przywrócić sterownik SPTD do użytku. Uruchom SPTDInst i kliknij Install.

[Natsuki Kuga]

 

Farbar Service Scanner (FSS)

 

Platforma: Windows XP/Vista/7 32-bit i 64-bit

 

FSS.exe

 

Instrukcja obsługi:

1. Pobierz FSS.exe, kliknij prawym przyciskiem myszy na ikonkę i wybierz opcję Uruchom jako administrator (Win Vista/7)

2. Ustaw program tak, jak na obrazku:



3. Kliknij Scan i poczekaj na koniec skanowania. Plik FSS.txt zamieść na forum.

[Natsuki Kuga]

aswMBR

AswMBR jest skanerem umożliwiającym wykrycie najnowszych odmian rootkitów MBR. W skanowaniu wspomaga się bazą sygnatur Avasta.

aswMBR.exe

Platforma: Windows 2000/XP/Vista/7 32-bit i 64-bit

1. Po potwierdzeniu dialogu Kontroli konta użytkownika ukaże się okno:



Jeśli nie mamy zainstalowanych sygnatur Avasta, lub jeśli obecne są nieaktualne, wyświetli się monit zachęcający do ich instalacji/aktualizacji:



Jeśli zdecydujemy się na ich pobranie, ogólne wykonywanie raportu się wydłuży (z uwagi na czas potrzebny na pobranie składników), ale skan będzie dokładniejszy.

2. Zaznacz opcję Trace disk IO calls i kliknij Scan.

Z sygnaturami pojawi się jeszcze opcja skanu AV: szybki skan, skan partycji systemowej lub wybranego obszaru (możemy też zrezygnować z tej opcji - trzeba wybrać none)

3. Rozpocznie się skanowanie, które będzie trwało kilkadziesiąt sekund:



4. Gdy ujrzysz na dole komunikat Scan finished successfully, kliknij opcję Save log, by zapisać raport w pliku tekstowym. Zapisz plik ASWMBR.txt w dowolnym miejscu, następnie zamieść go na forum.

Uwaga: W tej samej lokalizacji obok pliku ASWBMR.txt pojawi się MBR.dat. Jest to zrzut MBR. Nie usuwaj go - może się przydać do analizy, prześlij go, jeśli osoba analizująca o niego poprosi.


Deinstalacja programu

Wystarczy usunąć AswMBR.exe, raport ASWMBR.txt oraz zrzut MBR.dat.

[Natsuki Kuga]

FRST

FRST jest nowoczesnym narzędziem do wykonywania raportów systemowych o możliwościach porównywalnych do OTL. Oprócz generowania logów i opcji usuwania pozwala również na znalezienie plików lub wpisów w rejestrze, co bardziej zaawansowanym użytkownikom może kojarzyć się z programem SystemLook. ;)

Platforma: Windows XP/Vista/7/8 32 i 64-bit

FRST 32-bit        FRST 64-bit

Instrukcja obsługi:

Skanowanie:

0. FRST posiada wbudowaną opcję sprawdzania, czy posiadana kopia programu jest najnowszą. Jeśli w górnej części okna ujrzysz komunikat
"New update found. Please wait..." nie rozpoczynaj skanowania, tylko poczekaj na komunikat o skończonej aktualizacji.

1. Standardowe skanowanie obejmuje pozycje zaznaczone tak, jak na obrazku:
 

Pozostałe są opcjonalne, możesz je zaznaczyć, jeśli chcesz.

Kliknij Scan.

2. Przebieg skanowania możesz obserwować w górnej części okna:



3. Po zakończeniu skanu wyświetli się informacja:



Pliki FRST.txt i Addition.txt zamieść na forum.

Szukanie:

Wyszukiwanie jest bardzo proste. Wystarczy wpisać szukaną frazę w "biały box" i kliknąć Search File(s) lub Search Registry, w zależności od tego,
co chcemy znaleźć. Wyniki ukażą się w osobnym pliku.

Usuwanie:

Umieść plik fix.txt zawierający skrypt obok ikonki FRST i kliknij Fix. Po chwili pojawi się raport z usuwania. Pokaż go na forum.