Jeśli nasz komputer zainfekowany jest:
Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, AlphaCleaner, AdwarePunisher, SpywareQuake, SpywareSheriff, PestTrap, MalwareWipe, Spyware Soft Stop, BraveSentry, SpyGuard, AdwareSheriff etc.
To będzie potrzebne nam narzędzie o nazwie SmitfraudFIX pomoże ono nam pozbyć się każdego z tych szkodników.
Jak rozpoznamy że nasz komputer jest zarażony którymś z tych programów
Nie będziemy mogli zmienić tapety, w tray’u zaczną nam wyskakiwać różnego rodzaju „dymki” w których będzie mowa (po angielsku) że nasz komputer jest zainfekowany, np pokaże się w taki sposób: 
Poza tymi “dymkami” zmieni się nam tapeta, której oczywiście nie da się zmienić, np. na taką:
Lub: 
Lub: 
Po tych objawach możemy być praktycznie pewni że mamy któreś z tych “dobrodziejstw” na “pokładzie” naszego komputera, ale żeby się upewnić w logu programu HijackThis pojawią się wpisy przy sekcji O4, które zależą od programu którym jesteśmy zarażeni, tzn, nazwa wpisu będzie się jednoznacznie kojarzyć z tym programem np.:
- Kod: Zaznacz wszystko
O4 - HKLM\..\Run: [SpywareQuake] C:\Program Files\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
Kiedy mamy już pewność że jest to właśnie taka infekcja, pobieramy SmitfraudFIX’a i rozpakowujemy go. Program uruchamiamy z:
Poczym wyświetli się nam okienko w którym program prosi nas żebyśmy wcisnęli dowolny przycisk:
Następnie naszym oczom ukaże się główne okno programu:
1. Search – Opcja dzięki której program przeskanuje nasz system w poszukiwaniu zarażonych plików.
2. Clean – Opcja automatycznego czyszczenia systemu z tych właśnie plików. Najlepiej uruchomić ją w trybie awaryjnym.
3. Delete Trusted zone – Usuwanie z listy zaufanych witryn (w HijackThis oznaczone są jako wpisy w sekcji O15) przykład:
- Kod: Zaznacz wszystko
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
L. – Zmiana języka z Angielskiego na Francuski
Q. – Wyjście z programu
Po usunięciu tych szkodników powinny przestać wyskakiwać nam „dymki” oraz powinniśmy móc zmienić wreszcie tapetę na tą którą lubimy.
--------------------------------------------------------------------------------------------------------------------------------------------
Infekcja Vundo
VundoFix
Program VundoFix jest automatem czyszczącym nasz komputer z Trojana zwanego Vundo.
Wielokrotnie zdarza się tak że nasz system jest zainfekowany wymienionym wyżej Trojanem, a smitfraudfix nie potrafi sobie z nim poradzić. Wtedy warto zastosować narzędzie VundoFix
Program w swojej obsłudze jest naprawdę bardzo prosty, wystarczy kliknąć 1 przycisk i poczekać aż program sam znajdzie nam pliki zarażone przez Vundo.
Okno główne programu prezentuje się tak:
1. Scan for Vundo – Po kliknięciu tego przycisku nasz system zostanie przeskanowany pod kontem Vundo w systemie, ten proces trwa w sumie dość sporo – program musi „przebadać” wiele plików, nie tylko tych systemowych.
2. Fix Vundo – Po kliknięciu tego przycisku wszystkie zarażone przez Vundo Pliki zostaną usunięte bądź naprawione.
3. W tym okienku pokażą się wszystkie te pliki, które są zarażone wyżej wymienionym programem.
4. PayPal Donate – Jeśli klikniemy na ten przycisk będziemy mogli wesprzeć finansowo projekt VundoFix’a
Uwaga, przeskanowanie systemu programem VundoFix nie gwarantuje pozbycia się go z systemu, dlatego zawsze dajemy również log z programu Combofix lub DSS --------------------------------------------------------------------------------------------------------------------------------------------
Rootkit Windows Security Center
Bardzo często zdarza się tak że nasz komputer jest zainfekowany tego typu rootkitem, a my nawet nie mamy o tym pojęcia. Głównymi objawami tego że w naszym komputerze „siedzi” właśnie ten „dodatek” jest mnóstwo wyskakujących okienek pop-up, najróżniejsze przekierowania na strony www.dictionary.com oraz www.casinocaesar.com
LINKI SPECJALNIE ZMIENIONE ABY NIKT NIE ZARAZIŁ SOBIE TYM KOMPUTERA Dodatkowo w zakładkach pełno dodanych stron których my nie dodawaliśmy, głównie strony o erotyce lub o spyware., wyskakujące „chmurki” które informują że:
Alerty WSC (Windows Security Center – Pomimo tego że mamy polską wersję systemu wyskakują komunikaty po angielsku…Tu już się można domyśleć że jest jakaś infekcja)
Toolbar w IE który się będzie nazywał: RemoveToolbar
Natomiast w programach wyszukujących w naszym komputerze różnego rodzaju syf wyskoczy nam:
"Odwrócony" localhost
O1 - Hosts: localhost 127.0.0.1
Wpisy O2 i O3 podpisane jako SearchToolbar ze stałym numerkiem w klamerkach (CLSID). Nazwy plików dobierane losowo, więc u każdego będą inne.
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\ytmty.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\ytmty.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
Fałszywy program antispyware (w starszych mutacjach rootkita występują tylko dwa - WareOut i UnSpyPC).
O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [WareOut] C:\Program Files\WareOut\WareOut.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
Prawidłowe DNS'y podmienione na tzw. ukraińskie (83.255.x.x;69.x.x.x).
O17 - HKLM\System\CCS\Services\Tcpip\..\{46ABB8B8-38B0-4D86-853E-582FAD142D5E}: NameServer = 85.255.115.5,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B73146B1-BA88-4BC9-B0D2-8136EE3763E1}: NameServer = 85.255.113.196,85.255.112.118
O17 - HKLM\System\CS3\Services\Tcpip\..\{3CCE19F8-4135-4CA2-9026-6F3D5161F233}: NameServer = 85.255.114.106,85.255.112.123
Silent runners będzie pokazywał m.in:
- Kod: Zaznacz wszystko
Pliki z początkiem DM i CS, których nie widać w HijackThis.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"dmlxg.exe" = "C:\WINDOWS\system32\dmlxg.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csdrq.exe" [null data]
[b]Deaktywacja standardowego paska w IE. [/b]
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]
{User Configuration|Administrative Templates|Windows Components|
Internet Explorer|Toolbars|Disable customizing browser toolbars}
No, dość tego straszenia, czas się wziąć za usuwanie szkodnika. Aby to zrobić trzeba pobrać Program FixWareOut. Jego ikonka wygląda tak:
Uruchamiamy instalatora, instalujemy programik do C:\Fixwareout i używamy w trybie awaryjnym Podczas samego działania programu postępujemy wg tego co pokazuje program. Po zakończonym skanie wrzucamy zawartość loga który znajduje się w pliku C:\Fixwareout\report.txt
Oto przykładowy log:
- Kod: Zaznacz wszystko
Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\sikmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
...
Microsoft ® Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmkis.exe"=-
...
PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate
»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\DMIUD.EXE
C:\WINDOWS\SYSTEM32\DMKIS.EXE
C:\WINDOWS\SYSTEM32\IPSEC6.EXE
* csr.exe C:\WINDOWS\System32\CSSFW.EXE
»»»»» Misc files
»»»»» Checking for older varients covered by the Rem3 tool
»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSSFW.EXE 51,200 2005-12-16
C:\WINDOWS\SYSTEM32\DMIUD.EXE 44,032 2004-08-04
C:\WINDOWS\SYSTEM32\DMKIS.EXE 44,032 2004-08-04
Other suspects
Directory of C:\WINDOWS\system32
--------------------------------------------------------------------------------------------------------------------------------------------
SDFix
Licencja programu : Freeware
Obsługiwane systemy: Windows 2000/XP
SDFixa możemy pobrać z stąd
SDFix jest bardzo pomocnym programem przy usuwaniu różnego rodzaju wirusów m.in koni trojańskich, rookitów. Ten program również ma taką zaletę, że dokonuje analizy plików systemowych i jeśli są one zarażone potrafi je czsami podmienić na prawidłowe.
URUCHAMIANIE
1. Po ściągnięciu SDFixa i po rozpakowaniu go (najlepiej na dysk C) zobaczymy nowy folder na swoim dysku o nazwie SDFix, po wejściu w niego otrzymamy takie pliki:
(gdy robiłem screena miałem ustawione, żeby system pokazywał mi ukryte pliki i foldery więc nie martwcie się jak nie będzie u Was jakiegoś pliku...
2. Aby program mógł wogóle działać to musimy mieć włączone uprawnienia administratora na swoim komputerze.
3. SDFixa uruchamiamy wchodząc w tryb awaryjny:
Jak wejść w tryb awaryjny?
--- restartujemy komputer i naciskamy przycisk z klawiatury F8 do pojawienia się okna, w którym wybieramy właśnie ten tryb o którym mowa...
lub:
--- wchodzimy kolejno w start->uruchom->wpisujemy msconfig> zakładka boot.ini zaznaczamy opcje /SAFEBOOT i dajemy zastosuj i ok
restartujemy komputer4. Gdy już jesteśmy w trybie awaryjnym to wchodzimy w folder SDFixa i znajdujemy tam plik o nazwie RunThis.bat.. klikamy dwukrotnie i czekamy.
Pojawi nam się takie okienko:
Przyciskamy Y i dajemy enter. Po chwili zobaczymy następne okno:
Mówi nam o tym, że SDFix właśnie rozpoczął działanie. Na ekranie monitora zobaczymy jeszcze kilka różnych informacji. Czekamy aż wyskoczy nam okienko, żeby przycisnąć dowolny klawisz i zresetuje nam sie komputer.
Po ponownym odpaleniu program będzie dokańczał proces usuwania. Oczywiście nic nie robimy tylko cierpliwie czekamy..(nie będzie widać nic na pulpicie : żadnych ikonek itp. ale proszę sie tym nie martwić
)Na koniec wyskoczy nam okienko, że program skończył działanie i log z programu powinien nam sam wyskoczyć po zakończonej pracy lub sami możemy go znaleść w folderze SDFixa i to będzie plik o nazwie report.txt.
--------------------------------------------------------------------------------------------------------------------------------------------
LSP-Fix
Licencja programu : GPL
Obsługiwane systemy: Windows 95/98/Me/2000/XP
LSP-Fix możemy pobrać z stąd
Główne okno programu wygląda tak:
Po lewej stronie są pliki od Naszego systemu, więc nie radzę ich kasować ponieważ stracimy dostęp do internetu, kasujemy tylko te które zostaną wskazane na forum jako szkodliwe..
Usuwanie plików :
Załóżmy, że usuwamy plik o nazwie pliczek.dll
Gdy już wiemy co mamy usunąć to włączamy program, następnie zaznaczamy opcję I know what I'm doing (or enjoy re-installing my operating system...) zaznaczasz myszką ten plik i za pomocą strzałki zaznaczonej na screenie przenosisz tylko ten plik do okienka po prawej stronie...
Gdy już będzie po prawej stronie to przyciskamy opcje Finish>>
Po tej operacji restartujemy komputer, znajdujemy i kasujemy również plik w tym przypadku pliczek.dll
Podziękowania za pomoc userowi okocza
proszę nie kopiować bez naszej wiedzy 
