Analiza i usuwanie infekcji z zewnątrz


(Spandau) #1

Wprowadzenie:

W sytuacji kiedy nasz system nie uruchamia się ponieważ został poszkodowany przez infekcje, mamy możliwość dokonania analizy oraz przeprowadzenia dezynfekcji z zewnątrz przy użyciu odpowiednich narzędzi. Na początek zaprezentujemy narzędzia służące zarówno do analizy jak i dezynfekcji FRST , następnie przejdziemy do narzędzi służących typowo do dezynfekcji, będą to głównie bootowane płytki ze skanerami AV. Aby uruchomić komputer z płytki lub pendrive wymagane jest odpowiednie Ustawienie BIOS w zakresie kolejności uruchamiania

1. Narzędzia do analizy i dezynfekcji z zewnątrz.

:arrow: Farbar Recovery Scan Tool (FRST)

2. Narzędzia do dezynfekcji z zewnątrz.

:arrow: Kaspersky Rescue Disk

:arrow: Dr.Web® LiveCD

:arrow: Norton Bootable Recovery Tool (NBRT)


(adam9870) #2

Kaspersky Rescue Disk

Kaspersky Rescue Disk to najprościej mówiąc skaner Kasperskiego uruchamiany z płyty CD albo pendrive. W tym poradniku pokażę w jaki sposób przygotować płytę CD albo pendrive zawierający Kaspersky Rescue Disk oraz przedstawię podstawowe opcje, które pozwalają na skonfigurowanie połączenia z siecią, aktualizację bazy sygnatur wirusów i samo skanowanie.

Przygotowanie płyty zawierającej Kaspersky Rescue Disk

Najnowszą wersję skanera pobierzemy ze strony Kaspersky Rescue Disk 10. Klikamy tam Download Kaspersky Rescue Disk 10.

a4b7a3b0b1bea38a8cb72a8ff156bb6b.png

Na stronie, która zostanie otwarta klikamy pod link Kaspersky Rescue Disk 10.

W zależności od ustawień przeglądarki internetowej, z której korzystamy zostaniemy poinformowani o możliwości pobrania pliku. Zgadzamy się.

5b5503a758a3881dbce2bfe3add0377f.png

Zostanie pobrany plik kav_rescue_10.iso. Należy go nagrać na płytę. Obrazu ISO nie rozpakowujemy. Do nagrania można użyć bezpłatnego programu Active ISO Burner. Sugeruję nagrywanie najmniejszą dostępną prędkością. Płyta, na którą zostanie nagrany obraz ISO posłuży nam do uruchomienia z niej płyty.

Przygotowanie pendrive zawierającego Kaspersky Rescue Disk

Istnieje możliwość uruchomienia Kaspersky Rescue Disk z pendrive. Może to być przydatne w przypadku komputerów, które nie posiadają napędu CD/DVD, np. dla posiadaczy netbooków.

Najnowszą wersję skanera pobierzemy ze strony Kaspersky Rescue Disk 10. Klikamy tam How to record Kaspersky Rescue Disk 10 to an USB device and boot my computer from it?.

Na stronie, która zostanie otwarta klikamy pod link Iso image of Kaspersky Rescue Disk 10 (237 MB). W zależności od ustawień przeglądarki internetowej, z której korzystamy zostaniemy poinformowani o możliwości pobrania pliku. Zostanie pobrany plik kav_rescue_10.iso.

42c25efb249c4cd74d55a5c992babc02.png

Tak samo postępujemy z linkiem Utility to record Kaspersky Rescue Disk 10 to USB devices. Zgadzamy się na pobranie pliku rescue2usb.exe.

Uruchamiamy plik rescue2usb.exe. Jeżeli używamy Windows Vista/7 to możemy zostać poproszeni o potwierdzenie komunikatu Kontroli Konta Użytkownika. Klikamy Uruchom.

347c8e782bdea14cb51d39bd0ce8adc5.png

Jest to archiwum samorozpakowujące się. W oknie WinRAR self-extracting archive, w polu Destination folder wskazujemy miejsce, do którego zostaną wypakowane pliki narzędzia, które służy do przygotowania pendrive z Kasperskim. Możemy zmienić domyślną lokalizację klikając Browse. Klikamy Install. Jeżeli używamy Windows Vista/7 to możemy zostać poproszeni o potwierdzenie komunikatu Kontroli Konta Użytkownika.

92b1e3c8d74052c3ac6138dfe44c8588.png

Zostanie otwarte okno programu Kaspersky USB Rescue Disk Maker

22246e993791339bafa378634a90c7ac.png

Podłączamy do komputera pendrive. U mnie narzędzie samo wykryło pendrive i ustawiło to co trzeba. Jeżeli nasz pendrive nie zostanie wykryty automatycznie przez Kaspersky USB Rescue Disk Maker to wskazujemy pendrive ręcznie w polu USB Medium.

Obok pola Path to the Kaspersky Rescue Disk image (.iso) klikamy Browse i wskazujemy na dysku lokalizację obrazu ISO z Kaspersky Rescue Disk (kav_rescue_10.iso) i w oknie Otwieranie klikamy Otwórz.

7d5effe5ed2658c546affc1fef98c8bd.png

Gdy wszystko jest gotowe (tj. pola Path to the Kaspersky Rescue Disk image (.iso) i USB Medium są uzupełnione) klikamy Start

812e4a441e33bd4abf9c30c95de5bdbd.png

Trwa przygotowywanie pendrive.

5152787f5a3a89b17e54f3972a0af1cd.png

Po wszystkim widzimy komunikat informujący, że dysk został utworzony pomyślnie. Klikamy OK.

0288baf4a0fd19d7a83a2ecbb6a879e9.png

Gwoli ścisłości - Kaspersky USB Rescue Disk Maker nie usuwa danych z pendrive. Oznacza to, że jeżeli przed użyciem Kaspersky USB Rescue Disk Maker mieliśmy zapisane na pendrive jakieś dane, to te dane w dalszym ciągu się tam znajdują.

Uruchamianie

  1. Uruchamiamy komputer z płyty albo z pendrive zawierającego Kaspersky Rescue Disk

  2. Na ekranie “Pres any key to enter the menu” naciskamy dowolny klawisz.

  1. Na ekranie wyboru języka przy pomocy strzałek w górę i w dół wybieramy język interfejsu użytkownika. Ja wybieram English i naciskam Enter.

  1. Na ekranie END USER LICENSE AGREEMENT czytamy licencję. Aby ją zaakceptować naciskamy 1.

  1. Wybieramy tryb pracy narzędzia. Interesuje nas Kaspersky Rescue Disk. Graphic Mode.

  1. Trwa ładowanie środowiska Kaspersky Rescue Disk 10.

  1. Gdy środowisko zostanie załadowane, zobaczymy ekran Kaspersky Rescue Disk

Aktualizacja

  1. W oknie Kaspersky Rescue Disk przechodzimy na kartę My Update Center

  1. Klikamy Start Update

  2. Trwa aktualizacja bazy sygnatur wirusów. Czekamy.

  1. Gdy aktualizowanie zostanie zakończone widzimy informację “Database status: up to date” (oznacza, że baza danych jest aktualna) i “Database release data” (tutaj zwykle widnieje data dzisiejsza albo zbliżona do niej jeżeli baza danych jest aktualna). Poniżej (Threat types, Total, Database release date) widzimy informację o ilości wykrywanych zagrożeń.

Skanowanie

  1. W oknie Kaspersky Rescue Disk przechodzimy na kartę Objects Scan.

  2. Zaznaczamy obiekty, które mają zostać przeskanowane. Jeżeli w częsci “Scan your computer” nie widzimy interesujących nas obiektów, klikamy Add i wskazujemy obiekty do przeskanowania.

  1. Gdy wszystko jest ustawione tak jak trzeba klikamy Start Objects Scan

  1. Trwa skanowanie

Jeżeli oprócz okna Kaspersky Rescue Disk mamy otwarte inne programy (np. przeglądarkę internetową Konqueror), to czas działania środowiska może być wolniejszy w trakcie skanowania.

Długość skanowania jest zależna od wielkości dysku, ilości danych itp.

  1. Jeżeli podczas skanowania nie zostaną znalezione żadne zagrożenia, to po zakończeniu skanowania zobaczymy o tym informację pod przyciskiem “Start Objects Scan”.

image_id: 4927

W razie znalezienia zagrożeń podczas skanowania Kaspersky powinien nas o tym poinformować.

Ustawienia

Ponadto Kaspersky Rescue Disk oferuje jeszcze kilka ciekawych funkcji, które omówię.

Quarantine - wyświetla kwarantannę, może być to miejsce warte uwagi jeżeli podczas skanowania znalezione zostały zagrożenia

Report- przedstawia raport ze skanowania.

Settings - otwiera okno ustawień

[*:inr12ze3]Objects Scan - poziom zabezpieczeń i rodzaj wykonywanej akcji podczas skanowania

[*:inr12ze3] My Update Center - ustawienia dotyczące aktualizacji

[*:inr12ze3] Settings - Threats and exclusions - pozwala wybrać jakie rodzaje zagrożeń mają być wykrywane oraz zdefiniować wykluczenia

[*:inr12ze3] Settings - Notifications - pozwala określić ustawienia dotyczące informowania o zdarzeniach, takich jak wykrycie malware, nieaktualna baza sygnatur itp.

[*:inr12ze3] Settings - Reports and Storages - pozwala zdefiniować opcje dotyczące tworzenia raportów i składowania danych. Program tworzy na dysku systemowym własny katalog i zapisuje tam pewne dane.

Dostęp do sieci

Kaspersky Rescue Disk umożliwia dostęp do sieci. Jeżeli Kaspersky posiada sterowniki do karty sieciowej, której używamy, możemy z powodzeniem nawiązać połączenie z siecią. Podobnie jak w Windows, sieć symbolizuje znaczek dwóch komputerów, który znajduje się w prawym dolnym rogu. Jeżeli klikniemy na niego prawym przyciskiem myszy i wybierzemy Edit Connections, uzyskamy dostęp do okna Network Connections, z poziomu którego można na przykład skonfigurować nowe połączenie. U mnie połączenie sieciowe po kablu zostało automatycznie skonfigurowane, gdyż w sieci działa usługa DHCP.

e59f14ee4cbdb2477bfe3086611a0f9c.png

Z poziomu Kaspersky Rescue Disk możemy uzyskać dostęp do internetu. Jeżeli klikniemy K w lewym dolnym rogu i wybierzmy Konqueror to zostanie otwarta przeglądarka internetowa znana ze środowiska KDE.

Prawa autorskie

Zabraniam kopiowania poradnika bez mojej wiedzy i zgody. Zainteresowanych proszę o kontakt mailowy pod adresem adam9870[małpa]gmail.com


(adam9870) #3

Dr.Web® LiveCD


(adam9870) #4

Norton Bootable Recovery Tool (NBRT)

 

Norton Bootable Recovery Tool (NBRT) to zestaw narzędzi, bazujący na środowisku WinPE, które można uruchomić z płyty i zastosować w czasie infekcji systemu. Uwaga, NBRT jest przeznaczony dla posiadaczy produktów Norton, podczas uruchamiania komputera ze środowiska NBRT wymagane jest wprowadzenie klucza produktu na posiadany produkt marki Norton. Z doświadczenia wiem, że działa z kluczami do wersji testowych Norton Internet Security.

 

Pobieranie i instalacja

 

Otwieramy stronę Norton Rescue Tools i klikamy Download.

sml_ad7fc283edbd442a2e250fb0d79e2ddf.png

 

W zależności od ustawień przeglądarki internetowej, z której korzystamy zostaniemy poinformowani o możliwości pobrania pliku. Zgadzamy się.

6eaa6b235d73b6f2c75c89312456d700.png

 

Zostanie pobrany plik NBRT-Retail-Downloader.exe. Uruchamiamy go.

Zostanie wyświetlone okno Norton Download Manager, które uruchomi proces pobierania Norton Bootable Recovery Tool.

c38555b17efb715089ff2c44ffb413f0.png

 

Gdy pliki NBRT zostaną pobrane, zostanie wyświetlone okno instalatora, w którym klikamy Zgadzam się i instaluję.

 

Wcześniej możemy kliknąć Opcje instalacji, aby uzyskać możliwość zmiany domyślnej lokalizacji, do której zostanie zainstalowany program

 

Trwa instalowanie i konfigurowanie

 

 

 

Po zakończeniu instalacji zobaczymy stosowny komunikat. Klikamy Finish.

 

Kreator narzędzia Norton Bootable Recovery Tool

 

  1. Uruchamiamy Norton Bootable Recovery Tool Wizard (Kreator narzędzia Norton Bootable Recovery Tool). Jeżeli używamy Windows Vista/7 to możemy zostać poproszeni o potwierdzenie komunikatu Kontroli Konta Użytkownika.

  2. Program oferuje następujące opcje:

 

Utwórz na nośniku CD-DVD

Kreator pozwala określić napęd, w którym znajduje się płyta na której ma zostać nagrane środowisko Norton Bootable Recovery Tool, opcjonalne dodanie sterowników i określenie języka. Z przygotowanej w ten sposób płyty można uruchomić komputer.

 

 

Utwórz plik ISO

Kreator pozwala wybrać lokalizację, do której ma zostać zapisany plik ISO, opcjonalne dodanie sterowników i określenie języków. W efekcie tworzony jest plik ISO, który nagrywamy na płytę. Obrazu ISO nie rozpakowujemy. Do nagrania można użyć bezpłatnego programu Active ISO Burner. Sugeruję nagrywanie najmniejszą dostępną prędkością. Płyta, na którą zostanie nagrany obraz ISO posłuży nam do uruchomienia z niej płyty.

 

 

 

 

Utwórz na dysku USB

Kreator pozwala zdefiniować napęd, na który mają zostać zapisane pliki Norton Bootable Recovery Tool, opcjonalnie dodać sterowniki i określić język. Aby NBRT został zapisany na pendrive konieczne jest sformatowanie pendrive. Z przygotowanego w ten sposób pendrive można uruchomić komputer.

 

 

 

af2207fae085fd7b98d1366118f41b93.png

 

 

 

Zaktualizuj definicje na dysku USB

Opcja, która pozwala dokonać aktualizacji definicji wirusów na dysku USB, na którym znajduje się Norton Bootable Recovery Tool.

 

184e53cc3830e57ad9ba811026c9a6d7.png

 

 

 

Uruchamiamy Norton Bootable Recovery Tool

 

  1. Uruchamiamy komputer z płyty zawierającej Norton Bootable Recovery Tool. W zasadzie nie musimy nic robić. Cały proces uruchamiania przypomina uruchamianie komputera środowiska WinPE (na którym zdaje się bazuje NBRT) albo płyty instalacyjnej Windows.

 

  1. Po załadowaniu środowiska widzimy umowę licencyjną oraz miejsce na klucz produktu, wprowadzamy go. Wprowadzanie klucza produktu może odbywać się normalnie, jeżeli mamy do dyspozycji tradycyjną klawiaturę, albo klikamy w Klawiatura wirtualna, aby skorzystać z takowej. Po wprowadzeniu klucza, aby zaakceptować licencję klikamy Zgadzam się. Podczas wprowadzania klucza nie musimy podawać myślników, zostaną one wprowadzone automatyczne.

 

Norton Power Eraser

Skanowanie naprawcze narzędzia Norton Power Eraser

 

  1. W głównym oknie porgramu Skanowanie naprawcze narzędzia Norton Power Eraser

 

  1. Trwa pobieranie Norton Power Eraser

 

  1. Akceptujemy licencję

 

  1. Czekamy

 

  1. Wybieramy Skanuj w poszukiwaniu zagrożeń

 

  1. Wybieramy system

 

  1. Trwa skanowanie

 

  1. Po zakończeniu skanowania, program wyświetla informację na ten temat oraz o znalezionych zagrożeniach. Sugeruje podjęcie konkretnych działań, ale decyzja należy do użytkownika.

 

med_29159489b33f1ec18236b3b653adea78.jpg

med_0df576e47c2198cf1d4ceb0eaa63f555.jpg

 

med_8549dc7b4d581afa5fedb18b6f58b75d.jpg

 

 

Usunąłem coś potrzebnego?! Czyli historia Norton Power Eraser

 

Historia to przydatna opcja Norton Power Eraser w sytuacji gdy podczas skanowania Norton Power Eraser usunęliśmy coś potrzebnego.

 

  1. W głównym oknie Norton Power Eraser klikamy Historia

  2. W oknie Poprzednie sesje naprawy wybieramy interesującą nas sesję naprawy.

  3. W oknie Poprzednie sesje naprawy widzimy elementy jakie zostały usunięte w ramach poprzedniej, wybranej sesji naprawy. Klikamy Cofnij, aby przywrócić te elementy.

  4. W oknie Poprzednie sesje naprawy widzimy informację, że pliki zostały przywrócone.

 

Ustawienia Norton Power Eraser

 

W głównym oknie Norton Power Eraser klikamy Ustawienia

med_fc88c857950422ea5080cb2a5454db79.png

 

Zostanie otwarte okno, w którym możemy skonfigurować plik dziennika, usunąć historię dziennika albo przywrócić ustawienia domyślne. Po kliknięciu Konfiguruj uzyskujemy dostęp do opcji związanych z połączeniem sieciowym, można tam określić na przykład ustawienia serwera proxy albo uwierzytelniania.

med_4c89e7fd9cddf06051444a1e2cd52861.png

 

 

Zaawansowane skanowanie naprawcze

 

  1. W głównym oknie programu wybieramy Zaawansowane skanowania naprawcze

 

med_df3dac5a53460a5de1ffb010aeee74ae.png

 

  1. W oknie, które zostanie otwarte klikamy Uruchom skanowanie. Poniżej widzimy informację o tym czy baza wirusów jest aktualna oraz o miejscu zapisu informacji o sesji skanowania wraz z możliwością zmiany lokalizacji, do której te dane są zapisywane.

med_a6f5c9c188f5b752963266168819dff3.png

 

  1. Czekamy.

Długość skanowania jest zależna od wielkości dysku, ilości danych itp. Na początku trwa aktualizacja bazy wirusów.

 

U mnie nie było z tym problemów. Posiadam w sieci działającą usługę DHCP, system automatycznie otrzymał wszystkie niezbędne dane potrzebne do połączenia z siecią, a WinPE posiada sterownik do karty sieciowej. Jeżeli chcemy mieć najnowszą bazę wirusów, jeżeli nie posiadamy w sieci serwera DHCP albo jeżeli WinPE nie obsługuje naszej karty sieciowej polecam demonstrację Środowisko WinPE 2.0. Aby uzyskać dostęp do wiersza polecenia wystarczy kliknąć Uruchom wiersz polecenia w głównym oknie Nortona.

 

  1. Gdy skanowanie zostanie zakończone widzimy informacje o wynikach lub ich braku, możemy przeprowadzić je jeszcze raz (Skanuj ponownie) albo wrócić do okna głównego Norton Bootable Recovery Tool (NBRT) (Gotowe).

med_23b2c64a9946ae46c12201116f548cb1.png

 

Usunąłem coś potrzebnego?! Czyli opcja Cofnij

 

  1. W głównym oknie programu wybieramy Zaawansowane skanowania naprawcze

 

med_df3dac5a53460a5de1ffb010aeee74ae.png

 

  1. W oknie, które zostanie otwarte klikamy Cofnij i postępujemy według wskazówek widzianych na ekranie.

 

Uwaga. Tak jak informuje Noroton, opcja Cofnij przywracania nie tylko omyłkowo usunięte potrzebne pliki, ale także szkodliwe oprogramowanie jeżeli takie zostało usunięte i przy okazji usunęliśmy potrzebne pliki.

 

Oznaczenia partycji

 

Należy zwrócić uwagę, że Windows Vista/7 oferują możliwość instalacji systemu na dwóch partycjach. Jedna partycja ma wielkość 100 MB i jest przeznaczona na środowisko WinRE. Jest ona niewidoczna w oknie Komputer. Druga partycja to partycja systemowa, to ta którą widzimy gdy działa system i wejdziemy do Komputer. Jest ona widoczna w oknie Komputer jako Dysk lokalny (C:).

 

med_7a70c88f61bdb48c516271c5b1a80ea3.png

 

Norton partycję o wielkości 100 MB wykrywa jako C, natomiast partycja systemowa którą widzimy jako C w oknie Komputer gdy działa system jest wykrywana jako D.

 

Prawa autorskie

 

Zabraniam kopiowania poradnika bez mojej wiedzy i zgody. Zainteresowanych proszę o kontakt mailowy pod adresem adam9870[małpa]gmail.com