GMER => Do pobrania ze strony autoraProgram działa w systemie Windows NT/W2K/XP
Rootkit ukrywa niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. I właśnie do jego wykrycia potrzebny nam będzie program
Gmer .
Nie będe się rozpisywał w jaki sposób Gmer to robi gdyż pełny opis mozliwości programu jest na stronie autora. Można również pobrać sobie film demonstracyjny w jaki sposób gmer wykrywa rootkity.
Nas będzie interesowało zrobienie log-a i pokazanie go na forum. Równiez przedstawie problemy z uruchomieniem gmera.
O to podstawowy wygląd programu
Na pierwszy rzut oka mamy po prawej funkcje bardzo przydatne których będziemy używać przy walce z rootkitem lub z innymi dręczącymi nas wirusami a są to:
ZABIJ WSZYSTKO(Gmer) AWARYJNYObie funkcje są do siebie dość podobne. Z tym że "ZABIJ WSZYSTKO" działa bezpośrednio na uruchomionym sytemie a 'AWARYJNY' gmer restartuje kompa i uruchamia system w trybie dla nie go awaryjnym. Sa tylko dwa procesy "CSRSS.EXE i GMER.EXE". Obie te funkcje pozwalają nam bezproblemowo usunąć wirusa.
A teraz następna funkcja programu bardzo przydatna którą będziemy mogli zastosować.
Pierwszy od góry jest to nasz '
WIERSZ POLECEŃ" (CMD) Za pomocą którego będziemy usuwać wirusy które normalnie nie chcą opuścić naszego kompa.
Drugi jest to '
REGEDIT' który pozwala nam dokonywać zmian w rejestrze bez potrzeby tworzenia różnych plików .reg
I
UWAGA te funkcje gmera pozwalają nam usuwać wirusy z którymi trzeba się męczyć w konsoli odzyskiwania.( i oczywiście nie tylko w konsoli ) A wiadomo jak jest z konsolą : nie mamy płyty xp , nie działają dyskietki itd.. Wystarczy wpisać komendy i wybrać funkcje 'ZABIJ WSZYSTKO' następnie uruchom i po kłopocie. Komputer nie będzie nas dręczył komunikatami że coś jest używane w danej chwili i nie da rady usunąć.
Tworzenie log-a
Tworzenie loga jest bardzo proste wybieramy zakładke Rootkit >>> Szukaj . Czekamy aż gmer skończy i następnie Kopiuj >>> Ctrl + V (do posta wklejamy).
Problemy z programem gmerGmer jak kazdy program może mieć swoje problemy wynikające z zainstalowanego np: jakiegoś softu na naszym kompie lub zainstalowane drivery wirtualnych dysków
Nie działa mi funkcja zabij wszystko. Gmer również nie uruchamia sie w trybie awaryjnym1 . Proszę wejść: Prawym myszki na Mój komputer >>>Właściwości >>> Zaawansowane-- i na dole mamy opcje Zmienne Środowiskowe. Sprawdzamy zmienną musi być takie minimum
PATH=C:\WINDOWS\System32;C:\WINDOWS
Możemy mieć też taki wpis i wtedy nic nie zmieniamy
PATH=C:\WINDOWS\System32;C:\WINDOWS\System32\Wbem;C:\Program Files\Ati Technologies\Ati Control Panel
Jeśli brakuje nam tego wpisu do zmiennej wybieramy "NOWA" i tworzymy minimum tak jak jest wyżej napisane
Powinno to wyglądać tak
Wybrać OK i restart kompa.
2 . Natomiast problem wygląda inaczej jak mamy w systemie zainstalowane dyski wirtualne. np: Alcohol 120% lub DAEMON Tools
Jeśli mamy te dwa programy zainstalowane przykładowo zeby działała funkcja "ZABIJ WSZYSTKO" musimy wejść w w tryb awaryjny i system zapyta się nas czy ładować drivery sptd.sys (Dam-T) i a347bus.sys , a347scsi.sys (Alc 120%) wybieramy ESC i mozemy używać już w pełni gmera.
Narazie innej możliwości nie ma. Autor programu pracuje nad współpracą Gmer-dyski wirtualne
3 . Występuje jeszcze taki problem z programem. Po wybraniu raz gmer awaryjny i nie wpisaniu zmiennej środowiskowej. Po wejściu w program gmer zawsze przerabia system na awaryjny.
Przoszę wpisać w uruchom - regedit i ok. I przejśc do klucza
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gmer]
i skasować prawym myszki wpis
"Safe"="1"
4 . Ostatnia ważna sprawa aby Gmer działał poprawnie musi być zapisany na dysku C:\ Po ściągnięciu programu wypakowujemy go na dysk C:\
Jeśli ktoś chce więcej dowiedzieć się możliwości programu zalecam z zapoznaniem się na stronie Autora. Albo nawet napisać do niego jeśli coś jest dla nas nie zrozumiałe.
Przydatne funkcje w programie Gmer i ich zastosowanie.1.
Usuwanie plików "z ręki" kiedy nie działają komendy w CMD (wierszu pleceń)Przykładem takiego zastosowania usuwania może być chiński rootkit ostatnio bardzo popularny w sieci.
Jego przykładowy wygląd w logu w hijackthis jest taki:
O4 - HKLM\..\RunServices: [˙_zskp`wzwhl^pdciyvsw50inkrwksz_] c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe
O4 - HKCU\..\Run: [˙_zskp`wzwhl^pdciyvsw50inkrwksz_] c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe
Gmer dodatkowo nam pokaże jeszcze te jego pliki:
File C:\WINDOWS\system32\_zskwrkni05S`MR[IPV_G`[`KXL.dll
File C:\WINDOWS\system32\_zskwrkni05S`MR[IPV_G`[`KXL.exe
File C:\WINDOWS\system32\_zskwrkni05WSVYICDP^LHWZW`P.dll
Jak widzimy nazwy tych plików są strasznie pokręcone i wiersz poleceń (cmd) może nie wykonać komend usuwania.
Więc muismy usuwanie zastosować ręczne. Przechodzimy do zakładka procesy i wybieramy albo "ZABIJ WSZYSTKO" albo "GMER AWARYJNY". Następnie wybieramy funkcje PLIKI.
Wyszukujemy pliki syfu na dysku np:
c:\windows\system32\_zskwrkni05wsvyicdp^lhwzw`p.exe , zaznaczamy i dajemy usuń. Jeśli usuniemy wszystkie złośliwe pliki możemy w zakładce procesy uruchomić np: program hijackthis i usunąć wpisy rootkita. Czyli wybieramy ... (trzy kropki) szukamy hijackthis (zaznaczając po prawo opcje pokaż wszystko) Dajemy ok i Uruchom. I możemy teraz skasowac wpisy.
Oczywiście to jest przykład. Tą metode usuwania można zastowac i w innych przypadkach.
2.
Usuwanie złośliwych usług np:Trojana HAXDOORLog z gmera (Zakładka rootkit=>zaznaczone tylko usługi i pokaż wszystko) nam pokaże naszą niepotrzebną usługe
Service F:\WINDOWS\System32\msudp4.sys [SYSTEM] msudp4
Klikamy na nią prawym myszy i kasujemy. Program zapyta się czy skasowac plik. Oczywiście zgadzamy się.
Przechodzimy do zakładki "CMD" i wklejamy komendy
ATTRIB -R -S -H C:\WINDOWS\System32\msudp4.sys
DEL C:\WINDOWS\System32\msudp4.sys
Przechodzimy na zakładke procesy i wybieramy opcje "ZABIJ WSZYSTKO" i wracamy do zakładki "CMD" i dajemy uruchom. Powrót do zakładki procesy i wybieramy "RESTART"
3.
Przykład usuwania Rootkit'a pe386Wycinek loga z Gmer'a (Zakładka Rootkit=>szukaj , bez zaznaczania opcji pokaż wszystko)
Service C:\WINDOWS\pe386.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet004\Services\pe386
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Jak GMER skończy skanowanie w zakladce Rootkit robimy przykładowo tak
- Zaznaczamy wszystkie SSDT i prawy przycisk myszy "Przywróć SSDT"( maja zniknąć wszystkie wpisy typu SSDT )
- wyszukujemy wpisu
Service C:\WINDOWS\pe386.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!
i prawym myszy wybieramy usuń usługe (procedura taka sama jak wyżej w przypadku usług)
- Przechodzimy do zakładki "CMD" i wklejamy
DEL C:\WINDOWS\System32\pe386.sys
- Zaznaczamy opcje w zakładce "CMD" -REGEDIT i wklejamy
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pe386]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pe386]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\pe386]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
- Następnie przechodzimy zakładka Procesy wybieramy opcje "ZABIJ WSZYSTKO" wracamy z powrotem do "CMD" i klikamy uruchom dla obu opcji (CMD + REGEDIT) z osobna. Wracamy do zakładki procesy i "RESTART"
To jest równiez przykład w jaki sposób można się pozbyć rootkit'a za pomocą programu GMER
4.
AV Scanner
Bardzo przydatny programik zrobiony przez autora programu Gmer. Przy współpracy z Gmer'em pozwala nam scanerami online usunąć syf z systemu
Pobieramy program
http://www.gmer.net/av.zip i robimy tak
Jak to dziala:
1) Uruchom av.exe
2) Wybierz "Kaspersky On-line Scanner" i nacisnij "Online", aby zainstalowac skaner.
3) Wystartuj "GMER Awaryjny"
4) Uruchom av.exe
5) Wybierz "Kaspersky On-line Scanner" i nacisnij "Run"
Pozdrawiam
GMER
PS
Oczywiscie wszystko dziala tez poza trybem awaryjnym
Powybraniu opcji "ZABIJ WSZYSTKO" lub "GMER AWARYJNY" scaner bezproblemowo będzie mógł usunąć znaleziony syf. Program dodatkowo posiada funkcje usuń.
Nowa wersja programu do pobrania ze strony autora zmiany
1.0.13
- Dodana detekcja hooków IAT
- Dodane wykrywanie hooków AttachedDevice
- Dodane wykrywanie hooków poza sekcjami kodu
- Dodany przycisk "Zapisz ..." log
Przed wstawieniem nowej wersji najpierw deaktywujmy stary sterownik. W tym celu wpisujemy w start=>uruchom
NET STOP GMER i OK
Do przetestowania nowa wersja beta programu
Download =>>
1.0.14.14116 BETALista zmian:
Poprawione skanowanie ukrytych plików
Poprawione skanowanie rejestru
Dodana przeklądarka plików
Dodana przeklądarka i edytor rejestru
Dodany export rejestru
Dodane funkcje "Zabij plik" i "Wyłącz usługę"
Dodany parametr "gmer.exe -nodriver"
Dodany parametr "gmer.exe -killfile"
gmer.exe -killfile C:\WINDOWS\system32\drivers\runtime2.sys
gmer.exe -killfile C:\WINDOWS\system32:pe386.sys
Uproszczone wyświetlanie hooków urządzeń.
Oczywiście przed zabawą z nową wersją robimy;
Przed wstawieniem nowej wersji najpierw deaktywujmy stary sterownik. W tym celu wpisujemy w start=>uruchom
NET STOP GMER i OK
Aktualna wersja :
1.0.14.14536
