
Jak założyć wątek w dziale "Bezpieczeństwo" oraz co w nim zawrzeć
1. Temat
Ma służyć Tobie oraz nam do szybkiej identyfikacji problemu. Przykład:
Zablokowany dostęp do Rejestru [Dobrze]
Niespodziewana zmiana wyglądu Pulpitu [Dobrze]
Samoistne otwieranie niechcianych stron [Dobrze]
„Otwórz z” po kliknięciu na dysk/folder [Dobrze]
Problem z {komputerem} {systemem} {Internetem} {grafiką / dżwiękiem/...} itd. [Źle]
Pomocy! [Źle]
Komputer nie chce się uruchomić [Źle]
Komputer muli [Źle]
Ogólne zasady tytułowania wątków:
http://forum.pcformat.pl/Bardzo-krotkie-...AC-watki-t
Każdy użytkownik powinien mieć własny temat, nawet jeśli problem wydaje się identyczny lub podobny do problemu opisanego w innym wątku.
Netykieta, punkt 10:
http://forum.pcformat.pl/Netykieta-t
Podpięcia do cudzych wątków będą zwykle lądować w koszu (chyba, że po wydzieleniu będą stanowić spójną i zrozumiałą całość).
2. Co zostało zrobione w celu usunięcia problemu ?
Opisz dokładnie czynności, jakie wykonałaś/wykonałeś dotychczas w celu rozwiązania problemu.
Jeśli użyto narzędzi antymalware - napisz jakich, co zostało wyleczone/usunięte. Najlepiej, jeśli załączysz raporty z tych narzędzi.
Preferujemy raporty w formie tekstowej - w przypadku zrzutów ekranu na ogół nie wszystko jest widoczne (np. ścieżki do plików są niekompletne, bo tabelka miała zbyt wąską kolumnę...).
Obecnie istnieje 'wersja robocza' wątku podającego, gdzie znaleźć raporty z narzędzi antymalware:
http://forum.pcformat.pl/wersja-robocza-...jcie-sie-t
Jeśli pomoc była lub jest prowadzona również na innym forum - proszę podać link do odpowiedniego tematu.
3. Opis problemu
W wątku powinien znaleźć się dokładny opis problemu. Używaj polskich znaków i staraj się pisać poprawnie gramatycznie. Pomyśl - ktoś to musi potem przeczytać...posty napisane bez ładu i składu bardzo ciężko się czyta, a jeszcze trudniej zrozumieć co użytkownik miał na myśli:
http://forum.pcformat.pl/Netykieta-t
(punkt 3)
Proszę nie zamieszczać samych logów/raportów. To męczące, kiedy co drugiego użytkownika trzeba pytać 'co mu dolega'. Często będziemy proponować pewne dodatkowe narzędzia w zależności od objawów/problemu.
* Jeśli komputer został zainfekowany - można wymienić nazwę wirusa lub pliki, w których infekcja jest znajdowana.
* Jeśli praca komputera jest spowolniona, jednak popularne narzędzia antymalware nic nie znajdują - warto sprawdzić jak komputer zachowa się w trybie awaryjnym (i opisać to), ewentualnie sprawdzić czy jakiś proces wyróżnia się w menedżerze zadań, jeśli chodzi o zużycie zasobów procesora.
Warto ten wynik porównać ze wskazaniami Process Explorer:
http://technet.microsoft.com/en-us/sysin...s/bb896653
* Jeśli "komputer się resetuje" lub występują BSODy - proszę w pierwszej kolejności odwiedzić dział 'Oprogramowanie' oraz ten wątek:
http://forum.pcformat.pl/Bledy-krytyczne-vademecum-t
Można również posłużyć się programem BlueScreenView:
http://www.nirsoft.net/utils/blue_screen_view.html
wczyta on automatycznie pliki minidump i wskaże prawdopodobną przyczynę (wadliwy sterownik) oraz pokaże kod błędu wraz z parametrami.
* mam dużo procesów svchost.exe, jeden z svchost.exe obciąża procesor - proszę najpierw przejrzeć ten wątek:
http://forum.pcformat.pl/Duzo-procesow-s...o-znaczy-t
Jeśli sprawa się nie wyjaśni - piszemy na forum.
* Jeśli jest podejrzenie infekcji - proszę opisać na jakiej podstawie jest to wnioskowane (przesłanki) i co się dokładnie dzieje.
*Jeśli są problemy z dostępem do internetu (spowolnienie łącza, częste rozłączanie itp.) dodatkowo warto podać sposób łączenia z internetem (nazwę modemu szerokopasmowego USB ADSL, karty sieciowej+routera itp.), nazwę dostawcy internetowego
* nie widzimy tego, co masz na swoim monitorze (tak, trudno to sobie wyobrazić...) - zatem jeśli wyświetla się 'jakiś błąd' - nikt nie będzie w stanie pomóc. Należy podać dokładną treść błędu, ewentualnie zaprezentować jego printscreen lub wyraźne zdjęcie.
4. Emulatory napędów oraz inne oprogramowanie kolidujące
Przed wykonaniem logów/raportów oraz rozpoczęciem usuwania infekcji należy usunąć oprogramowanie kolidujące z niektórymi stosowanymi przez nas narzędziami.
* Emulatory napędów - Daemon Tools, Alcohol 120%.
1. Odinstaluj dany program poprzez panel 'Dodaj lub usuń' programy.
2. Usuń sterownik sptd.sys korzystając z narzędzia:
http://www.duplexsecure.com/en/downloads
SPTD for Windows 2000/XP/2003/Vista/Windows 7, 8, 10 (32 bit)
SPTD for Windows XP/2003/Vista/Windows 7, 8, 10 (64 bit)
w zależności od posiadanej wersji systemu.
3. W pierwszym oknie wybierz Uninstall.
4. W kolejnym oknie wciśnij OK.
5. W następnym oknie (informacja o konieczności ponownego uruchomienia systemu) wciśnij OK.
6. Uruchom ponownie system.
* Pozostałe oprogramowanie (będzie uzupełnione)
Niewykonanie powyższych czynności może spowodować nieprawidłową pracę niektórych narzędzi do sporządzania raportów/usuwania infekcji, np. GMER, Combofix lub powodować nawet BSODy w trakcie ich działania.
5. Logi/raporty
Poniżej znajduje się lista narzędzi, których należy użyć do wygenerowania logów/raportów i dołączyć je do wątku. Wybieramy zestaw adekwatny do zainstalowanego systemu operacyjnego.
Jeśli są wątpliwości odnośnie posiadanej wersji systemu (np. 32- czy 64-bitowy) - proszę zajrzeć do logu z OTL - dokładna nazwa systemu powinna pojawić się w 3-ciej linijce pliku OTL.txt.
Uwaga 1
Poniższe programy nie są do wyboru - pokazujemy wynik działania wszystkich programów z danego zestawu !
Uwaga 2
Jeśli są problemy z działaniem narzędzi po uruchomieniu systemu w trybie normalnym - korzystamy z trybu awaryjnego.
Jeśli jednak narzędzia działają poprawnie po uruchomieniu systemu w trybie normalnym - proszę pokazać logi z trybu normalnego.
Logi:
Systemy 32-bitowe z rodziny Windows - Windows 2000 i nowsze (używamy sześciu poniższych programów):
1) OTL
Szczegółowa instrukcja użycia programu -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Pokazujemy dwa pliki - OTL.txt oraz Extras.txt. Zostaną one utworzone w tym samym katalogu, z którego został uruchomiony program OTL.
2) RSIT
Szczegółowa instrukcja użycia -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Wystarczy pokazać plik log.txt
3) Silent Runners
http://www.silentrunners.org/
Po ściągnięciu skryptu *.vbs należy zapisać go na twardym dysku i uruchomić (z dwukliku).
Po zakończeniu działania (czas trwania do kilku minut) skryptu pojawi się stosowna informacja oraz log - proszę go dołączyć do postu.
Pełny opis:
http://forum.pcformat.pl/Silent-Runners-opis-t
4) GMER
http://www.gmer.net/
Proszę nie pokazywać prescanu, lecz wcisnąć przycisk 'Szukaj' i pokazać pełny raport.
5) MBRCheck.exe
http://ad13.geekstogo.com/MBRCheck.exe
Proszę pokazać tylko raport, nie kontynuować leczenia na własną rękę. Raport zostanie zapisany na pulpicie.
6) TDSS Killer:
http://support.kaspersky.com/pl/viruses/...ction/5350
Podczas skanowania komputera w pierwszym podejściu wybieramy akcję Skip (Pomiń), jeśli zostanie znaleziony podejrzany sterownik.
7) FRST:
http://www.bleepingcomputer.com/download...ool/dl/81/
Należy zaznaczyć: Addition.txt i Shortcut.txt - powstaną 3 logi > należy podać wszystkie.
INFO: Program po uruchomieniu wyszukuje i stosuje uaktualnienie. Po uruchomieniu klikamy [Scan].
Systemy 64-bitowe z rodziny Windows - Windows XP i nowsze (używamy pięciu poniższych programów):
1) OTL
Szczegółówa instrukcja użycia -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Pokazujemy dwa pliki - OTL.txt oraz Extras.txt. Zostaną one utworzone w tym samym katalogu, z którego został uruchomiony program OTL.
2) RSIT
Szczegółowa instrukcja użycia -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Wystarczy pokazać plik log.txt
Używamy 64-bitowej wersji RSIT:
http://images.malwareremoval.com/random/RSITx64.exe
3) Silent Runners
http://www.silentrunners.org/
4) GMER (wsparcie systemów 64-bitowych od wersji 2.0)
http://www.gmer.net/
Proszę nie pokazywać prescanu, lecz wcisnąć przycisk 'Szukaj' i pokazać pełny raport.
5) MBRCheck.exe
http://ad13.geekstogo.com/MBRCheck.exe
Proszę pokazać tylko raport, nie kontynuować leczenia na własną rękę. Raport zostanie zapisany na pulpicie.
6) TDSS Killer:
http://support.kaspersky.com/pl/viruses/...ction/5350
Podczas skanowania komputera w pierwszym podejściu wybieramy akcję Skip (Pomiń), jeśli zostanie znaleziony podejrzany sterownik.
7) FRST:
http://www.bleepingcomputer.com/download...ool/dl/82/
Należy zaznaczyć: Addition.txt i Shortcut.txt - powstaną 3 logi > należy podać wszystkie.
INFO: Program po uruchomieniu wyszukuje i stosuje uaktualnienie. Po uruchomieniu klikamy [Scan].
Systemy z rodziny Windows starsze niż Windows 2000 (używamy dwóch poniższych programów)
1) Silent Runners:
http://www.silentrunners.org/
2) Hijackthis:
http://www.dobreprogramy.pl/HijackThis,P...12030.html
Uwaga! Proszę nie podawać raportów z Hijackthis w przypadku systemów Windows 2000 i nowszych.
Jeśli są problemy z pobraniem lub uruchomieniem powyższych narzędzi (mogą to uniemożliwić niektóre infekcje) proszę dać znać na forum zamiast ten fakt przemilczeć.
W przypadku infekcji Sality można uzyć tego sposobu:
http://forum.pcformat.pl/Jak-pobrac-anty...z-Sality-t
Na koniec proszę sprawdzić jak wyglądają wklejone logi - powinny one być czytelne (wraz ze znakami /, \, spacjami itp) oraz wklejone w całości.
Według zasad forum dużych partii tekstu (właśnie takich jak logi / raporty) nie wklejamy bezpośrednio do postu. Można natomiast wstawić je w formacie załączników lub - sposób preferowany: umieścić na jakimś zewnętrznym serwerze.
Preferowane serwisy:
http://www.wklej.org
http://www.wklej.to
Na wszelki wypadek informuję jak to zrobić: tekst loga/raportu należy wkleić w duże puste pole > kliknąć "Wklej+" / "Dodaj" > skopiować nowo powstały adres z paska przeglądarki > wkleić go w treść posta z opisem np.
Cytat:OTL.txt: http://www.wklej.org/id/827832/(przed linkiem koniecznie spacja).
Logi dodatkowe
W przypadku infekcji pamięci przenośnych "Foldery zamienione w skróty" proszę dodać logi USBFix > Research i Listing.
Na żądanie osoby prowadzącej:
- FSS - należy zaznaczyć wszystkie opcje.
6.Uwagi dotyczące Combofix
Jeśli nie ma takiej potrzeby lub nie wiecie czy należy użyć Combofix - proszę go nie używać.
Jeśli jednak narzędzie było już wcześniej uruchomione, jeszcze przed zapoznaniem się z zasadami - proszę również dołączyć log z Combofix, który wtedy powstał. Musimy wiedzieć co zostało już usunięte.
Combofix działa obecnie na następujących systemach: Windows 2000, Windows XP (wersja 32-bitowa), Windows Vista (wersja 32- i 64-bitowa), Windows 7 (wersja 32- i 64-bitowa).
Do zapamiętania: nie używaj bez potrzeby.
7. Co można zrobić przed uruchomieniem Combofix ?
Jeśli prowadzący wątek zaleci użycie Combofix warto wykonać wcześniej obraz partycji systemowej:
http://forum.pcformat.pl/Po-uruchomieniu...startuje-t
8. Usuwanie infekcji
Prowadzący wątek zaleca wykonanie pewnych czynności w celu usunięcia infekcji. Powinny być one wykonywane w takiej kolejności, w jakiej zostały podane.
Proszę wykonywać wszystkie zalecane czynności a nie tylko wybrane. Jeśli są problemy z uruchomieniem jakiegoś narzędzia/otrzymaniem raportu/wykonaniem czynności - proszę o tym napisać a nie przemilczeć.
Podczas usuwania infekcji nie należy przywracać systemu do stanu wcześniejszego korzystając z funkcji przywracania systemu (wtedy znowu wracacie do punktu wyjścia), chyba że, prowadzący wątek to zaleci.
9. Uwagi dla osób udzielających pomocy w dziale 'Bezpieczeństwo'
- za bezpodstawną propozycję użycia ComboFix
- za bezpodstawną propozycję wykonania reinstalacji systemu ("format")
- porady szkodliwe (również nieprawidłowe usuwanie infekcji - np. usuwanie zainfekowanych plików systemowych zamiast zastąpienia ich zdrowymi kopiami)
- porady mogące zaszkodzić (np. propozycja wykonania defragmentacji dysku przy podejrzeniu fizycznego uszkodzenia dysku)
- porady narażające autora wątku (osoba prosząca o pomoc) na zbędne koszty (porada typu 'zmień zasilacz', jeśli przyczyną problemów jest infekcja) będą usuwane, zaś ich autor zostanie 'nagrodzony' stosownym ostrzeżeniem.
* Proponuję, aby dany wątek był prowadzący przez jednego użytkownika. W przeciwnym razie autor wątku dostaje różne, często sprzeczne ze sobą instrukcje i ma kolejny problem - nie wie, której użyć oraz w jakiej kolejności. Powstaje bałagan, jeden użytkownik 'gada' przez drugiego, dwóch się kłóci ze sobą, często dołącza do nich jeszcze trzeci, zaś czwarty wprowadza swoją nową własną 'teorię'.
* Jeśli jednak widzicie, że dany użytkownik proponuje metody szkodliwe, ryzykowne bez wprowadzania przysłowiowej 'deski ratunku' lub próbuje usunąć prawidłowe elementy proszę reagować - dopisać własny post z wyraźnym 'Nie rób tego, co wyżej, to jest szkodliwe' (lub podobnie) a następnie użyć przycisku 'Zgłoś' na 'wadliwym poście'.
Uwaga ! Ten wątek będzie edytowany i uzupełniany.
Wszelkie uwagi na temat wątku, spostrzeżenia i zastrzeżenia mile widziane - proszę kierować do mnie na PW.
Dziękuję koledze broda99 za uwagi w temacie i poprawki w sekcji 'Temat'.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t