Brugsanvisning til TheKillBox (TKB) (oversat fra OptionExplicit manual):
_______________________________
SLETNING AF "FILER I BRUG"
_______________________________
TheKillBox (TKB) er grundlæggende en process-afslutter for filer der er i brug samt et program til afinstallering af dll filer. Der er såmænd ikke nogen speciel hokus-pokus gemt i programmet, det er blot en automatisering af processer der alle kan laves manuelt. For os, der ikke er glade for manuelt arbejde/programmering, er det et glimrende stykke værktøj.
Når du starter programmet viser nedenstående vindue sig. I skrivefeltet skal man blot skrive hele stien til det man vil slette og trykke "Find and Kill This File" - altså den lyserøde knap. For at undgå fejltastninger er det praktisk at Klippe/Klistre (copy/paste) fra eksempelvis en HiJackThis log, som vist i eksemplet..
TheKillBox vil selv finde ud af om stien du har skrevet er korrekt. Hvis den er korrekt vil filen blive slettet - hvis ikke, kommer der en besked om at filen ikke eksisterer. Hvis filen eksisterer vil den aktuelle process blive udledt af fil-navnet og processen vil blive afsluttet (så filen kan slettes).
Når du klikker på Find and Kill This File, vil TKB forsøge at stoppe og slette processen. Du har mulighed for at lade TKB lave en back-up af filen (se checkmærket "Create a backup before Killing this file" - afmærket som default). Back-up'en vil blive lagt i en "skuffe"/folder/directory der oprettes i %Systemroot%\!Submit\dd-mm-yy\ - som oftest vil dette være eksempelvis C.\!Submit\01-03-04\trojan.exe (fra eksemplet ovenfor).
__________________________________
SLETNING VED NÆSTE GENSTART
__________________________________
Når "malware" filer opererer i par som eksempelvis CommonNames “winnet.exe” and “comwiz.exe” eller PeperTrojanerens "tilfældige_navne.exe" og de hver især holder øje med hinanden for at undgå at blive fjernet, så kræver sletning normalt at dette sker fra Fejlsikret Tilstand. TKB kan sætte disse i kø for sletning ved næste genstart.
For at bruge denne funktion skal du have fat i "Delete Files on Reboot". Dette gøres ved at klikke på den grønne pil knap, hvorefter der dukker et ny vindue op (se billedet nedenfor). Igen skal du skrive (eller klippe/klistre) stien til de filer du vil have slettet - en ad gangen - i det øverste skrivefelt. Når én sti er skrevet ind i tekstfeltet skal du nu klikke på "Add File", hvorefter du kan se den i det nederste vindue. Dette gøres for hver fil du vil have slettet - altså skriv stien i øverste tekstfelt og klik "Add File". Får du skrevet en forkert sti ind kan du markere stien i det nederste felt og klikke på "Remove File" - stien forsvinder og filen bliver ikke slettet.
Når alle filer som du ønsker slettet ved næste genstart optræder i nederste vindue klikker du på "Remove on Reboot" og programmet vil bede dig om at genstarte.
________________________________________
LOOK2ME og BETTERINTERNET (msg{}dll filer)
________________________________________
Med TheKillBox kan du også scanne for illegale dll filer, der eksempelvis følger med Look2Me og BetterInternet. Disse skifter naturligvis navn og opdateres - det samme vil TheKillBox blive når programmøren erkender problemet.
For at scanne efter denne type filer, klik på "msg{}dll Find" lige under den lyserøde knap. Når du trykker på denne knap starter TKB med at scanne efter dll filerne.
Scan-/Søgefunktionen leder i øjeblikket alene i Windows System directory'et efter mulige fil navne som kan være relateret til Look2Me. Det er ikke nogen særlig præcis eller videnskabelig metode, så der vil både dukke legale og illegale dll filer op. Du skal med andre ord vide hvad du er ude efter og under ingen omstændigheder fjerne filer som du er i tvivl om.
Bemærk at i nr. 2 programboks - "User Agent String Found" - vises strengen der findes i registry nøglen. Hvis du ikke ved hvad det er eller om det skal fjernes kan du klikke på "Save Log" og kopiere teksten til dit yndlings-forum ...! hvor eksperter står parat til at oversætte :-)
I eksemplet ses et "typisk" msg{}115 der er blevet opdaget. I eksemplet vælges "Select this file to Kill" da vi ved at det er en illegal fil. Dette fører dig tilbage til det første skærmbillede, hvor du blot skal vælge "Find and Kill This File".
Med disse eller andre filer, der er startes sammen med Explorer.exe, vil du opleve at TKB afslutter Explorer processen midlertidigt mens den hiver .dll-filen ud af sit directory og sletter den. Du får besked om operationen er lykkedes eller ej.
Nok om TheKillBox. Bemærk, at TKB ikke fjerner nøgler eller strenge i Registry databasen, så du vil se (missing file) i din efterfølgende HiJackThis log, hvor .dll-filen tidligere har været. De er dog lige til at fjerne med HJT efterfølgende. Endvidere skal det bemærkes, at TKB også sletter hele directories, hvis stien ikke fører til en fil, men til et directory. Den lyserøde knap vil ændre tekst til "Deltree*.*" - forsigtig med den. Du fjerner hele directory'et med indhold.
Option^Explicit Software Solutions
techcd@shaw.ca