Trata-se de uma ferramenta holandesa, criada por Smeenk, e usada na remoção de malwares, bem como capaz de realizar outras funções. Trata-se de uma ferramenta bastante antiga, que sofreu muitas modificações.
Ela é compatível com todas versões do Windows.
Link para download
Os usuários dos Windows Vista, 7 e 8, devem clicar com o botão direito do mouse no Zoek e selecionar .
Este tutorial será dividido em 3 partes. Nesta primeira parte, informarei os procedimentos básicos. Na parte 2, irei disponibilizar alguns scripts extras que não são visíveis bem como atalhos para as opções aqui listadas. Assim, estes scripts serão fornecidos conforme o estudo da ferramenta avançar. Por fim, na parte 3 serão disponibilizados os scripts para fix de alguns achados que não foram removidos durante o arkRed">Auto Clean (veja mais abaixo) da ferramenta. Esta parte 3 também está em crescimento conforme estudos.
Ao abrir o Zoek, vc terá a imagem abaixo:
Clicando em Options serão disponibilizados alguns scripts básicos conforme mostra a figura abaixo:
Basta selecionar uma ou mais opções e clicar em [Run Script].
Durante o scan a mensagem abaixo será apresentada. Aguarde o término...pode demorar dependendo do número e de quais opções forem selecionadas.
Ao término o relatório final será apresentado.
Zoek.exe is running now.
Do not start any browser windows, they will be closed automatically.
Please wait! This window will close when finished.
A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log
Vamos a uma descrição rápida das opções básicas disponíveis.
arkRed">Running Processes => Lista os processos ativos. Nesta opção um novo ponto de restauração será criado.
Zoek.exe Version 4.0.0.4 Updated 07-August-2013arkRed">Recently Created => arquivos recentemente criados e/ou modificados
Tool run by wings on 08/08/2013 at 21:41:18,85.
Microsoft Windows 7 Professional 6.1.7601 Service Pack 1 x86
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\wings\Desktop\zoek.exe [Checkboxes used]
==== Running Processes ======================
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\System32\sistray.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Users\wings\Desktop\zoek.exe
C:\Windows\system32\conhost.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\system32\mspaint.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
==== System Restore Info ======================
08/08/2013 21:46:36 Zoek.exe System Restore Point Created Succesfully.
==== EOF on 08/08/2013 at 21:46:45,31 ======================
==== Files Recently Created / Modified ======================arkRed">Startup Information => fornece informações da inicialização tais como entradas no registro, pastas e arquivos.
====== C:\Windows ====
2013-08-08 04:27:45 09698894CC29EA2E125F4FAD8CCE44E7 173289789 ----a-w- C:\Windows\MEMORY.DMP
====== C:\Users\wings\AppData\Local\Temp ====
====== C:\Windows\system32 =====
2013-08-06 18:43:58 F3BB704BBADF329631E9430ACC68E7E0 319576 ----a-w- C:\Windows\System32\FNTCACHE.DAT
====== C:\Windows\system32\drivers =====
====== C:\Windows\Tasks ======
====== C:\Windows\Temp ======
======= C:\Program Files =====
2013-08-03 04:03:22 -------- d-----w- C:\Program Files\ZebHelpProcess
======= C: =====
====== C:\Users\wings\AppData\Roaming ======
2013-08-08 21:35:05 3F7CE24575F12942932829B62EE58566 63536 ----a-w- C:\users\wings\AppData\Local\GDIPFONTCACHEV1.DAT
2013-07-10 22:01:40 -------- d-----w- C:\users\wings\AppData\Local\Temp
==== Startup Registry Enabled ======================arkRed">Installed Programs => Lista os programas instalados
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /autoRun"
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /autoRun"
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"mctadmin"="C:\Windows\System32\mctadmin.exe"
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"mctadmin"="C:\Windows\System32\mctadmin.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="Rundll32.exe SiSPower.dll,ModeAgent"
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe"
==== Startup Folders ======================
2013-02-27 17:20:49 1804 ----a-w- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Utility Tray.lnk
==== EOF on 08/08/2013 at 21:54:51,45 ======================
==== Installed Programs ======================arkRed">HijackThis Log => gera um log do hijack. Não é preciso o hijack estar instalado para usar este script.
Arquivo do WinRAR
Free eXPert PDF Reader
JMicron Flash Media Controller Driver
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile PTB Language Pack
Microsoft Office Professional Edi‡Æo 2003
Motorola SM56 Speakerphone Modem
Mozilla Firefox 23.0 (x86 pt-BR)
Mozilla Maintenance Service
Pacote de Compatibilidade para o sistema Office 2007
Pacote de Idiomas do Microsoft .NET Framework 4 Client Profile - Portuguˆs (Brasil)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2789642)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2804576)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2835393)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2840628)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939)
Visual BCD
arkRed">Firefox Look e arkRed">Chrome Look => fornecem informações dos respectivos navegadores tais como: extensões, plugins, etc...
==== Firefox Extensions ======================arkRed">System Specs => fornece informações do sistema tais como: sistema operacional, memória ram, HD, adaptadores, placa mãe, linguagem usada no sistema, versão do IE, Java, etc...
ProfilePath: C:\Users\wings\AppData\Roaming\Mozilla\Firefox\Profiles\bsmjgjmx.default
- Memory Fox - %ProfilePath%\extensions\{E173B749-DB5B-4fd2-BA0E-94ECEA0CA55B}
- Adblock Plus - %ProfilePath%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
==== Firefox Plugins ======================
arkRed">Silent Runners => utiliza o já conhecido Silent Runners ( http://www.silentrunners.org/thescript.html ), onde serão fornecidas informações das entradas no registro relacionadas com a inicialização do Windows.
arkRed">Firefox Defaults => restaura para o estado inicial do Firefox
arkRed">Reset Chrome => reseta o Google Chrome
arkRed">Reset IE Proxy => reseta as configurações de proxy no Internet Explorer
arkRed">Empty Temp Folders => limpa as pastas temporárias
arkRed">System Restore Point => cria um novo ponto de restauração
arkRed">System Restore Info => informa os pontos de restauração existentes
======== System Restore Points ========arkRed">Reset System Restore => Todos os pontos de restauração serão removidos e um novo ponto será criado. Ao usar esta função, a reinicialização será solicitada. Clique [OK] para reiniciar o PC.
RP147: 30/07/2013 10:48:36 - Windows Update
RP148: 01/08/2013 09:06:02 - Windows Update
RP149: 01/08/2013 09:07:03 - Windows Update
RP150: 01/08/2013 09:11:34 - Windows Update
==== System Restore Info ======================arkRed">Shortcut Fix => lista atalhos no desktop, na barra de inicialização rápida, podendo remover atalhos de programas já desinstalados.
08/08/2013 22:25:13 System Restore is disabled.
Launched: C:\Users\wings\Desktop\zoek.exe [Checkboxes used]
==== After Reboot ======================
==== System Restore Info ======================
08/08/2013 22:28:43 Zoek.exe System Restore Point Created Succesfully.
arkRed">IE defaults => restaura para o estado inicial do Internet Explorer.
arkRed">Reset Hosts => restaura o arquivo Hosts.
arkRed">Auto Clean => trata-se de um autofix, removendo adwares, clsid's maliciosas, arquivos maliciosos, etc..Quando um ou mais arquivo(s) desconhecido(s) e inexistente(s) no database do programa, o Zoek criará um arquivo sample.zip, na pasta onde foi salvo o Zoek, contendo amostra(s) do(s) mesmo(s).