WAŻNE - Jak założyć wątek w dziale "Bezpieczeństwo" oraz co w nim zawrzeć. - WAŻNE

[Paweł01]

Jak założyć wątek w dziale "Bezpieczeństwo" oraz co w nim zawrzeć

1. Temat

Ma służyć Tobie oraz nam do szybkiej identyfikacji problemu. Przykład:

Zablokowany dostęp do Rejestru [Dobrze]
Niespodziewana zmiana wyglądu Pulpitu [Dobrze]
Samoistne otwieranie niechcianych stron [Dobrze]
„Otwórz z” po kliknięciu na dysk/folder [Dobrze]

Problem z {komputerem} {systemem} {Internetem} {grafiką / dżwiękiem/...} itd. [Źle]
Pomocy! [Źle]
Komputer nie chce się uruchomić [Źle]
Komputer muli [Źle]

Ogólne zasady tytułowania wątków:
http://forum.pcformat.pl/Bardzo-krotkie-...AC-watki-t

Każdy użytkownik powinien mieć własny temat, nawet jeśli problem wydaje się identyczny lub podobny do problemu opisanego w innym wątku.
Netykieta, punkt 10:
http://forum.pcformat.pl/Netykieta-t
Podpięcia do cudzych wątków będą zwykle lądować w koszu (chyba, że po wydzieleniu będą stanowić spójną i zrozumiałą całość).

2. Co zostało zrobione w celu usunięcia problemu ?

Opisz dokładnie czynności, jakie wykonałaś/wykonałeś dotychczas w celu rozwiązania problemu.
Jeśli użyto narzędzi antymalware - napisz jakich, co zostało wyleczone/usunięte. Najlepiej, jeśli załączysz raporty z tych narzędzi.
Preferujemy raporty w formie tekstowej - w przypadku zrzutów ekranu na ogół nie wszystko jest widoczne (np. ścieżki do plików są niekompletne, bo tabelka miała zbyt wąską kolumnę...).
Obecnie istnieje 'wersja robocza' wątku podającego, gdzie znaleźć raporty z narzędzi antymalware:
http://forum.pcformat.pl/wersja-robocza-...jcie-sie-t

Jeśli pomoc była lub jest prowadzona również na innym forum - proszę podać link do odpowiedniego tematu.

3. Opis problemu

W wątku powinien znaleźć się dokładny opis problemu. Używaj polskich znaków i staraj się pisać poprawnie gramatycznie. Pomyśl - ktoś to musi potem przeczytać...posty napisane bez ładu i składu bardzo ciężko się czyta, a jeszcze trudniej zrozumieć co użytkownik miał na myśli:
http://forum.pcformat.pl/Netykieta-t
(punkt 3)

Proszę nie zamieszczać samych logów/raportów. To męczące, kiedy co drugiego użytkownika trzeba pytać 'co mu dolega'. Często będziemy proponować pewne dodatkowe narzędzia w zależności od objawów/problemu.
* Jeśli komputer został zainfekowany - można wymienić nazwę wirusa lub pliki, w których infekcja jest znajdowana.
* Jeśli praca komputera jest spowolniona, jednak popularne narzędzia antymalware nic nie znajdują - warto sprawdzić jak komputer zachowa się w trybie awaryjnym (i opisać to), ewentualnie sprawdzić czy jakiś proces wyróżnia się w menedżerze zadań, jeśli chodzi o zużycie zasobów procesora.
Warto ten wynik porównać ze wskazaniami Process Explorer:
http://technet.microsoft.com/en-us/sysin...s/bb896653
* Jeśli "komputer się resetuje" lub występują BSODy - proszę w pierwszej kolejności odwiedzić dział 'Oprogramowanie' oraz ten wątek:
http://forum.pcformat.pl/Bledy-krytyczne-vademecum-t
Można również posłużyć się programem BlueScreenView:
http://www.nirsoft.net/utils/blue_screen_view.html
wczyta on automatycznie pliki minidump i wskaże prawdopodobną przyczynę (wadliwy sterownik) oraz pokaże kod błędu wraz z parametrami.
* mam dużo procesów svchost.exe, jeden z svchost.exe obciąża procesor - proszę najpierw przejrzeć ten wątek:
http://forum.pcformat.pl/Duzo-procesow-s...o-znaczy-t
Jeśli sprawa się nie wyjaśni - piszemy na forum.
* Jeśli jest podejrzenie infekcji - proszę opisać na jakiej podstawie jest to wnioskowane (przesłanki) i co się dokładnie dzieje.
*Jeśli są problemy z dostępem do internetu (spowolnienie łącza, częste rozłączanie itp.) dodatkowo warto podać sposób łączenia z internetem (nazwę modemu szerokopasmowego USB ADSL, karty sieciowej+routera itp.), nazwę dostawcy internetowego
* nie widzimy tego, co masz na swoim monitorze (tak, trudno to sobie wyobrazić...) - zatem jeśli wyświetla się 'jakiś błąd' - nikt nie będzie w stanie pomóc. Należy podać dokładną treść błędu, ewentualnie zaprezentować jego printscreen lub wyraźne zdjęcie.

4. Emulatory napędów oraz inne oprogramowanie kolidujące

Przed wykonaniem logów/raportów oraz rozpoczęciem usuwania infekcji należy usunąć oprogramowanie kolidujące z niektórymi stosowanymi przez nas narzędziami.

* Emulatory napędów - Daemon Tools, Alcohol 120%.
1. Odinstaluj dany program poprzez panel 'Dodaj lub usuń' programy.
2. Usuń sterownik sptd.sys korzystając z narzędzia:
http://www.duplexsecure.com/en/downloads
SPTD for Windows 2000/XP/2003/Vista/Windows 7, 8, 10 (32 bit)
SPTD for Windows XP/2003/Vista/Windows 7, 8, 10 (64 bit)
w zależności od posiadanej wersji systemu.
3. W pierwszym oknie wybierz Uninstall.
4. W kolejnym oknie wciśnij OK.
5. W następnym oknie (informacja o konieczności ponownego uruchomienia systemu) wciśnij OK.
6. Uruchom ponownie system.

* Pozostałe oprogramowanie (będzie uzupełnione)

Niewykonanie powyższych czynności może spowodować nieprawidłową pracę niektórych narzędzi do sporządzania raportów/usuwania infekcji, np. GMER, Combofix lub powodować nawet BSODy w trakcie ich działania.

5. Logi/raporty

Poniżej znajduje się lista narzędzi, których należy użyć do wygenerowania logów/raportów i dołączyć je do wątku. Wybieramy zestaw adekwatny do zainstalowanego systemu operacyjnego.
Jeśli są wątpliwości odnośnie posiadanej wersji systemu (np. 32- czy 64-bitowy) - proszę zajrzeć do logu z OTL - dokładna nazwa systemu powinna pojawić się w 3-ciej linijce pliku OTL.txt.


Uwaga 1
Poniższe programy nie są do wyboru - pokazujemy wynik działania wszystkich programów z danego zestawu !

Uwaga 2
Jeśli są problemy z działaniem narzędzi po uruchomieniu systemu w trybie normalnym - korzystamy z trybu awaryjnego.
Jeśli jednak narzędzia działają poprawnie po uruchomieniu systemu w trybie normalnym - proszę pokazać logi z trybu normalnego.



Logi:

Systemy 32-bitowe z rodziny Windows - Windows 2000 i nowsze (używamy sześciu poniższych programów):
1) OTL
Szczegółowa instrukcja użycia programu -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Pokazujemy dwa pliki - OTL.txt oraz Extras.txt. Zostaną one utworzone w tym samym katalogu, z którego został uruchomiony program OTL.

2) RSIT
Szczegółowa instrukcja użycia -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Wystarczy pokazać plik log.txt

3) Silent Runners
http://www.silentrunners.org/

Po ściągnięciu skryptu *.vbs należy zapisać go na twardym dysku i uruchomić (z dwukliku).
Po zakończeniu działania (czas trwania do kilku minut) skryptu pojawi się stosowna informacja oraz log - proszę go dołączyć do postu.
Pełny opis:
http://forum.pcformat.pl/Silent-Runners-opis-t

4) GMER
http://www.gmer.net/
Proszę nie pokazywać prescanu, lecz wcisnąć przycisk 'Szukaj' i pokazać pełny raport.

5) MBRCheck.exe
http://ad13.geekstogo.com/MBRCheck.exe
Proszę pokazać tylko raport, nie kontynuować leczenia na własną rękę. Raport zostanie zapisany na pulpicie.

6) TDSS Killer:
http://support.kaspersky.com/pl/viruses/...ction/5350
Podczas skanowania komputera w pierwszym podejściu wybieramy akcję Skip (Pomiń), jeśli zostanie znaleziony podejrzany sterownik.

7) FRST:
http://www.bleepingcomputer.com/download...ool/dl/81/
Należy zaznaczyć: Addition.txt i Shortcut.txt - powstaną 3 logi > należy podać wszystkie.
INFO: Program po uruchomieniu wyszukuje i stosuje uaktualnienie. Po uruchomieniu klikamy [Scan].


Systemy 64-bitowe z rodziny Windows - Windows XP i nowsze (używamy pięciu poniższych programów):
1) OTL
Szczegółówa instrukcja użycia -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Pokazujemy dwa pliki - OTL.txt oraz Extras.txt. Zostaną one utworzone w tym samym katalogu, z którego został uruchomiony program OTL.

2) RSIT
Szczegółowa instrukcja użycia -> http://forum.pcformat.pl/ComboFix-uzywam...TL-OPISY-t
Wystarczy pokazać plik log.txt
Używamy 64-bitowej wersji RSIT:
http://images.malwareremoval.com/random/RSITx64.exe

3) Silent Runners
http://www.silentrunners.org/

4) GMER (wsparcie systemów 64-bitowych od wersji 2.0)
http://www.gmer.net/
Proszę nie pokazywać prescanu, lecz wcisnąć przycisk 'Szukaj' i pokazać pełny raport.

5) MBRCheck.exe
http://ad13.geekstogo.com/MBRCheck.exe
Proszę pokazać tylko raport, nie kontynuować leczenia na własną rękę. Raport zostanie zapisany na pulpicie.

6) TDSS Killer:
http://support.kaspersky.com/pl/viruses/...ction/5350
Podczas skanowania komputera w pierwszym podejściu wybieramy akcję Skip (Pomiń), jeśli zostanie znaleziony podejrzany sterownik.

7) FRST:
http://www.bleepingcomputer.com/download...ool/dl/82/
Należy zaznaczyć: Addition.txt i Shortcut.txt - powstaną 3 logi > należy podać wszystkie.
INFO: Program po uruchomieniu wyszukuje i stosuje uaktualnienie. Po uruchomieniu klikamy [Scan].


Systemy z rodziny Windows starsze niż Windows 2000 (używamy dwóch poniższych programów)
1) Silent Runners:
http://www.silentrunners.org/

2) Hijackthis:
http://www.dobreprogramy.pl/HijackThis,P...12030.html

Uwaga! Proszę nie podawać raportów z Hijackthis w przypadku systemów Windows 2000 i nowszych.

---

Jeśli są problemy z pobraniem lub uruchomieniem powyższych narzędzi (mogą to uniemożliwić niektóre infekcje) proszę dać znać na forum zamiast ten fakt przemilczeć.
W przypadku infekcji Sality można uzyć tego sposobu:
http://forum.pcformat.pl/Jak-pobrac-anty...z-Sality-t

Na koniec proszę sprawdzić jak wyglądają wklejone logi - powinny one być czytelne (wraz ze znakami /, \, spacjami itp) oraz wklejone w całości.

Według zasad forum dużych partii tekstu (właśnie takich jak logi / raporty) nie wklejamy bezpośrednio do postu. Można natomiast wstawić je w formacie załączników lub - sposób preferowany: umieścić na jakimś zewnętrznym serwerze.

Preferowane serwisy:
http://www.wklej.org
http://www.wklej.to
Na wszelki wypadek informuję jak to zrobić: tekst loga/raportu należy wkleić w duże puste pole > kliknąć "Wklej+" / "Dodaj" > skopiować nowo powstały adres z paska przeglądarki > wkleić go w treść posta z opisem np.

Cytat:OTL.txt: http://www.wklej.org/id/827832/

(przed linkiem koniecznie spacja).


Logi dodatkowe

W przypadku infekcji pamięci przenośnych "Foldery zamienione w skróty" proszę dodać logi USBFix > Research i Listing.

Na żądanie osoby prowadzącej:
- FSS - należy zaznaczyć wszystkie opcje.

6.Uwagi dotyczące Combofix

Jeśli nie ma takiej potrzeby lub nie wiecie czy należy użyć Combofix - proszę go nie używać.
Jeśli jednak narzędzie było już wcześniej uruchomione, jeszcze przed zapoznaniem się z zasadami - proszę również dołączyć log z Combofix, który wtedy powstał. Musimy wiedzieć co zostało już usunięte.
Combofix działa obecnie na następujących systemach: Windows 2000, Windows XP (wersja 32-bitowa), Windows Vista (wersja 32- i 64-bitowa), Windows 7 (wersja 32- i 64-bitowa).
Do zapamiętania: nie używaj bez potrzeby.

7. Co można zrobić przed uruchomieniem Combofix ?

Jeśli prowadzący wątek zaleci użycie Combofix warto wykonać wcześniej obraz partycji systemowej:
http://forum.pcformat.pl/Po-uruchomieniu...startuje-t

8. Usuwanie infekcji

Prowadzący wątek zaleca wykonanie pewnych czynności w celu usunięcia infekcji. Powinny być one wykonywane w takiej kolejności, w jakiej zostały podane.
Proszę wykonywać wszystkie zalecane czynności a nie tylko wybrane. Jeśli są problemy z uruchomieniem jakiegoś narzędzia/otrzymaniem raportu/wykonaniem czynności - proszę o tym napisać a nie przemilczeć.
Podczas usuwania infekcji nie należy przywracać systemu do stanu wcześniejszego korzystając z funkcji przywracania systemu (wtedy znowu wracacie do punktu wyjścia), chyba że, prowadzący wątek to zaleci.

9. Uwagi dla osób udzielających pomocy w dziale 'Bezpieczeństwo'

- za bezpodstawną propozycję użycia ComboFix
- za bezpodstawną propozycję wykonania reinstalacji systemu ("format")
- porady szkodliwe (również nieprawidłowe usuwanie infekcji - np. usuwanie zainfekowanych plików systemowych zamiast zastąpienia ich zdrowymi kopiami)
- porady mogące zaszkodzić (np. propozycja wykonania defragmentacji dysku przy podejrzeniu fizycznego uszkodzenia dysku)
- porady narażające autora wątku (osoba prosząca o pomoc) na zbędne koszty (porada typu 'zmień zasilacz', jeśli przyczyną problemów jest infekcja) będą usuwane, zaś ich autor zostanie 'nagrodzony' stosownym ostrzeżeniem.

* Proponuję, aby dany wątek był prowadzący przez jednego użytkownika. W przeciwnym razie autor wątku dostaje różne, często sprzeczne ze sobą instrukcje i ma kolejny problem - nie wie, której użyć oraz w jakiej kolejności. Powstaje bałagan, jeden użytkownik 'gada' przez drugiego, dwóch się kłóci ze sobą, często dołącza do nich jeszcze trzeci, zaś czwarty wprowadza swoją nową własną 'teorię'.
* Jeśli jednak widzicie, że dany użytkownik proponuje metody szkodliwe, ryzykowne bez wprowadzania przysłowiowej 'deski ratunku' lub próbuje usunąć prawidłowe elementy proszę reagować - dopisać własny post z wyraźnym 'Nie rób tego, co wyżej, to jest szkodliwe' (lub podobnie) a następnie użyć przycisku 'Zgłoś' na 'wadliwym poście'.

Uwaga ! Ten wątek będzie edytowany i uzupełniany.
Wszelkie uwagi na temat wątku, spostrzeżenia i zastrzeżenia mile widziane - proszę kierować do mnie na PW.

Dziękuję koledze broda99 za uwagi w temacie i poprawki w sekcji 'Temat'.

[Paweł01]

Narzędzia i procedury dodatkowe

Process Explorer

Krótki opis: Wyświetla szczegółowe informacje na temat uruchomionych procesów. Rozbudowana alternatywa dla standardowego menedżera zadań.
Obsługiwane systemy: Windows XP oraz nowsze (również wersje 64-bitowe)
Link do pobrania: http://download.sysinternals.com/Files/P...plorer.zip

1. Po ściągnięciu paczki zip rozpakowujemy ją i uruchamiamy procexp.exe. W przypadku pierwszego uruchomienia należy zaakceptować licencję.
2. Po uruchomieniu programu z menu View wybieramy Select Columns...
3. Przechodzimy do zakładki Process Image i zaznaczamy dodatkowo opcję 'Command Line' oraz 'Image Path' i klikamy OK.
4. W lewej części okna mamy listę uruchomionych procesów w postaci drzewka.
5. Dany proces możemy zaznaczyć poprzez kliknięcie na nim lewym przyciskiem myszy.
6. Jeśli zajdzie potrzeba zabicia danego procesu klikamy na nim prawym przyciskiem myszy i wybieramy Kill Process (alternatywnie możemy wcisnąć klawisz Del po uprzednim zaznaczeniu danego procesu).
Następnie potwierdzamy chęć zamknięcia danego procesu.
7. Kolumna Path pokazuje ścieżkę do pliku wykonywalnego.
9. Kolumna Command Line pokazuje, jakie polecenie zostało uruchomione dla danego procesu - wyświetla parametry, z jakimi został uruchomiony dany program.
W przypadku np. notatnika (notepad.exe) kolumny Path i Command Line będą sobie równe.
10. Proszę zwrócić uwagę, że program svchost.exe jest uruchamiany z pewnymi parametrami. To właśnie od nich zależy jaką usługę uruchamia svchost.exe. (svchost.exe uruchomiony z parametrami = svchost.exe + biblioteka DLL usługi)
11. Aby sprawdzić listę usług uruchamianych przez dany proces svchost.exe należy kliknąć na nim dwukrotnie lewym przyciskiem myszy, w otwartym oknie przejść na zakładkę Services.
12. Nazwę usługi oraz używaną przez nią bibliotekę DLL możemy znaleźć w oknie Services Registered in this process.
Zatem zanim zadasz pytanie 'czemu mam tyle procesów svchost.exe' - sprawdź najpierw jakie usługi są uruchomione, sprawdź ich opisy w google (wpisując nazwę z kolumny Services), a dopiero potem w razie wątpliwości zadaj pytanie na forum.
13. W podobny sposób możesz próbować określić, jaka usługa obciąża system/zużywa zasoby, gdy któryś z procesów svchost.exe daje się we znaki.
14. Zauważ, że w oparciu o jeden proces svchost.exe może być uruchomione kilka usług).

---

Naprawa usług BITS (usługa inteligentnego transferu w tle) oraz wuauserv (Aktualizacje automatyczne)

Uwaga! Poniższą procedurę stosujemy na polecenie prowadzącego dany wątek, dopiero po usunięciu infekcji.

Próba uruchomienia usług BITS lub wuauserv skończy się komunikatem o odmowie praw dostępu lub o problemie ze znalezieniem określonego pliku (pod pojęciem 'określony plik' należy tu rozumiem plik c:\windows\system32\svchost.exe)

Usługi BITS oraz wuauserv są listowane w Hijackthis pomimo, ze znajdują się na tzw. białej liście:

Kod:

O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\

Usługi (a właściwie wpisy w rejestrze) mogą być uszkodzone przez rootkita, zwykle na dwa sposoby:
1) - ustawienie niepoprawnej ścieżki dostępu do pliku svchost.exe - zamiast:

Kod:

%SystemRoot%\system32\svchost.exe -k netsvcs

widnieje na ogół wpis:

Kod:

%fystemRoot%\system32\svchost.exe -k netsvcs

2)modyfikacja uprawnień do gałęzi:

Kod:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv

- w uproszczeniu będzie to wycięcie wszystkich użytkowników z listy uprawnień.

Próba reinstalacji usług za pomocą plików c:\windows\inf\qmgr.inf, c:\windows\inf\au.inf (z prawokliku i zainstaluj) skończy się komunikatem, że instalacja nie powiodła się.
Sposób podany przez Microsoft:
http://support.microsoft.com/kb/910337/pl
również nie działa ani dla usługi BITS ani dla wuauserv - ponownie spotkamy się z komunikatem o odmowie praw dostępu (błąd numer 5).

W pierwszej kolejności należy ustawić odpowiednie prawa dostępu (działania dla BITS oraz wuauserv są identyczne, więc opisałem tylko naprawę BITS).
1. Otwieramy edytor rejestru -> start, uruchom, regedit.exe
i ENTER.
2. Podświetlamy gałąź:

Kod:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS

(nie przejmujemy się, że w prawym oknie nie widać żadnych wartości)
3. Klikamy prawym klawiszem na BITS, wybieramy uprawnienia - pozycje w liście 'Nazwa grupy lub użytkownika' mogą być niekompletne lub może ich nie być.
4. Klikamy przycisk Zaawansowane.
5. Stawiamy zaznaczenie przy 'Dziedzicz po obiekcie nadrzędnym..."
6. Klikamy OK lub Zastosuj.
7. Teraz widzimy, że lista 'Nazwa grupy lub użytkownika' nie jest pusta.
8. Klikamy OK.
9. Teraz widać, że są listowane wartości z gałęzi BITS w prawym oknie (wcześniej było ono puste).
10. Poprawiamy wartość ImagePath wpis:

Kod:

%fystemRoot%\system32\svchost.exe -k netsvcs

zamieniamy na

Kod:

%SystemRoot%\system32\svchost.exe -k netsvcs

11. Operację należy przeprowadzić również dla gałęzi:

Kod:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS

(modyfikacja HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS jest przeprowadzana automatycznie podczas zmian w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS)
12. Wszystko powtarzamy dla usługi wuauserv
13. Otwieramy konsolę usług->start, uruchom, services.msc i próbujemy uruchomić usługę 'Usługa inteligentnego transferu w tle' oraz usługę 'Aktualizacje automatyczne'.

Przykłady z forum:
http://forum.pcformat.pl/thread-150032-page-1.html
http://forum.pcformat.pl/thread-162404-page-1.html

---

Włączanie i wyłączanie funkcji przywracania systemu

Włączanie i wyłączanie przywracania systemu dla Windows XP:
http://support.microsoft.com/kb/310405/pl

Włączanie i wyłączanie przywracania systemu dla Windows Vista:
http://windows.microsoft.com/pl-PL/windo...-on-or-off

Włączanie i wyłączanie przywracania systemu dla Windows 7:
http://windows.microsoft.com/pl-PL/windo...-on-or-off

Proszę nie wyłączać przywracania systemu bez powodu (zwłaszcza wtedy, kiedy system nie pracuje prawidłowo). Wyłączenie funkcji przywracania systemu spowoduje usunięcie wszystkich dotychczasowych punktów przywracania.

---

AccessEnum

Krótki opis:
Wyświetla informacje na temat uprawnień do folderów, plików w folderze lub do gałęzi rejestru.
Obsługiwane systemy: Windows XP oraz nowsze
Link do pobrania: http://download.sysinternals.com/Files/AccessEnum.zip

1. Po ściągnięciu paczki zip rozpakowujemy ją i uruchamiamy AccessEnum.exe. W przypadku pierwszego uruchomienia należy zaakceptować licencję.
2. Z menu wybieramy Options, następnie File display options.
Mamy do wyboru dwie opcje:
- Display only files that have permissions less restrictive then parent (default)
Listowane będą tylko elementy, które posiadają szersze uprawnienia niż element nadrzędny.
Przykładowo - jeśli do elementu nadrzędnego - folderu mają dostęp tylko Administratorzy i w folderze tym znajduje się plik, do którego uprawnienia posiadają Wszyscy - to taki plik zostanie wylistowany.
- Display files with permissions that differ from parent
Wyświetla elementy, które posiadają inne uprawnienia niż element nadrzędny.
Zwykle będziemy korzystać z tej opcji.
3. Wciskamy w prawym górnym rogu przycisk Directory i wskazujemy folder, którego elementy chcemy sprawdzić.
4. Wciskamy przycisk Scan i czekamy na zakończenie pracy narzędzia.
5. Wciskamy Save, następnie zapisujemy wynik do pliku tekstowego.

Narzędzie może się przydać, kiedy infekcje modyfikują/odbierają uprawnienia do danych plików lub folderów, np. rootkit Zero.Access modyfikuje uprawnienia do plików z folderu c:\Windows\system32\drivers lub do narzędzi czyszczących (wybrana opcja: Display files with permissions that differ from parent).
W ten sposób powinniśmy otrzymać listę plików do których uprawnienia należy poprawić


Uwaga ! Ten wątek będzie edytowany i uzupełniany.
Wszelkie uwagi na temat wątku, spostrzeżenia i zastrzeżenia mile widziane - proszę kierować do mnie na PW.

[broda99]

Kończenie dezynfekcji

Cel: Usunięcie niepotrzebnych plików i programów powstałych / używanych podczas dezynfekcji oraz kopii zapasowych zarażonych i potencjalnie zarażonych plików (kwarantanna).


Kroki:

1. Jeśli użyty był program OTL: uruchomienie programu OTL > Sprzątanie.
Opcja ta spowoduje usunięcie programu i jego kwarantanny jak również innych programów narzędziowych (m.in ComboFix), przywróci domyślne ustawienia - np. (nie)pokazywanie ukrytych plików itd.

Program który usunie wszystkie użyte do dezynfekcji narzędzia: DelFix > należy pozostawić tylko domyślną opcję Remove disinfection tools > Run > powstanie log wynikowy C:\delfix.txt.

Info: Najważniejsze narzędzia mają opcję automatycznej aktualizacji, inne nie - należy każdorazowo ściągać nową wersję. Tych drugich jest znacznie mniej - użycie DelFix wydaje się niecelowe chyba, że ktoś nie chce zaśmiecać dysku niepotrzebnymi programami / nie przewiduje kolejnej infekcji .
Jeśli jednak program zostanie użyty - proszę przejrzeć log. W razie wpisów sygnalizujących błędy pokazać log.

2. Usunięcie zbędnych plików i wpisów w rejestrze: CCleaner
Info: Oczywiście CCleaner to jest tylko propozycja. Innym programem, który czyści wszystkie pliki tymczasowe jest TCF - program jest malutki i całkowicie automatyczny.
Uwaga: przed uruchomieniem proszę zapisać wszystkie dokumenty / zamknąć wszystkie programy - program standardowo restartuje komputer po zakończonym działaniu.

3. Usunięcie punktów przywracania systemu (patrz 2 tematy wyżej).
Info: Jeśli funkcja 'Przywracanie systemu' była włączona w czasie infekcji - to usunięte szkodliwe pliki są w dalszym ciągu fizycznie obecne na dysku i w razie skorzystania z funkcji przywracania spowodują jej powrót. Po usunięciu wszystkich punktów warto ręcznie utworzyć nowy - "czysty" i odpowiednio go opisać.

4. Sprawdzenie aktualności systemu i zabezpieczeń:
Uruchom SecurityCheck. Dla przejrzystości wyniku (formatowanie: kolory itd.): dodaj nową odpowiedź do wątku > wklej raport bezpośrednio (bez żadnych znaczników) > kliknij Podgląd. Odpowiedzi nie wysyłaj! (cofnij 2 strony).
Info: Sprawdzenie nie jest "sztuką dla sztuki" - wykonaj aktualizacje zaznaczone w raporcie.
Zalecam korzystanie z Windows Update.


.