Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

antywirus wykrył rootkita, podaję logi z Hjt i combofix

#41
RE: problem z rotkitem
W okienku zaawansowane:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
Wytnij pierwszą pozycją (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) (usuń i OK)

Następnie przeczytaj uważnie post 37.
Opisane tam czynności trzeba zastosować do gałęzi BITS tutaj:
HKLM\SYSTEM\ControlSet001\Services\BITS
i tutaj:
HKLM\SYSTEM\ControlSet002\Services\BITS

Jak to zrobisz pokaż następujące printscreeny z uprawnień:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator
HKLM\SYSTEM\ControlSet001\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"
HKLM\SYSTEM\ControlSet002\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"

Potem ponownie wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

(tylko proszę nie wrzucaj ich na megaupload, bo musiałem nos do monitora przykleić, żeby odczytać tamte magiczne literki).

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#42
RE: problem z rotkitem
uprawnienia:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator

[Obrazek: vo6574_a.JPG]
HKLM\SYSTEM\ControlSet001\Services\BITS
-> uprawnienia dla użytkownicy:
[Obrazek: oy6395_b.JPG]

-> uprawnienia dla administratorzy:
[Obrazek: bq4617_c.JPG]

-> uprawnienia dla system:
[Obrazek: ha5948_d.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: mi7965_e.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: wo6598_f.JPG]
HKLM\SYSTEM\ControlSet002\Services\BITS
-> uprawnienia dla administratorzy:
[Obrazek: jo9093_a.JPG]

-> uprawnienia dla system:
[Obrazek: or9005_b.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: pk4705_c.JPG]

-> uprawnienia dla użytkownicy:
[Obrazek: rm7443_d.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: de4245_e.JPG]

Czy tutaj w ustawieniach zaawansowanych też usunąć pierwszą pozycję (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) ?
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#43
RE: problem z rotkitem
Gałąź:
HKLM\SYSTEM\ControlSet001\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane i pokaż printscreena (ale tutaj wygląda, że już nic grzebać nie będziemy).

Gałąź:
HKLM\SYSTEM\ControlSet002\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane.
Jeśli tu na pierwszej pozycji będzie stał wpis jak na obrazku:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
to do usunięcia (ten z "nie odziedziczono").
Przejdź do gałęzi:
W kluczu:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
są dwa podklucze: Parameters oraz Security
Podklucz Parameters ma mieć identyczne uprawnienia jak BITS - jeśli są różnice - pokaz odpowiednie printscreeny.
Podklucz Security ma mieć uprawnienia:
Dla Administratorzy (....\Administratorzy):
Pełna kontrola - ptaszek tylko przy zezwalaj
Odczyt - ptaszek tylko przy zezwalaj
Uprawnienia specjalne - pole pod zezwalaj jest nieaktywne, pole pod odmów jest nieaktywne.
Uprawnienia dla SYSTEM - takie same jaj dla Administratorzy (....\Administratorzy)
Jeśli są różnice pokaż odpowiedni printscreen.
Dla podklucza Security pole zaawansowane ma wyglądać tak
Kod:
Zezwalaj     SYSTEM    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Zezwalaj     Administratorzy\ (...\Administratorzy)    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Jeśli jest inaczej pokaż odpowiedni printscreen.

Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Parameters
uprawnienia mają być takie same jak dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS
Jeśli jest inaczej - pokaż odpowiedni printscreen.
Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Security
uprawnienia mają być identyczne jak dla klucza:
HKLM\SYSTEM\CurrentControlSet\Services\BITS\Security
Jeśli jest inaczej - pokaż odpowiedni printscreen

W kluczu:
HKLM\SYSTEM\ControlSet002\Services\BITS
na razie robisz poprawki, więc pokaż printscreeny z uprawnień dla Administratorzy i zaawansowane jak już je wprowadzisz.

Potem wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.

Jeśli jakiś podkluczy będzie brakować (a może tak być) -nie twórz ich samodzielnie tylko napisz, których brakuje.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#44
RE: problem z rotkitem
Gałąź: HKLM\SYSTEM\ControlSet001\Services\BITS, prawoklik na BITS, uprawnienia, zaawansowane :
[Obrazek: mj2813_a.JPG]
W HKLM\SYSTEM\CurrentControlSet\Services\BITS
Podklucz Parameters ma identyczne uprawnienia jak BITS (mam tylko pyt: niektóre pola zarówno w uprawnieniach dla BITS jak i dla Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś).
W podkluczu Security wszystko się zgadza.
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#45
RE: problem z rotkitem
Cytat:Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś
Tak ma właśnie być. Wcześniej o tym nie wspomniałem, bo obrazki sie zgadzały.
Dla gałęzi:
HKLM\SYSTEM\ControlSet002\Services\BITS
uprawnienia zaawansowane mają być identyczne jak tu:
http://www.otofotki.pl/img7/pokaz.php?id=mj2813_a.JPG

Wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#46
RE: problem z rotkitem
W HKLM\SYSTEM\ControlSet001\Services\BITS oba podklucze sprawdziłam i jest OK.
z klucza: HKLM\SYSTEM\ControlSet002\Services\BITS jeszcze daję te poprawki (printscreeny) o których wpomniałeś w przedostatniej wypowiedzi:
Administratorzy:[Obrazek: cy7216_b.JPG]
i zaawansowane: [Obrazek: yd3827_c.JPG]
I jeszcze mam pytanie odnośnie tych podfolderów: W gałęziach HKLM\SYSTEM\ControlSet001\Services\BITS i HKLM\SYSTEM\CurrentControlSet\Services\BITS obok podluczów Parameters i Security mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Wyeksportowane w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
http://wklej.org/id/83693/

HKLM\SYSTEM\ControlSet001\Services\BITS
http://wklej.org/id/83687/

HKLM\SYSTEM\ControlSet002\Services\BITS
http://wklej.org/id/83692/
link do Pliku: c:\qoobox\quarantine\c\windows\system32\setup.ini:

http://odsiebie.com/pokaz/2473542---aafa.html
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#47
RE: problem z rotkitem
Plikowi:
c:\qoobox\quarantine\c\windows\system32\setup.ini.vir
zmień nazwę na setup.ini
i przenieś go do katalogu:
c:\windows\system32

Start, uruchom, services.msc
ENTER
i próbuj uruchomić usługę:
Usługa inteligentnego transferu w tle.

Cytat:mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Niech zostanie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#48
RE: problem z rotkitem
Zmieniłam nazwę, przeniosłam, Usługa inteligentnego transferu w tle jest już uruchomiona:

[Obrazek: lh3984_aaa.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#49
RE: problem z rotkitem
Cytat:Usługa inteligentnego transferu w tle jest już uruchomiona
No wreszcie...Diabelek
To teraz tak:
start, uruchom, services.msc
Przy uruchomionej usłudze "Usługa inteligentnego transferu w tle" próbuj zastartowac usługę"
Aktualizacje automatyczne (jeśli jest wyłączona) - jeśli chodzi to OK.
Jeśli pojawią się błędy - napisz jakie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#50
RE: problem z rotkitem
Jeszcze coś nie tak... "Usługa inteligentnego transferu w tle" jest uruchomiona ale przy próbie uruchomienia "Aktualizacje automatyczne " znów informacja o błędzie nr 5:
[Obrazek: jf8235_b.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
antywirus wykryl rootkit

Podobne wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1191 03.06.2018, 16:48
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 150880 06.05.2018, 21:35
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5204 11.03.2018, 21:18
Ostatni post: Michu_PL

Skocz do:


Wybrane wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Informacja o zablokowaniu komputera MMilka 2 4754 08.02.2018 21:27
Ostatni post: MMilka
  Ile antywirusów? greg8403 2 4888 06.02.2018 16:38
Ostatni post: Michu_PL
  Czy programy do hakowania facebooka działają? Majki_77 2 6441 06.02.2018 16:35
Ostatni post: Michu_PL
  Łamanie hasła wifi Globart 2 4693 06.02.2018 16:33
Ostatni post: Michu_PL
  Chrome przekierowuje na Yahoo wool14 0 4592 31.01.2018 00:00
Ostatni post: wool14
  System nie wyłącza się po kliknięciu "zamknij" niceassshe 3 5044 28.01.2018 20:56
Ostatni post: broda99
  Proces bez nazwy zużywa dużo pamięci Xayliii 1 5208 28.01.2018 08:13
Ostatni post: broda99
  Problem z komputerem/ping od dziś soba7 1 4708 26.01.2018 16:50
Ostatni post: Michu_PL
  windows 10 nie otwiera plików exe lewus23 2 6135 22.01.2018 00:52
Ostatni post: broda99
  Wirus na facebooku wysyla wiadomosci Pawes97 1 4672 19.01.2018 18:51
Ostatni post: kamel16
  Samoczynne zapychanie się partycji systemowej Nedved942 4 4820 18.01.2018 16:02
Ostatni post: ~Anonim
  COM Surrogate (dllhost) Egzoo 8 5432 14.01.2018 17:31
Ostatni post: Egzoo
  Co jakiś czas włącza mi się 1 i ta sama strona. geeseene 6 4799 13.01.2018 21:33
Ostatni post: broda99
  12kotov.ru uruchamia się przy starcie kompa talares 3 1028 10.01.2018 12:35
Ostatni post: morderca
  usuwanie wirusów [wydzielone] DAWID L 16 9266 09.01.2018 20:33
Ostatni post: DAWID L