Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

antywirus wykrył rootkita, podaję logi z Hjt i combofix

#41
RE: problem z rotkitem
W okienku zaawansowane:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
Wytnij pierwszą pozycją (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) (usuń i OK)

Następnie przeczytaj uważnie post 37.
Opisane tam czynności trzeba zastosować do gałęzi BITS tutaj:
HKLM\SYSTEM\ControlSet001\Services\BITS
i tutaj:
HKLM\SYSTEM\ControlSet002\Services\BITS

Jak to zrobisz pokaż następujące printscreeny z uprawnień:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator
HKLM\SYSTEM\ControlSet001\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"
HKLM\SYSTEM\ControlSet002\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"

Potem ponownie wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

(tylko proszę nie wrzucaj ich na megaupload, bo musiałem nos do monitora przykleić, żeby odczytać tamte magiczne literki).

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#42
RE: problem z rotkitem
uprawnienia:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator

[Obrazek: vo6574_a.JPG]
HKLM\SYSTEM\ControlSet001\Services\BITS
-> uprawnienia dla użytkownicy:
[Obrazek: oy6395_b.JPG]

-> uprawnienia dla administratorzy:
[Obrazek: bq4617_c.JPG]

-> uprawnienia dla system:
[Obrazek: ha5948_d.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: mi7965_e.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: wo6598_f.JPG]
HKLM\SYSTEM\ControlSet002\Services\BITS
-> uprawnienia dla administratorzy:
[Obrazek: jo9093_a.JPG]

-> uprawnienia dla system:
[Obrazek: or9005_b.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: pk4705_c.JPG]

-> uprawnienia dla użytkownicy:
[Obrazek: rm7443_d.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: de4245_e.JPG]

Czy tutaj w ustawieniach zaawansowanych też usunąć pierwszą pozycję (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) ?
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#43
RE: problem z rotkitem
Gałąź:
HKLM\SYSTEM\ControlSet001\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane i pokaż printscreena (ale tutaj wygląda, że już nic grzebać nie będziemy).

Gałąź:
HKLM\SYSTEM\ControlSet002\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane.
Jeśli tu na pierwszej pozycji będzie stał wpis jak na obrazku:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
to do usunięcia (ten z "nie odziedziczono").
Przejdź do gałęzi:
W kluczu:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
są dwa podklucze: Parameters oraz Security
Podklucz Parameters ma mieć identyczne uprawnienia jak BITS - jeśli są różnice - pokaz odpowiednie printscreeny.
Podklucz Security ma mieć uprawnienia:
Dla Administratorzy (....\Administratorzy):
Pełna kontrola - ptaszek tylko przy zezwalaj
Odczyt - ptaszek tylko przy zezwalaj
Uprawnienia specjalne - pole pod zezwalaj jest nieaktywne, pole pod odmów jest nieaktywne.
Uprawnienia dla SYSTEM - takie same jaj dla Administratorzy (....\Administratorzy)
Jeśli są różnice pokaż odpowiedni printscreen.
Dla podklucza Security pole zaawansowane ma wyglądać tak
Kod:
Zezwalaj     SYSTEM    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Zezwalaj     Administratorzy\ (...\Administratorzy)    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Jeśli jest inaczej pokaż odpowiedni printscreen.

Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Parameters
uprawnienia mają być takie same jak dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS
Jeśli jest inaczej - pokaż odpowiedni printscreen.
Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Security
uprawnienia mają być identyczne jak dla klucza:
HKLM\SYSTEM\CurrentControlSet\Services\BITS\Security
Jeśli jest inaczej - pokaż odpowiedni printscreen

W kluczu:
HKLM\SYSTEM\ControlSet002\Services\BITS
na razie robisz poprawki, więc pokaż printscreeny z uprawnień dla Administratorzy i zaawansowane jak już je wprowadzisz.

Potem wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.

Jeśli jakiś podkluczy będzie brakować (a może tak być) -nie twórz ich samodzielnie tylko napisz, których brakuje.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#44
RE: problem z rotkitem
Gałąź: HKLM\SYSTEM\ControlSet001\Services\BITS, prawoklik na BITS, uprawnienia, zaawansowane :
[Obrazek: mj2813_a.JPG]
W HKLM\SYSTEM\CurrentControlSet\Services\BITS
Podklucz Parameters ma identyczne uprawnienia jak BITS (mam tylko pyt: niektóre pola zarówno w uprawnieniach dla BITS jak i dla Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś).
W podkluczu Security wszystko się zgadza.
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#45
RE: problem z rotkitem
Cytat:Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś
Tak ma właśnie być. Wcześniej o tym nie wspomniałem, bo obrazki sie zgadzały.
Dla gałęzi:
HKLM\SYSTEM\ControlSet002\Services\BITS
uprawnienia zaawansowane mają być identyczne jak tu:
http://www.otofotki.pl/img7/pokaz.php?id=mj2813_a.JPG

Wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#46
RE: problem z rotkitem
W HKLM\SYSTEM\ControlSet001\Services\BITS oba podklucze sprawdziłam i jest OK.
z klucza: HKLM\SYSTEM\ControlSet002\Services\BITS jeszcze daję te poprawki (printscreeny) o których wpomniałeś w przedostatniej wypowiedzi:
Administratorzy:[Obrazek: cy7216_b.JPG]
i zaawansowane: [Obrazek: yd3827_c.JPG]
I jeszcze mam pytanie odnośnie tych podfolderów: W gałęziach HKLM\SYSTEM\ControlSet001\Services\BITS i HKLM\SYSTEM\CurrentControlSet\Services\BITS obok podluczów Parameters i Security mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Wyeksportowane w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
http://wklej.org/id/83693/

HKLM\SYSTEM\ControlSet001\Services\BITS
http://wklej.org/id/83687/

HKLM\SYSTEM\ControlSet002\Services\BITS
http://wklej.org/id/83692/
link do Pliku: c:\qoobox\quarantine\c\windows\system32\setup.ini:

http://odsiebie.com/pokaz/2473542---aafa.html
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#47
RE: problem z rotkitem
Plikowi:
c:\qoobox\quarantine\c\windows\system32\setup.ini.vir
zmień nazwę na setup.ini
i przenieś go do katalogu:
c:\windows\system32

Start, uruchom, services.msc
ENTER
i próbuj uruchomić usługę:
Usługa inteligentnego transferu w tle.

Cytat:mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Niech zostanie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#48
RE: problem z rotkitem
Zmieniłam nazwę, przeniosłam, Usługa inteligentnego transferu w tle jest już uruchomiona:

[Obrazek: lh3984_aaa.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#49
RE: problem z rotkitem
Cytat:Usługa inteligentnego transferu w tle jest już uruchomiona
No wreszcie...Diabelek
To teraz tak:
start, uruchom, services.msc
Przy uruchomionej usłudze "Usługa inteligentnego transferu w tle" próbuj zastartowac usługę"
Aktualizacje automatyczne (jeśli jest wyłączona) - jeśli chodzi to OK.
Jeśli pojawią się błędy - napisz jakie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#50
RE: problem z rotkitem
Jeszcze coś nie tak... "Usługa inteligentnego transferu w tle" jest uruchomiona ale przy próbie uruchomienia "Aktualizacje automatyczne " znów informacja o błędzie nr 5:
[Obrazek: jf8235_b.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
antywirus wykryl rootkit

Podobne wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1188 03.06.2018, 16:48
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 149955 06.05.2018, 21:35
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5180 11.03.2018, 21:18
Ostatni post: Michu_PL

Skocz do:


Wybrane wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Automatyczne otwieranie się przegladarki po włączeniu komputera No65 3 3909 15.11.2018 23:55
Ostatni post: morderca
Exclamation skróty na pendrivie sendlaksz 10 8569 29.10.2018 22:54
Ostatni post: sendlaksz
  Uciażliwe przejecie kontroli deathman 0 3855 29.10.2018 17:10
Ostatni post: deathman
  Chromium-niemożliwe do usunięcia alicja1956 15 1579 27.10.2018 22:31
Ostatni post: Illidan
  Samoczynnie otwierająca się przeglądarka z reklamami Piker 15 8145 26.10.2018 16:44
Ostatni post: morderca
  Samoczynne otwieranie sie stron z reklamami Waciaty 5 3878 25.10.2018 20:29
Ostatni post: morderca
  ŁĄCZNOŚĆ qwenn1239 2 3681 25.10.2018 14:05
Ostatni post: Officer Crabtree
  Samoistne włączanie się wiersza poleceń po starcie systemu wraz z przeglądarką Jurassa 8 6189 23.10.2018 14:33
Ostatni post: morderca
  Skrót pendriva stevie1 14 7623 14.10.2018 17:40
Ostatni post: stevie1
  Czyszczenie Pliku Wymiany przy zamykaniu komputera Gugi 2 3825 14.10.2018 16:57
Ostatni post: Gugi
  Po aktualizacji Bitdefender blokuje Outlooka eremo 2 3815 11.10.2018 13:11
Ostatni post: eremo
  Nymaim MarcelDuncan 8 5235 04.10.2018 14:46
Ostatni post: MarcelDuncan
  czy defender wystarczy bungar 1 3915 04.10.2018 13:43
Ostatni post: morderca
  Internet mobilny a bezpieczeństwo komputera? sedor 4 6385 02.10.2018 10:15
Ostatni post: Bartosz858
  Wyskakujące niechciane karty w przeglądarce balagan 4 4406 26.09.2018 19:54
Ostatni post: balagan