Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

antywirus wykrył rootkita, podaję logi z Hjt i combofix

#41
RE: problem z rotkitem
W okienku zaawansowane:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
Wytnij pierwszą pozycją (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) (usuń i OK)

Następnie przeczytaj uważnie post 37.
Opisane tam czynności trzeba zastosować do gałęzi BITS tutaj:
HKLM\SYSTEM\ControlSet001\Services\BITS
i tutaj:
HKLM\SYSTEM\ControlSet002\Services\BITS

Jak to zrobisz pokaż następujące printscreeny z uprawnień:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator
HKLM\SYSTEM\ControlSet001\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"
HKLM\SYSTEM\ControlSet002\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"

Potem ponownie wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

(tylko proszę nie wrzucaj ich na megaupload, bo musiałem nos do monitora przykleić, żeby odczytać tamte magiczne literki).

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#42
RE: problem z rotkitem
uprawnienia:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator

[Obrazek: vo6574_a.JPG]
HKLM\SYSTEM\ControlSet001\Services\BITS
-> uprawnienia dla użytkownicy:
[Obrazek: oy6395_b.JPG]

-> uprawnienia dla administratorzy:
[Obrazek: bq4617_c.JPG]

-> uprawnienia dla system:
[Obrazek: ha5948_d.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: mi7965_e.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: wo6598_f.JPG]
HKLM\SYSTEM\ControlSet002\Services\BITS
-> uprawnienia dla administratorzy:
[Obrazek: jo9093_a.JPG]

-> uprawnienia dla system:
[Obrazek: or9005_b.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: pk4705_c.JPG]

-> uprawnienia dla użytkownicy:
[Obrazek: rm7443_d.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: de4245_e.JPG]

Czy tutaj w ustawieniach zaawansowanych też usunąć pierwszą pozycję (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) ?
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#43
RE: problem z rotkitem
Gałąź:
HKLM\SYSTEM\ControlSet001\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane i pokaż printscreena (ale tutaj wygląda, że już nic grzebać nie będziemy).

Gałąź:
HKLM\SYSTEM\ControlSet002\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane.
Jeśli tu na pierwszej pozycji będzie stał wpis jak na obrazku:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
to do usunięcia (ten z "nie odziedziczono").
Przejdź do gałęzi:
W kluczu:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
są dwa podklucze: Parameters oraz Security
Podklucz Parameters ma mieć identyczne uprawnienia jak BITS - jeśli są różnice - pokaz odpowiednie printscreeny.
Podklucz Security ma mieć uprawnienia:
Dla Administratorzy (....\Administratorzy):
Pełna kontrola - ptaszek tylko przy zezwalaj
Odczyt - ptaszek tylko przy zezwalaj
Uprawnienia specjalne - pole pod zezwalaj jest nieaktywne, pole pod odmów jest nieaktywne.
Uprawnienia dla SYSTEM - takie same jaj dla Administratorzy (....\Administratorzy)
Jeśli są różnice pokaż odpowiedni printscreen.
Dla podklucza Security pole zaawansowane ma wyglądać tak
Kod:
Zezwalaj     SYSTEM    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Zezwalaj     Administratorzy\ (...\Administratorzy)    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Jeśli jest inaczej pokaż odpowiedni printscreen.

Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Parameters
uprawnienia mają być takie same jak dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS
Jeśli jest inaczej - pokaż odpowiedni printscreen.
Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Security
uprawnienia mają być identyczne jak dla klucza:
HKLM\SYSTEM\CurrentControlSet\Services\BITS\Security
Jeśli jest inaczej - pokaż odpowiedni printscreen

W kluczu:
HKLM\SYSTEM\ControlSet002\Services\BITS
na razie robisz poprawki, więc pokaż printscreeny z uprawnień dla Administratorzy i zaawansowane jak już je wprowadzisz.

Potem wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.

Jeśli jakiś podkluczy będzie brakować (a może tak być) -nie twórz ich samodzielnie tylko napisz, których brakuje.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#44
RE: problem z rotkitem
Gałąź: HKLM\SYSTEM\ControlSet001\Services\BITS, prawoklik na BITS, uprawnienia, zaawansowane :
[Obrazek: mj2813_a.JPG]
W HKLM\SYSTEM\CurrentControlSet\Services\BITS
Podklucz Parameters ma identyczne uprawnienia jak BITS (mam tylko pyt: niektóre pola zarówno w uprawnieniach dla BITS jak i dla Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś).
W podkluczu Security wszystko się zgadza.
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#45
RE: problem z rotkitem
Cytat:Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś
Tak ma właśnie być. Wcześniej o tym nie wspomniałem, bo obrazki sie zgadzały.
Dla gałęzi:
HKLM\SYSTEM\ControlSet002\Services\BITS
uprawnienia zaawansowane mają być identyczne jak tu:
http://www.otofotki.pl/img7/pokaz.php?id=mj2813_a.JPG

Wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#46
RE: problem z rotkitem
W HKLM\SYSTEM\ControlSet001\Services\BITS oba podklucze sprawdziłam i jest OK.
z klucza: HKLM\SYSTEM\ControlSet002\Services\BITS jeszcze daję te poprawki (printscreeny) o których wpomniałeś w przedostatniej wypowiedzi:
Administratorzy:[Obrazek: cy7216_b.JPG]
i zaawansowane: [Obrazek: yd3827_c.JPG]
I jeszcze mam pytanie odnośnie tych podfolderów: W gałęziach HKLM\SYSTEM\ControlSet001\Services\BITS i HKLM\SYSTEM\CurrentControlSet\Services\BITS obok podluczów Parameters i Security mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Wyeksportowane w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
http://wklej.org/id/83693/

HKLM\SYSTEM\ControlSet001\Services\BITS
http://wklej.org/id/83687/

HKLM\SYSTEM\ControlSet002\Services\BITS
http://wklej.org/id/83692/
link do Pliku: c:\qoobox\quarantine\c\windows\system32\setup.ini:

http://odsiebie.com/pokaz/2473542---aafa.html
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#47
RE: problem z rotkitem
Plikowi:
c:\qoobox\quarantine\c\windows\system32\setup.ini.vir
zmień nazwę na setup.ini
i przenieś go do katalogu:
c:\windows\system32

Start, uruchom, services.msc
ENTER
i próbuj uruchomić usługę:
Usługa inteligentnego transferu w tle.

Cytat:mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Niech zostanie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#48
RE: problem z rotkitem
Zmieniłam nazwę, przeniosłam, Usługa inteligentnego transferu w tle jest już uruchomiona:

[Obrazek: lh3984_aaa.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#49
RE: problem z rotkitem
Cytat:Usługa inteligentnego transferu w tle jest już uruchomiona
No wreszcie...Diabelek
To teraz tak:
start, uruchom, services.msc
Przy uruchomionej usłudze "Usługa inteligentnego transferu w tle" próbuj zastartowac usługę"
Aktualizacje automatyczne (jeśli jest wyłączona) - jeśli chodzi to OK.
Jeśli pojawią się błędy - napisz jakie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#50
RE: problem z rotkitem
Jeszcze coś nie tak... "Usługa inteligentnego transferu w tle" jest uruchomiona ale przy próbie uruchomienia "Aktualizacje automatyczne " znów informacja o błędzie nr 5:
[Obrazek: jf8235_b.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
Programy: Polecane / Nowe / Inne




Podobne wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1191 03.06.2018, 16:48
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 150679 06.05.2018, 21:35
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5198 11.03.2018, 21:18
Ostatni post: Michu_PL

Skocz do:


Wybrane wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  zły obraz Win 7 orzel132 9 6005 24.04.2018 01:24
Ostatni post: Illidan
  Cloudflare "One more step" lotand 18 12137 19.04.2018 19:45
Ostatni post: AgentS
  SYSTEM_SERVICE_EXCEPTION cyberbrain666666 2 5761 02.04.2018 03:28
Ostatni post: Illidan
  Komputer wolniej chodzi,explorer.exe ma duży zasób procesu tayeenek 1 5175 29.03.2018 16:07
Ostatni post: Illidan
  hijack.host elwis_95 2 5565 26.03.2018 19:16
Ostatni post: ~Anonim
  Jak usunąć pup.optional... funkyymonk 1 1306 23.03.2018 12:05
Ostatni post: morderca
  Backup a ransomware Grzesiek11 2 5451 19.03.2018 17:30
Ostatni post: ~Anonim
  Przekierowywanie przez przeglądarki na strony "reklamowe", dziwne procesy tic00 24 18353 19.03.2018 12:12
Ostatni post: Illidan
  POMOCY PENDRIVE TWORZY SKROT macuskowal 4 5883 15.03.2018 22:27
Ostatni post: macuskowal
  AntiVir Command Line Scanner for Windows - Jak usunąć? Silver102 2 1188 14.03.2018 17:27
Ostatni post: Silver102
  Brak polskich znaków w folderach po podlączeniu pendrive zgrzytek 2 5523 13.03.2018 18:41
Ostatni post: zgrzytek
  AVAST UKAZUJE ZBĘDNE PLIKI. TADEUSZ_1956 5 9193 13.03.2018 03:39
Ostatni post: TADEUSZ_1956
  Po uruchomieniu laptopa włącza się jakaś ruska strona emilka100 10 2722 13.03.2018 02:43
Ostatni post: Illidan
  Ręczne uruchamianie AV oraz powolny start systemu. raxer 1 924 13.03.2018 02:28
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5198 11.03.2018 21:18
Ostatni post: Michu_PL