Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit - ukryta usługa

wertumnus

Przez wertumnus
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Zappa

Zappa

Opublikowano
Opublikowano (edytowane)

Obraz płyty zrobiłeś czy kopie dysku C? Bo to róznica. Jeśli obraz płyty to wypal i startuj z płyty na system. Wybierasz opcje Napraw system

 

potem dochodzisz do opcji uruchom z wierszem polecenia. Wpisz polecenie regedit. To otworzy edytor rejestru. Podświetl po lewej klucz HKEY_LOCAL_MACHINE. Z menu Plik wybierz Załaduj gałąź rejestru. Otworzy się eksplorator ustawiony na widok płyty. Po lewej kliknij w Komputer. Wejdź na dysk systemowy, wskaż do montowania plik C:\WINDOWS\system32\config\SOFTWARE, podmontuj pod nazwą TEST. Pojawi się nowa gałąź TEST.

 

Znajdź ferelny klucz i go usuń. Potem zwolnij gałaź rejestru

 

 

Uruchom ponownie

 

Wybaczcie że się wtrącam,

 

 

 

Wszelkie porady mile widziane.
 

Edytowane przez Zappa
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
wertumnus

wertumnus

Opublikowano
  • Autor
Opublikowano

Zawsze robię obrazy ważniejszych dla mnie płyt i tak jest również w przypadku windowsa. Jakoś nie mogę jej teraz znaleźć więc pewnie szybciej będzie wypalić ale zastanawia mnie czy rzeczywiście jej potrzebuję bo przecież można wystartować w trybie naprawy i zdaje się, że wtedy ładują się narzędzia z tej ukrytej partycji około 100MB, którą proponuje windows przy instalacji (zmienia literę systemu z c: na jakąś kolejną - u mnie chyba e: ale to zawsze można sprawdzić). Ja tak czasem naprawiam system bo przy nagłym wyłączeniu (np: odcięcie prądu) pojawiają mi się często błędy na partycjach i musze je z wiersza poleceń traktować chkdsk.

 

Run as System sprawdzałem ale nic z tego. Tak czy inaczej dzięki za pomoc

Odnośnik do komentarza
Zappa

Zappa

Opublikowano
Opublikowano
czy rzeczywiście jej potrzebuję bo przecież można wystartować w trybie naprawy

 

nie zrobisz tego w trybie naprawy przez F8. Pliki rejestru bedą wtedy w uzyciu i nie podmontujesz gałeżi rejestru.

 

zdaje się, że wtedy ładują się narzędzia z tej ukrytej partycji około 100MB, którą proponuje windows przy instalacji

 

jest inny zapis partycji. Masz wejść na partycję gdzie jest folder Windows. Chodzi o to, że system nie moze być aktywny. Wypal płyte i startuj.

Odnośnik do komentarza
wertumnus

wertumnus

Opublikowano
  • Autor
Opublikowano (edytowane)

Witam ponownie i przepraszam za opóźnienia (mam prawdziwy kocioł w pracy). Płyta z windowsem 7 zacina się w pewnym momencie i nie rusza dalej. Druga płyta z windowsem pokazuje, że to inna wersja. Obraz mialem właśnie do tej drugiej więc klapa. Sprawdziłem przy okazji PCRegedit z bootowalnej płyty i po załadowaniu części programu pojawia mi się komunikat:

Video is ATI Technologies Inc Unknown device 6719, using Xorg(ati) Server

Dlatego zmajstrowałem płytę naprawy i z niej uruchomiłem regedita. ponieważ płyta była tworzona przed chwilą, sprawdziłem czy na zabootowanym rejestrze jest feralny wpis i było czysto.

Dalej postąpiłem jak wskazałeś w komie nr 51 z tą różnicą, że podmontowałem:

D:\WINDOWS\system32\config\SYSTEM

zamiast SOFTWARE (bo w software nie było szukanego klucza). Dysk "D" ponieważ mój systemowy został przesunięty podobnie jak się dzieje w uruchamianiu w trybie naprawy (za to dokładnie sprawdziłem, że to ten właściwy)

Ponieważ przeszukując to co podmontowałem jako TEST nie buło "CurrentControlSet" (czy jakoś tak), sprawdziłem Control Set 001 i 002 i w obu były feralne klucze. 

Z Control Set 002 udało mi się usunąć (i klucz był pokazany z krzyżykiem rozwinięcia) a z Control Set 001 (gdzie był pokazany bez krzyżyka rozwinięcia) nie udało mi się usunąć, bo ukazał sie komunikat, że nie ma tam pliku/zawartości.

Wygląda to tak jakby istniała sama nazwa klucza bez zawartości. Oczywiście nie mogłem jej podglądać poza tym z Control Set 002 - tam mogłem rozwijać i wszystko wygladało jak w kluczu WinHttpAutoProxySvc.

Jeszcze mam jedno spostrzeżenie: odpalenie z płyty naprawy nie różniło się niczym od odpalenia w trybie naprawy bo w obu przypadkach ładowany jest "system" niezależny od systemu z normalnego trybu uruchomieniowego. Oczywiście biorę poprawke na to, że ekspertem nie jestem ale na to wskazują porównania  rozruchów.

 

Pomyśląłem o jeszcze jednej rzeczy. Ponieważ na jednej partycji mam zainstalowane Ubuntu (tylko teraz nieaktywne i nie ruszane od ostatniego przeinsatlowywania windowsa, to może z tamtego poziomu da się pogrzebać w rejestrze i usunąc tamten klucz? tylko musiałbym sobie przypomniec jak wpisac uruchamianie Ubuntu do listy rozruchowej (bo już długi czas nie dodawałem i zwyczajnie zapomniałem). Oczywiscie jeśli nie widzisz w tym większego sensu to nie będę sie trudził. Druga sprawa, że być może nie bedę mógł sie dogrzebać do rejestru.

Edytowane przez wertumnus
Odnośnik do komentarza
wertumnus

wertumnus

Opublikowano
  • Autor
Opublikowano

Dysk mam w porządku, mój komputer tak ma najprawdopodobniej z powodu kości pamięci, które słabo współpracują z płytą główną (zwłaszcza przy kręceniu). Wielokrotnie sprawdzałem dysk bootowalnymi programami (MHDD - skan parę godzin) i nie ma tam żadnych błędów. Czasem tylko przy takim nagłym wyłączeniu pojawiają mi się błędy zwłaszcza na partycji D (a nie systemowej). Standardowo chkdsk d: /f pomaga. Zawsze przy okazji (i jako pierwszy) "naprawiam" partycje systemową. Dawniej na searchengines juz zajmowałem się tym problemem i żadnych błędów nie znaleziono (chociaż wtedy Picasso też chyba była chora albo zwyczajnie niedostępna).

Zdecydowanie bardziej wolałbym zająć się problemem z tematu.

 

CrystalDiskInfo podaje status jako dobry i nie ma żadnych błędów

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

wertumnus

 

Jak sam zauważyłeś, od posta #20 były operacje na błędnej usłudze (WinHttpAutoProxySvc). I ja sądzę, że wadliwe WinHttpAudoProxySvc to jest uszkodzona wersja systemowego WinHttpAutoProxySvc, a nie infekcja, ponieważ zawartość klucza widziana przez GMER zgadza się z poprawną wersją.

 

Jeśli chodzi o sam felerny klucz WinHttpAudoProxySvc, należało zacząć od prostej operacji ze skryptem FRST:

 

DeleteKey: HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

 

DeleteKey: jest silną dyrektywą do usuwania kluczy zablokowanych na rozmaite sposoby (uprawnienia, znaki null, symlinki) i zastępuje wszystkie inne narzędzia. Jeśli ta dyrektywa nie powiodłby się, wtedy można było przejść do usuwania z zewnątrz przy udziale narzędzia, które potrafi usunąć także inne typy uszkodzeń z którymi rejestr Windows sobie nie poradzi:

 

 

Ponieważ przeszukując to co podmontowałem jako TEST nie buło "CurrentControlSet" (czy jakoś tak), sprawdziłem Control Set 001 i 002 i w obu były feralne klucze.

 

Z Control Set 002 udało mi się usunąć (i klucz był pokazany z krzyżykiem rozwinięcia) a z Control Set 001 (gdzie był pokazany bez krzyżyka rozwinięcia) nie udało mi się usunąć, bo ukazał sie komunikat, że nie ma tam pliku/zawartości.

 

Wygląda to tak jakby istniała sama nazwa klucza bez zawartości. Oczywiście nie mogłem jej podglądać poza tym z Control Set 002 - tam mogłem rozwijać i wszystko wygladało jak w kluczu WinHttpAutoProxySvc.

CurrentControlSet to tylko link symboliczny do właściwej konfiguracji ControlSet00X i nie występuje w środowisku zewnętrznym. U Ciebie ControlSet001 wygląda na konfigurację domyślną, zaś ControlSet002 na Ostatnią poprawną konfigurację. Wadliwe wystąpienie WinHttpAudoProxySvc w ControlSet001 możesz próbować usunąć za pomocą edytora rejestru wbudowanego do Kaspersky Rescue Disk. Płyta jest proweniencji Linuksowej, więc pewne ograniczenia regedit Windows są omijane.

 

Było dodatkowe zamieszanie z winhttp.dll. Poproszę także o wykonanie sprawdzania plików. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie, w cmd wklej kolejną:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Wynikowy log dołącz tutaj.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skan SFC OK, nie wykazuje innych naruszeń.

 

 

klucza jeszcze nie usunąłem bo nie wiem jak użyć DeleteKey: HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc w FRST

a jestem w trakcie wypalania Kasperskyego. Jak usunę klucz dam znać

Mój komentarz o DeleteKey tyczył tego co należało zrobić na początku tematu unikając 4 stron dywagacji, bo jeśli ta dyrektywa nie dałaby rady, od razu wiadomo byłoby co dalej. Obecnie masz zadanie usunięcia klucza via edytor rejestru w Kasperskym a nie skrypt FRST.

 

 

P.S. mam nadzieję, że już całkiem zdrowa

Niestety nie.

 

 

 

.

Odnośnik do komentarza
wertumnus

wertumnus

Opublikowano
  • Autor
Opublikowano

Zanim jeszcze zapoznam się ze wskazanym tematem śpieszę przypomnieć, że PC regedit po załadowaniu większej swojej części odmawia współpracy z powodu:

Video is ATI Technologies Inc Unknown device 6719, using Xorg(ati) Server

Czyli mam sprawdzić partycję systemową chkdsk /f /r a jeśli nie pomoże to podsyłać plik rejestru? Sprawdzić nie zaszkodzi tylko z "/r" to trochę trwa.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wskazany temat jest tylko odwołaniem, że tu mamy coś podobnego (uszkodzony klucz) i że ten rodzaj uszkodzenia zdołał skasować edytor PC Regedit w sytuacji, gdy edytor Kasperskiego nie dał rady. Jakoś nie zauważyłam, że ten błąd zgłaszałeś właśnie przy PC Regedit. Błąd prawdopodobnie jest związany z wersją Xorg będącą składnikiem płyty. Trzeba szukać dalej jakiegoś edytora rejestru pochodzącego z Linuksowych (nie Windowsowych) rozwiązań. Na razie nic nie przychodzi mi do głowy, ale prześlij mi kopię rejestru do eksperymentów - plik C:\FRST\Hives\SYSTEM.

 

 

 

.

Odnośnik do komentarza
wertumnus

wertumnus

Opublikowano
  • Autor
Opublikowano

Edytor rejestru w Avira Rescue System usunął klucz bez problemu. W ogóle to bardzo ciekawa płytka z narzędziami. Stokrotne dzięki @Bonifacy.

Aktualnie po powrocie do zwykłego trybu pracy nie ma w rejestrze wspomnianego klucza. Jeśli jest jeszcze coś do zrobienia dla sfinalizowania całej sprawy to proszę o szczegóły. Chciałbym mieć pewność, że klucz nie pojawi się za chwilę znowu.

 

Jeśli wszystko jest OK to bardzo dziękuję za zaangażowanie i pomoc wszystkich osób piszących w temacie, czyli użytkownikom:

@Jessica

@Bonifacy

@Picasso

@Zappa  <- który poświęcił najwięcej czasu i pokazał kilka ciekawych narzędzi (naprawdę doceniam taką pomoc)

@KolegaDudysa

 

Jeśli już nie ma potrzeby dalszego działania temat można zamknąć.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tu nie koniec działań. Jeden problem z głowy, ale w Twoim raporcie FRST był też ten odczyt:

 

S2 MpsSvc; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)

 

On oznacza uszkodzenie usługi Zapory. Przesłany plik SYSTEM potwierdza dewastację (niekompletna zawartość). Kolejne działania:

 

1. Mała korekta na poprzednio wykonany import brakującej usługi WinHttpAutoProxySvc (brak domyślnej wartości ProxyDllFile). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Parameters]
"ProxyDllFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
6a,00,73,00,70,00,72,00,6f,00,78,00,79,00,2e,00,64,00,6c,00,6c,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zastosuj ServicesRepair.

 

3. Po restarcie zrób nowy log z FRST (z Addition, ale bez Shortcut).

 

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...