Skocz do zawartości

Odczyt Rootkit Revealer z DwProt i Access is denied


Rekomendowane odpowiedzi

To i ja sie przenioslem tutaj za picasso z SE. /

 

Mam pytanie o wyniki skanu rootkit revealer :

 

HKU\S-1-5-21-1454471165-1123561945-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	2007-07-25 15:39	0 bytes	Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAC* 2005-08-01 15:44 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 2005-08-01 15:44 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 2010-06-15 23:23 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Environment* 2010-02-24 16:27 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet002\Services\DwProt 2010-06-15 22:54 0 bytes Access is denied.

 

Wiem ze 1 jest bezpieczny i dotyczy zabezpieczen do plyt, .... Cryptography\RNG\Seed tez jest bezpieczny, a jesli chodzi o DwProt to jest sterownik Dr.Web usunalem plik dwprot.sys z windows\system32\drivers no i w tą galąz ...ControlSet002\Services\DwProt nie da sie wejsc pokazuje ze ona nie istnieje czy mozna to spokojnie usunac z rejestru? Co do pozostalych wynikow chyba tez sa bezpieczne czy nalezy cos zrobic z tymi zerami ?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Spokojnie możesz porzucić stosowanie tego softu. Rootkit Revealer to strasznie przestarzały program. Nie aktualizowany od roku 2006. Aktualne warunki i chodzące w obiegu rootkity wymagają używania czegoś innego (GMER / RootRepeal).

 

2. Wyniki nie wymagają interwencji. Nulle są w porządku.

 

3. Niemożność dostania się do klucza Dr. Web jest zapewne wynikiem braku jakichkolwiek uprawnień. Jeśli klucz ze stanem "Access Denied" figuruje w rootkit detektorze = żadne konto nie ma praw. Jeśli chcesz to skasować: zastartuj regedit na poświadczeniu SYSTEM za pomocą narzędzia psexec, nadaj Pełną kontrolę dla konta o nazwie SYSTEM i klucz skasuj. Start regedit w taki sposób jest opisany tutaj: KLIK (Kasowanie kluczy rejestru do których nie ma uprawnień ("Błąd przy usuwaniu klucza")).

Odnośnik do komentarza

Dziekuje za odpowiedz ( jest opcja na ustawieniach forum zeby powiadamial o odp, mailem? )

 

gmer logi wysylalem w poprzednim temacie w ktorym mi pomagalas "Win32.Polip.a, Podmiana regedit i błędy (0xc00000005)" na forum SE, i powiedzialas ze nie widac sladow infekcji, natomiast ostatnio zauwazylem pobierajac z strony domowej plik gmer.exe ze "virus total"(http://www.virustotal.com) znajduje tam jakis trojan (jeden z silnikow w virus total) nie pamietam jaki, moze to falszywy alarm , ale jednak jest to niepokojące, dzisiaj virus total nie dziala i nie moge przetestowac pliku sciaganego z tematu antyrootkit, szkoda bo to wymaga sprawdzenia ludzie beda to pobierac z forum

Odnośnik do komentarza

Zapomniałam jeszcze spytać: czy masz podstawy, by szukać infekcji?

 

gmer logi wysylalem w poprzednim temacie w ktorym mi pomagalas "Win32.Polip.a, Podmiana regedit i błędy (0xc00000005)" na forum SE, i powiedzialas ze nie widac sladow infekcji

 

Ale to było daaaaawno temu. Sprawdzanie logów musi się odbywać za każdym razem od początku na materiale robionym na bieżąco. Czasem wystarczy pół godziny, by stan komputera uległ radykalnej odmianie. Nie wolno się odwoływać do starych wyników i poprzednich tematów, zakładając że sytuacja przypuszczalnie nie uległa zmianie. Rootkit Revealer nie nadaje się do sprawdzania. Mówiłam, że przeterminowany, działa także w inny sposób niż GMER.

 

pobierajac z strony domowej plik gmer.exe ze "virus total"(http://www.virustotal.com) znajduje tam jakis trojan (jeden z silnikow w virus total) nie pamietam jaki, moze to falszywy alarm , ale jednak jest to niepokojące, dzisiaj virus total nie dziala i nie moge przetestowac pliku sciaganego z tematu antyrootkit, szkoda bo to wymaga sprawdzenia ludzie beda to pobierac z forum

 

VirusTotal już działa, choć kulawo. Ten który wykrywa infekcję to eSafe, a rzekoma infekcja to Win32.Corrupt.Ep. Bardzo wątpliwe, by to odpowiadało stanowi faktycznemu. Po drugie: dlaczego pobierasz wersję o nazwie "gmer"? Należy pobrać tę o losowym charakterze i zmiennej nazwie pliku EXE, która ma inną technikę montażu.

 

 

 

.

Odnośnik do komentarza

ta losowa instalka z forum na virus total podaje to samo co exe gmera, ja sciagalem główna tylko zeby sprawdzic ale skoro mowisz ze to watpliwy alarm . do loga sciagnalem via forum.

 

Zrobilem skan gmerem i Od razu musze sie zapytac dlaczego w momencie ukonczenia skanu probujac zapisac log w notatniku system mi restartuje stalo sie tak dwa razy , zapisywalem przy wlaczonym gmer ?? musialem dwa razy robic scan przez to ,dlaczego tak sie dzieje?? zapisalem log przez zapisz a nie wklej

 

druga sprawa odczyt wyglada na bezpieczny - tam sie pojawiaja wpisy od firewalla privatefirewall ktory polecalas na search engines, natomiast ja dawalem allow za 1 razem , a za drugim razem dalem w firewallu allow calego procesu gmer

 

dolaczam log ,strasznie nieciekawe te restarty

gmer log.txt

Odnośnik do komentarza

W logu z GMER nie widzę niczego podejrzanego.

 

ta losowa instalka z forum na virus total podaje to samo co exe gmera, ja sciagalem główna tylko zeby sprawdzic ale skoro mowisz ze to watpliwy alarm . do loga sciagnalem via forum.

 

Mnie nie chodzi tu o wpływ na zmianę wników VirusTotal. Wersja losowa exe jest odporniejsza na rootkity, które mogą blokować / oszukiwać program działający na stałej nazwie. Detekcja na VirusTotal obu wersji (EXE + ZIP) powinna być taka sama, bo to ciągle ten sam program z charakterystycznymi instrukcjami wewnętrznymi.

 

probujac zapisac log w notatniku system mi restartuje stalo sie tak dwa razy , zapisywalem przy wlaczonym gmer ?? musialem dwa razy robic scan przez to ,dlaczego tak sie dzieje?? zapisalem log przez zapisz a nie wklej

 

Dlatego w instrukcji tworzenia raportu jest napisane, by użyć Kopiuj (via schowek) i wkleić pośrednio, a nie od razu zapis pliku z poziomu GMER. Nie jesteś pierwszym, który notuje problem z użyciem bezpośredniej funkcji zapisu z GMER. O ile sobie dobrze przypominam, na moim systemie był ten sam problem ze zwisem aplikacji przy prostej operacji użycia funkcji zapisu, a Kopiuj bez problemu.

 

 

 

.

Odnośnik do komentarza
Dlatego w instrukcji tworzenia raportu jest napisane, by użyć Kopiuj (via schowek) i wkleić pośrednio, a nie od razu zapis pliku z poziomu GMER. Nie jesteś pierwszym, który notuje problem z użyciem bezpośredniej funkcji zapisu z GMER. O ile sobie dobrze przypominam, na moim systemie był ten sam problem ze zwisem aplikacji przy prostej operacji użycia funkcji zapisu, a Kopiuj bez problemu.

 

No ale u mnie bylo wlasnie tak ze dalem kopiuj najpierw i przy probie otwarcia notatnika przy nie zamknietym gmer system sie restartowal i nie zdążał wkleic do notepad, potem za 2 razem dalem zapisz i tez sie restartowal , ale zdążył zapisac plik - moze poprostu przed zapisaniem trzeba zamykac gmer ?

 

 

P.S W opisie gmer nie ma info ze trzeba odpalac z partycji C a w search engines zdaje mi sie tak zalecalas czy sie myle

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...