lukasz77 Opublikowano 15 Czerwca 2010 Zgłoś Udostępnij Opublikowano 15 Czerwca 2010 To i ja sie przenioslem tutaj za picasso z SE. / Mam pytanie o wyniki skanu rootkit revealer : HKU\S-1-5-21-1454471165-1123561945-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 2007-07-25 15:39 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAC* 2005-08-01 15:44 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 2005-08-01 15:44 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 2010-06-15 23:23 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Environment* 2010-02-24 16:27 0 bytes Key name contains embedded nulls (*) HKLM\SYSTEM\ControlSet002\Services\DwProt 2010-06-15 22:54 0 bytes Access is denied. Wiem ze 1 jest bezpieczny i dotyczy zabezpieczen do plyt, .... Cryptography\RNG\Seed tez jest bezpieczny, a jesli chodzi o DwProt to jest sterownik Dr.Web usunalem plik dwprot.sys z windows\system32\drivers no i w tą galąz ...ControlSet002\Services\DwProt nie da sie wejsc pokazuje ze ona nie istnieje czy mozna to spokojnie usunac z rejestru? Co do pozostalych wynikow chyba tez sa bezpieczne czy nalezy cos zrobic z tymi zerami ? Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2010 Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 1. Spokojnie możesz porzucić stosowanie tego softu. Rootkit Revealer to strasznie przestarzały program. Nie aktualizowany od roku 2006. Aktualne warunki i chodzące w obiegu rootkity wymagają używania czegoś innego (GMER / RootRepeal). 2. Wyniki nie wymagają interwencji. Nulle są w porządku. 3. Niemożność dostania się do klucza Dr. Web jest zapewne wynikiem braku jakichkolwiek uprawnień. Jeśli klucz ze stanem "Access Denied" figuruje w rootkit detektorze = żadne konto nie ma praw. Jeśli chcesz to skasować: zastartuj regedit na poświadczeniu SYSTEM za pomocą narzędzia psexec, nadaj Pełną kontrolę dla konta o nazwie SYSTEM i klucz skasuj. Start regedit w taki sposób jest opisany tutaj: KLIK (Kasowanie kluczy rejestru do których nie ma uprawnień ("Błąd przy usuwaniu klucza")). Odnośnik do komentarza
lukasz77 Opublikowano 17 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2010 Dziekuje za odpowiedz ( jest opcja na ustawieniach forum zeby powiadamial o odp, mailem? ) gmer logi wysylalem w poprzednim temacie w ktorym mi pomagalas "Win32.Polip.a, Podmiana regedit i błędy (0xc00000005)" na forum SE, i powiedzialas ze nie widac sladow infekcji, natomiast ostatnio zauwazylem pobierajac z strony domowej plik gmer.exe ze "virus total"(http://www.virustotal.com) znajduje tam jakis trojan (jeden z silnikow w virus total) nie pamietam jaki, moze to falszywy alarm , ale jednak jest to niepokojące, dzisiaj virus total nie dziala i nie moge przetestowac pliku sciaganego z tematu antyrootkit, szkoda bo to wymaga sprawdzenia ludzie beda to pobierac z forum Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2010 Zgłoś Udostępnij Opublikowano 17 Czerwca 2010 Zapomniałam jeszcze spytać: czy masz podstawy, by szukać infekcji? gmer logi wysylalem w poprzednim temacie w ktorym mi pomagalas "Win32.Polip.a, Podmiana regedit i błędy (0xc00000005)" na forum SE, i powiedzialas ze nie widac sladow infekcji Ale to było daaaaawno temu. Sprawdzanie logów musi się odbywać za każdym razem od początku na materiale robionym na bieżąco. Czasem wystarczy pół godziny, by stan komputera uległ radykalnej odmianie. Nie wolno się odwoływać do starych wyników i poprzednich tematów, zakładając że sytuacja przypuszczalnie nie uległa zmianie. Rootkit Revealer nie nadaje się do sprawdzania. Mówiłam, że przeterminowany, działa także w inny sposób niż GMER. pobierajac z strony domowej plik gmer.exe ze "virus total"(http://www.virustotal.com) znajduje tam jakis trojan (jeden z silnikow w virus total) nie pamietam jaki, moze to falszywy alarm , ale jednak jest to niepokojące, dzisiaj virus total nie dziala i nie moge przetestowac pliku sciaganego z tematu antyrootkit, szkoda bo to wymaga sprawdzenia ludzie beda to pobierac z forum VirusTotal już działa, choć kulawo. Ten który wykrywa infekcję to eSafe, a rzekoma infekcja to Win32.Corrupt.Ep. Bardzo wątpliwe, by to odpowiadało stanowi faktycznemu. Po drugie: dlaczego pobierasz wersję o nazwie "gmer"? Należy pobrać tę o losowym charakterze i zmiennej nazwie pliku EXE, która ma inną technikę montażu. . Odnośnik do komentarza
lukasz77 Opublikowano 17 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2010 ta losowa instalka z forum na virus total podaje to samo co exe gmera, ja sciagalem główna tylko zeby sprawdzic ale skoro mowisz ze to watpliwy alarm . do loga sciagnalem via forum. Zrobilem skan gmerem i Od razu musze sie zapytac dlaczego w momencie ukonczenia skanu probujac zapisac log w notatniku system mi restartuje stalo sie tak dwa razy , zapisywalem przy wlaczonym gmer ?? musialem dwa razy robic scan przez to ,dlaczego tak sie dzieje?? zapisalem log przez zapisz a nie wklej druga sprawa odczyt wyglada na bezpieczny - tam sie pojawiaja wpisy od firewalla privatefirewall ktory polecalas na search engines, natomiast ja dawalem allow za 1 razem , a za drugim razem dalem w firewallu allow calego procesu gmer dolaczam log ,strasznie nieciekawe te restarty gmer log.txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2010 Zgłoś Udostępnij Opublikowano 17 Czerwca 2010 W logu z GMER nie widzę niczego podejrzanego. ta losowa instalka z forum na virus total podaje to samo co exe gmera, ja sciagalem główna tylko zeby sprawdzic ale skoro mowisz ze to watpliwy alarm . do loga sciagnalem via forum. Mnie nie chodzi tu o wpływ na zmianę wników VirusTotal. Wersja losowa exe jest odporniejsza na rootkity, które mogą blokować / oszukiwać program działający na stałej nazwie. Detekcja na VirusTotal obu wersji (EXE + ZIP) powinna być taka sama, bo to ciągle ten sam program z charakterystycznymi instrukcjami wewnętrznymi. probujac zapisac log w notatniku system mi restartuje stalo sie tak dwa razy , zapisywalem przy wlaczonym gmer ?? musialem dwa razy robic scan przez to ,dlaczego tak sie dzieje?? zapisalem log przez zapisz a nie wklej Dlatego w instrukcji tworzenia raportu jest napisane, by użyć Kopiuj (via schowek) i wkleić pośrednio, a nie od razu zapis pliku z poziomu GMER. Nie jesteś pierwszym, który notuje problem z użyciem bezpośredniej funkcji zapisu z GMER. O ile sobie dobrze przypominam, na moim systemie był ten sam problem ze zwisem aplikacji przy prostej operacji użycia funkcji zapisu, a Kopiuj bez problemu. . Odnośnik do komentarza
lukasz77 Opublikowano 18 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2010 Dlatego w instrukcji tworzenia raportu jest napisane, by użyć Kopiuj (via schowek) i wkleić pośrednio, a nie od razu zapis pliku z poziomu GMER. Nie jesteś pierwszym, który notuje problem z użyciem bezpośredniej funkcji zapisu z GMER. O ile sobie dobrze przypominam, na moim systemie był ten sam problem ze zwisem aplikacji przy prostej operacji użycia funkcji zapisu, a Kopiuj bez problemu. No ale u mnie bylo wlasnie tak ze dalem kopiuj najpierw i przy probie otwarcia notatnika przy nie zamknietym gmer system sie restartowal i nie zdążał wkleic do notepad, potem za 2 razem dalem zapisz i tez sie restartowal , ale zdążył zapisac plik - moze poprostu przed zapisaniem trzeba zamykac gmer ? P.S W opisie gmer nie ma info ze trzeba odpalac z partycji C a w search engines zdaje mi sie tak zalecalas czy sie myle Odnośnik do komentarza
Rekomendowane odpowiedzi