Podejrzenie infekcji w plikach i folderach chronionych

polo90 · 7 Wrzesień 2013 19:48

Witam

Mam problem z ukryciem folderów chronionych w systemie Windows 7. Co zrobić, żeby ukryć pliki i foldery chronione jak np. ProgramData, który standardowo jest ukryty? Ustawienie folderów w systemie mam jak na obrazku:

Bogdan_G · 7 Wrzesień 2013 19:57

Jak tak masz zaznaczone w opcjach folderów, a widzisz taki folder, który powinien być ukryty, to klikaj na niego prawym przyciskiem myszy, wybierz Właściwości, potem zaznacz - Ukryty i daj Zastosuj.

polo90 · 7 Wrzesień 2013 20:04

Problem w tym, że są widoczne wszystkie foldery chronione w systemie przy takich ustawieniach folderów jak na obrazku, mógłbym pozmieniać atrybuty folderów na ukryte, ale nie wiem dokładnie które foldery chronione powinny być ukryte?

Lukash1 · 7 Wrzesień 2013 20:05

Czy w systemie była/jest jakaś infekcja lub jej podejrzenie ?

Wykonaj logi OTL, postępuj dokładnie według instrukcji podanej tu : analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

polo90 · 7 Wrzesień 2013 20:30

Zainstalowałem program Windows Repair (All-in-One) Portable ze strony http://www.bleepingcomputer.com/downloa … ws+repair/ aby pozbyć się czarnego ekranu przed ekranem ,Zapraszamy!" przed startem systemu. Program wykonał swoje zadanie prawidłowo, ale później zauważyłem, że foldery standardowo ukryte są odkryte. Przesyłam logi z OTL:

OTL:

http://www.wklej.org/id/1125031/?hl=

Extras:

http://www.wklej.org/id/1125033/?hl=

system · 7 Wrzesień 2013 21:49

To narzędzie m.in. sprawdza atrybuty każdego pliku, i jeśli jest ukryty a nie jest plikiem systemowym, to folder z tym plikiem zostaje odkryty! W ten sposób użytkownik dowiaduje się, które pliki zostały “dodane” do systemu przez infekcje. Normalnie, zdrowe ukryte pliki systemowe, takie jak desktop.ini itp. nadal pozostają ukryte. Wszystko to wskazuje, że masz system (pliki) zainfekowany wewnątrz folderu Program Data. Radzę przenieść temat i logi do działu Bezpieczeństwo.

Lukash1 · 8 Wrzesień 2013 08:00

Może przydadzą się te fixy:

1.Utwórz punkt przywracania systemu.

2.Wkleić do nowego tekstowego Zapisać jako fix.reg > scalić z rejesterm

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000002 “SuperHidden”=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden] “Type”=“checkbox” “Text”="@shell32.dll,-30508" “WarningIfNotDefault”="@shell32.dll,-28964" “HKeyRoot”=dword:80000001 “RegPath”=“Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced” “ValueName”=“ShowSuperHidden” “CheckedValue”=dword:00000000 “UncheckedValue”=dword:00000001 “DefaultValue”=dword:00000000 “HelpID”=“shell.hlp#51103” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden] “Text”="@shell32.dll,-30499" “Type”=“group” “Bitmap”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\ 68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 “HelpID”=“shell.hlp#51131” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN] “RegPath”=“Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced” “Text”="@shell32.dll,-30501" “Type”=“radio” “CheckedValue”=dword:00000002 “ValueName”=“Hidden” “DefaultValue”=dword:00000002 “HKeyRoot”=dword:80000001 “HelpID”=“shell.hlp#51104” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL] “RegPath”=“Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced” “Text”="@shell32.dll,-30500" “Type”=“radio” “CheckedValue”=dword:00000001 “ValueName”=“Hidden” “DefaultValue”=dword:00000002 “HKeyRoot”=dword:80000001 “HelpID”=“shell.hlp#51105”

3.Wkleić do nowego tekstowego Zapisać jako fix.bat > uruchomić dwuklikiem

@echo off taskkill /f /IM explorer.exe CD /D C:\ attrib +h C:\ProgramData /s /d attrib +s +h C:\System Volume Information /s /d attrib +s +h C:$Recycle.Bin /s /d attrib +s +h %APPDATA%\Microsoft\Windows\Cookies /s /d attrib +s +h %USERPROFILE%\AppData\Local\Microsoft\Windows\History /s /d attrib +s +h %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files /s /d attrib +h %USERPROFILE%\AppData /s /d attrib +s +h %USERPROFILE%\SendTo /s /d attrib +s +h %USERPROFILE%\Recent /s /d attrib +s %SystemRoot%\Fonts /s /d attrib +h %SystemRoot%\PIF /s /d attrib +s %SystemRoot%\bootstat.dat /s /d attrib +s +h C:\Windows\System32\GroupPolicy /s /d attrib +h %SystemDrive%\Users\Public\Desktop /s /d attrib +h %ALLUSERSPROFILE% /s /d attrib +s +h +r C:\bootmgr /s /d attrib +s +r C:\BOOTSECT.BAK /s /d attrib +s +h +i C:\hiberfil.sys /s /d attrib +s +h +r C:\IO.SYS /s /d attrib +s +h +r C:\MSDOS.SYS /s /d attrib +s +h C:\pagefile.sys /s /d START explorer.exe EXIT

attrib +s +h %USERPROFILE%*.* /s /d = powinno nadać atrybuty wszystkim plikom typu “ntuser” w profilu usera.

Zdaję się że masz jakieś pojęcie, więc w razie czego będziesz umiał wyedytować/dodać odpowiednie foldery.

polo90 · 8 Wrzesień 2013 08:57

,Zdaję się że masz jakis pojęcie, więc w razie czego będziesz umiał wyedytować/dodać odpowiednie foldery.’’

Dzięki za fixy, mam spore pojęcie, bo jestem z branży informatycznej, ale do tej pory nie spotkałem się z tym problemem, a w jakim celu miałbym wyedytować lub dodać odpowiednie foldery? z tym również się nie spotkałem

Lukash1 · 8 Wrzesień 2013 09:00

Chodzi o to że prawdopodobnie nie wszystkie uchwyciłem w fixie - a uwzględniłem te których jestem pewny i które udało mi się zlokalizować (z odpowiednimi atrybutami) w programach+ np masz dwie partycje-druga to D, więc trzeba przejść na drugą partycję i nadać atrybuty folderowi przywracania i śmietnikowi

Przed START explorer.exe :

CD /D D:\

attrib +s +h D:\System Volume Information /s /d

attrib +s +h D:$Recycle.Bin /s /d

itp

polo90 · 8 Wrzesień 2013 10:01

attrib +s +h C:\System Volume Information /s /d /b> - ten folder mam standardowo ukryty

attrib +s +r C:\BOOTSECT.BAK /s /d/B> - ten plik również mam standardowo ukryty

czy ponownie mam nadawać tym plikom i folderom atrybuty ukryte, skoro standardowo są ukryte?

Lukash1 · 8 Wrzesień 2013 10:03

Nie ma takiej potrzeby.

polo90 · 8 Wrzesień 2013 10:05

Tak wynika z Twojego fixu ,fix.bat"

Lukash1 · 8 Wrzesień 2013 10:07

Podałem Ci atrybuty , ale skąd mam wiedzieć które pliki i foldery straciły atrybuty ?

do czego służy parametr /b> ? attrib go nie obsługuje…

polo90 · 8 Wrzesień 2013 10:36

Wykonałem Twoje skrypty, uruchomiłem ponownie komputer, ale bez efektów.

nie ma tam atrybutu ,b>" nie usunąłem tego przy pogrubianiu tekstu

Lukash1 · 8 Wrzesień 2013 11:11

Spróbuj teraz tak wejdź na C i odpal wiersz polecenia i wklep :

CD /D C:\ [enter]

attrib +s +h C:\ProgramData /s /d [enter]

folder ProgramData dostał atrybuty ?

polo90 · 8 Wrzesień 2013 11:15

Niestety nie. Atrybut tylko do odczytu.

Lukash1 · 8 Wrzesień 2013 11:16

wklep :

attrib -r +s +h C:\ProgramData /s /d

polo90 · 8 Wrzesień 2013 11:20

Wklepałem ,attrib +s +h C:\ProgramData /s /d" ale teraz gdy zaznaczam opcję ,Pokaż ukryte pliki i foldery" nie widać folderu ,ProgramData" w ogóle.

Lukash1 · 8 Wrzesień 2013 11:22

+s = systemowy chroniony, +h = ukryty , aby ProgramData był widoczny musisz w opcjach folderów odznaczyć ukrywanie chronionych systemowych.

W tym wypadku (z rozpędu i tylko ProgramData) to moja pomyłka = trzeba zdjąć atrybut s :

attrib -s C:\ProgramData /s /d

Z resztą już dasz radę. Ja w logach oprócz “legalnego inaczej” Offica nic nie widzę…

polo90 · 8 Wrzesień 2013 11:32

Wcześniej nie musiałem odznaczać opcji ukrywanie folderów chronionych, żeby zobaczyć folder ProgramData