Podejrzenie infekcji w plikach i folderach chronionych


(Lukaszszymczyk) #1

Witam

Mam problem z ukryciem folderów chronionych w systemie Windows 7. Co zrobić, żeby ukryć pliki i foldery chronione jak np. ProgramData, który standardowo jest ukryty? Ustawienie folderów w systemie mam jak na obrazku:

4be1c05c525006eam.jpg


(Bogdan_G) #2

Jak tak masz zaznaczone w opcjach folderów, a widzisz taki folder, który powinien być ukryty, to klikaj na niego prawym przyciskiem myszy, wybierz Właściwości, potem zaznacz - Ukryty i daj Zastosuj.


(Lukaszszymczyk) #3

Problem w tym, że są widoczne wszystkie foldery chronione w systemie przy takich ustawieniach folderów jak na obrazku, mógłbym pozmieniać atrybuty folderów na ukryte, ale nie wiem dokładnie które foldery chronione powinny być ukryte?


(Łukash) #4

Czy w systemie była/jest jakaś infekcja lub jej podejrzenie ?

Wykonaj logi OTL, postępuj dokładnie według instrukcji podanej tu : analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html


(Lukaszszymczyk) #5

Zainstalowałem program Windows Repair (All-in-One) Portable ze strony http://www.bleepingcomputer.com/downloa ... ws+repair/ aby pozbyć się czarnego ekranu przed ekranem ,,Zapraszamy!" przed startem systemu. Program wykonał swoje zadanie prawidłowo, ale później zauważyłem, że foldery standardowo ukryte są odkryte. Przesyłam logi z OTL:

OTL:

http://www.wklej.org/id/1125031/?hl=

Extras:

http://www.wklej.org/id/1125033/?hl=


(system) #6

To narzędzie m.in. sprawdza atrybuty każdego pliku, i jeśli jest ukryty a nie jest plikiem systemowym, to folder z tym plikiem zostaje odkryty! W ten sposób użytkownik dowiaduje się, które pliki zostały "dodane" do systemu przez infekcje. Normalnie, zdrowe ukryte pliki systemowe, takie jak desktop.ini itp. nadal pozostają ukryte. Wszystko to wskazuje, że masz system (pliki) zainfekowany wewnątrz folderu Program Data. Radzę przenieść temat i logi do działu Bezpieczeństwo.


(Łukash) #7

Może przydadzą się te fixy:

1.Utwórz punkt przywracania systemu.

2.Wkleić do nowego tekstowego Zapisać jako fix.reg > scalić z rejesterm

3.Wkleić do nowego tekstowego Zapisać jako fix.bat > uruchomić dwuklikiem

attrib +s +h %USERPROFILE%*.* /s /d = powinno nadać atrybuty wszystkim plikom typu "ntuser" w profilu usera.

Zdaję się że masz jakieś pojęcie, więc w razie czego będziesz umiał wyedytować/dodać odpowiednie foldery.


(Lukaszszymczyk) #8

,,Zdaję się że masz jakis pojęcie, więc w razie czego będziesz umiał wyedytować/dodać odpowiednie foldery.''

Dzięki za fixy, mam spore pojęcie, bo jestem z branży informatycznej, ale do tej pory nie spotkałem się z tym problemem, a w jakim celu miałbym wyedytować lub dodać odpowiednie foldery? z tym również się nie spotkałem


(Łukash) #9

Chodzi o to że prawdopodobnie nie wszystkie uchwyciłem w fixie - a uwzględniłem te których jestem pewny i które udało mi się zlokalizować (z odpowiednimi atrybutami) w programach+ np masz dwie partycje-druga to D, więc trzeba przejść na drugą partycję i nadać atrybuty folderowi przywracania i śmietnikowi

Przed START explorer.exe :

CD /D D:\

attrib +s +h D:\System Volume Information /s /d

attrib +s +h D:\$Recycle.Bin /s /d

itp


(Lukaszszymczyk) #10

attrib +s +h C:\System Volume Information /s /d /b> - ten folder mam standardowo ukryty

attrib +s +r C:\BOOTSECT.BAK /s /d/B> - ten plik również mam standardowo ukryty

czy ponownie mam nadawać tym plikom i folderom atrybuty ukryte, skoro standardowo są ukryte?


(Łukash) #11

Nie ma takiej potrzeby.


(Lukaszszymczyk) #12

Tak wynika z Twojego fixu ,,fix.bat"


(Łukash) #13

Podałem Ci atrybuty , ale skąd mam wiedzieć które pliki i foldery straciły atrybuty ?

:expressionless:

do czego służy parametr /b> ? attrib go nie obsługuje...


(Lukaszszymczyk) #14

Wykonałem Twoje skrypty, uruchomiłem ponownie komputer, ale bez efektów.

nie ma tam atrybutu ,,b>" nie usunąłem tego przy pogrubianiu tekstu


(Łukash) #15

Spróbuj teraz tak wejdź na C i odpal wiersz polecenia i wklep :

CD /D C:\ [enter]

attrib +s +h C:\ProgramData /s /d [enter]

folder ProgramData dostał atrybuty ?


(Lukaszszymczyk) #16

Niestety nie. Atrybut tylko do odczytu.


(Łukash) #17

wklep :

attrib -r +s +h C:\ProgramData /s /d


(Lukaszszymczyk) #18

Wklepałem ,,attrib +s +h C:\ProgramData /s /d" ale teraz gdy zaznaczam opcję ,,Pokaż ukryte pliki i foldery" nie widać folderu ,,ProgramData" w ogóle.


(Łukash) #19

+s = systemowy chroniony, +h = ukryty , aby ProgramData był widoczny musisz w opcjach folderów odznaczyć ukrywanie chronionych systemowych.

W tym wypadku (z rozpędu i tylko ProgramData) to moja pomyłka = trzeba zdjąć atrybut s :

attrib -s C:\ProgramData /s /d

Z resztą już dasz radę. Ja w logach oprócz "legalnego inaczej" Offica nic nie widzę...


(Lukaszszymczyk) #20

Wcześniej nie musiałem odznaczać opcji ukrywanie folderów chronionych, żeby zobaczyć folder ProgramData