Zobrazení lokálního hosta - změny nad vlastníkem PC Vyřešeno

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 20:21

Ahoj,

měla bych velkou prosbu, za pomoci jaro3 jsem v únoru řešila problém „Pravděpodobná infiltrace“ (viewtopic.php?f=47&t=205529), v rámci něhož se mi mj. stále – před restartem, anebo přímým vypnutím PC – zobrazovala hláška „Host Process for Windows Tasks“. Po kontrole a vyčištění PC se jevilo, že je všechno už v pořádku.

Včera jsem si ale náhodou všimla, že složka, kterou jsem si založila, změnila podobu – změna ikony. Změnila jsem v původní a za pár vteřin byla opět změněna. (!) Když jsem šla na disk C, zjistila jsem, že většina složek, jako dokumenty, data programů a další, jsou uzamčené a při pokusu složku otevřít, se mi zobrazuje hláška, že nemám oprávnění (viz Obr. 1).
Když jsem klikla na složku Users, tak se mi zobrazila informace, že je složka sdílena s „Everyone“, což jsem se vážně vyděsila (viz Obr. 2). Ve vlastnostech se mi pak zobrazila adresa: „\\localhost\c$\@GMT-2019.03.18-20.47.50\Us“.

Je možné, že by se na mě někdo „napíchnul“??? Má spojitost s tou hláškou: „Host Process for Windows Tasks“?

Jediné co mě napadá, zda by nemohlo mít spojitost s tehdejším stažením aplikace CCleaner, kterou později v rámci kontroly vyhodnotila Zemana jako malware – viz Výsledný result:

Zemana AntiMalware 2.74.2.150 (instalační verze)

-------------------------------------------------------
Scan Result : Dokončeno
Scan Date : 2019.2.23
Operating System : Windows 7 32-bit
Processor : 4X Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
BIOS Mode : Legacy
CUID : 1241C6867F19B45D81D302
Scan Type : Skenování systému
Duration : 7m 50s
Scanned Objects : 34133
Detected Objects : 1
Excluded Objects : 0
Read Level : SCSI
Auto Upload : Zapnuto
Detect All Extensions : Vypnuto
Scan Documents : Vypnuto
Domain Info : WORKGROUP,0,2

Detected Objects
-------------------------------------------------------

CCleaner.exe
Status : Skenováno
Object : %programfiles%\ccleaner\ccleaner.exe
MD5 : 1F9EB07F1C292E28C089744D254DE3A2
Publisher : Piriform Software Ltd
Size : 14449664
Version : 5.52.0.6967
Detection : Malware:Win32/Quarand!Atir
Cleaning Action : Karanténa
Related Objects :
Soubor - %programfiles%\ccleaner\ccleaner.exe
Odkaz - C:\Users\Public\Desktop\CCleaner.lnk
Proces - 4276 - C:\Program Files\CCleaner\CCleaner.exe
Záznam registru - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\CCleaner Smart Cleaning = "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
Naplánovaná úloha - C:\windows\System32\Tasks\CCleanerSkipUAC


Cleaning Result
-------------------------------------------------------
Cleaned : 1
Reported as safe : 0
Failed : 0
Přílohy
Obr. 1.JPG
Obr. 2.JPG

Reklama
Uživatelský avatar
Microsheep
Level 4.5
Level 4.5
Příspěvky: 1656
Registrován: leden 10
Pohlaví: Muž
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Microsheep » 19 bře 2019 20:53

Klikni na nějakou složku např. ty Dokumenty - pravá myš - vlastnosti zabezpečení a pošli screenshot.
Můžeš mít nějaké domršené oprávnění. Pošli ještě z příkazového řádku - příkaz net share a pošli zase screen.
Lze ti vytvořit složka na C:\? Lze na C:\Programdata\ ?

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod jaro3 » 19 bře 2019 21:31

klikni na nějaký soubor , ne z windows! A vyber vlastnosti , a zkopíruj sem koncovku toho souboru.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 22:05

Domršené oprávnění se mi nezdá - doposavad jsem měla nastavené kompletně jako správce (admin) pod "Žeryk" a mohla jsem kompletně do všech složek, mohla jsem úplně řídit, měnit, číst, zobrazovat atd., ale od včerejška se razantně změnilo. Většinu složek mám znepřístupněnou. Nemůžu ani nahlédnout...

Vkládám screen (viz Obr. 3), kde je i vidět, že přibyl nějaký uživatel CREATOR OWNER, který tam nikdy nebyl... Dále vkládám screen z příkazového řádku (viz Obr. 4) - snad jsem udělala správně...
Jinak složku založit můžu, ale když jí vytvořím, po chvíli se zobrazí její identický zástupce. Pokud se chci podívat např. do složky "dokumenty", automaticky se uzamkne a odmítne mi přístup (viz Obr. 5) - což se mi nikdy nestalo. Na Obr. 5 je vidět, jak se mi většina složek uzamkla... Navíc, na ploše i na disku C se vytvořila ikona Desktop.ini, která se vytvořila téměř ve všech složkách na C disku (viz Obr. 6). Mj. jsem vyzkoušela opět změnit ikonu vytvořené - své - složky, ve které mám uložené soubory. Během chvíle se změní na jinou ikonu a soubory se rozhází...
Přílohy
Obr. 3.JPG
Obr. 4.JPG
Obr. 5.JPG
Obr. 6.JPG

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 22:06

Koncovky vybraných souborů: sys, ini, qmlc, dat... Teď jsem dala na disku C, složka dokumenty, vlastnosti a když jsem dala zabezpečení, kromě Žeryk (to jsem já - vlastník), se zobrazilo sdílení - nějaká IP adresa, která po chvíli zmizela...

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 22:10

Ve složkách, které vznikly jako zástupce složek na disku C, např. dokumenty, mají ve vlastnostech, sdílení, hosta "Everyone"... Různě se mění, mizí a opět se objevuje. Vážně je divné...

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 22:21

Na disku C, ve vlastnostech v rámci zabezpečení se dokonce nově objevilo oprávnění pro uživatele "Authenticated Users", který tam nikdy nebyl. pouze user a admin Žeryk, tedy vlastník. Když dám vlastnosti, navíc naběhne cizí IP adresa, která ale po chvíli zmizí... Tohle určitě není OK.
Přílohy
Obr. 7.JPG

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod jaro3 » 19 bře 2019 22:28

Najeď na složku dokumenty , pravým klik a vyber vlastnosti , nebo nějaký soubor mimo dokumenty , ne však soubory a složky , které jsou součástí windows.

Může se jednat o zakryptování , vyděračský vir ransomware.
Na obrazovce se neobjevuje něco o zaplacení?

https://answers.microsoft.com/cs-cz/win ... 284a5c3ff6
tohle si zkoušela?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 22:50

Proboha.., jaro3, to je přesně ono, to je jako přes kopírák u mě. A co s tím?
Ohledně zaplacení se mi prozatím nic neobjevilo, ale když jsem se teď chtěla podívat na disk C, zobrazil se mi dokonce neznámý disk E. Když jsem ho chtěla otevřít, odepřelo přístup a po pár vteřinách tento disk zmizel...

Do dokumentů se současně ani nedostanu, ale vkládám Obr. 7 a Obr. 8, podle postupu shora:
Přílohy
Obr. 7.JPG
Obr. 8.JPG

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 22:54

Jinak jsem vyzkoušela odebrání práv podle popsaného postupu, ale jakmile nastavím a potvrdím, zobrazí hlášku, že byl odepřen přístup a nastavení zůstává...

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod Hastalda » 19 bře 2019 23:09

Zkusila jsem i přenastavit oprávnění a odepřít přístup uživateli CREATOR OWNER, ale nejde ani zaškrtnout políčka k odepření přístupu. Políčka jsou zcela vysvícené a nejde tak odepření přístupu označit.

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Zobrazení lokálního hosta - změny nad vlastníkem PC

Příspěvekod jaro3 » 19 bře 2019 23:10

Zkus tohle:
Pravým klik na soubor (složku) , vybrat Vlastnosti.
Záložka Zabezpečení—klik na Pokračovat----klik na svůj účet (jméno účtu) , pokud není , tak na Další skupiny a uživatelé----označit svůj účet a klik na Použít---odkliknout zprávu—OK---OK.
Na záložce Zabezpečení klik na Upřesnit----záložka Oprávnění-----klik na Změnit oprávnění----klik na Přidat----vepsat svůj účet (jméno účtu)----OK----v dalším okně dát zatržítka ve sloupci Povolit , kromě úplného řízení---OK----na záložce Oprávnění , která se hned ukáže klik na Použít a potom na OK—Ok—Ok.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 14 hostů