Vista při startu hlásí „Patchguard disabled“. Co to je?* Vyřešeno

[peacoq]

Neuhlida, neuhlida...
Pouzij ''jejich'' doporuceny nastroj/test Rootkit Revealer: http://technet.microsoft.com/cs-cz/sysi ... us%29.aspx

/ - stahni > jeste dohledam ceskej navod

[Reklama]

[peacoq]

http://www.slunecnice.cz/sw/rootkitrevealer/ > Rootkit Revealer nejak jsem navod nenasel, ale o nic nejde;
- proste kliknes na Scan, a jak test dojede, klknes na File - Save a ulozis s textovy soubr/log vysledku scanu, a hodis to sem. Test RR zobrazi skryte aplikace, coz je bezne, ale mezi nimi pripadne rootkit - nejak nevidim cesky navod, kde by se o tom hovorilo podrobneji.
Podle nalezu schovanych aplikaci se na odstraneni RootKitu (je-li v PC) asi pouzije F-Secure, ...ale po testu RR sam nic vice nedelej.
A log Hi Jack This uz k posouzeni vlozeny mas (nic moc tam neni, ale asi prijde na radu Combo Fix a to chce uz chytrou hlavu).

/ - super, uz ti log resi jaro3 > to jsi uz v bezpeci. Kdyz bude potreba, napise ti opravdy-script.
Napis mu, proc jsi si log vlozil, z jakeho duvodu, ze - Vista vykazuje problem rizika skrs Patchguard, protoze na netu je zminka, ze se stal obeti hackeru, zvlast u 64-bitove verze.

[Librus]

Nechce to semnou kamarádit :) http://img514.imageshack.us/img514/7271/dddbmk.jpg

[peacoq]

OK. Nedelej uz dve veci soucasne (instalovat, mazat, do toho Combo Fix, ...to nelze) > venuj se tematu, kde ti log resi jaro3 > to jsi uz v bezpeci. Kdyz bude potreba, napise ti opravdy-script.

[Librus]

peacog můžu Tě poprosit o pomoc ? Jsem tam kde jsem byl :)

[peacoq]

jaro3 ti nic nenasel a kompl mas v dobrem stavu ? > to ale znamena, ze mas byt rad, on by rootkit nasel, ale muzes teda zkusit udelat rootkit-testy
(ale je velmi malo pravdepodobne, ze test neco najde a tedy se spise bude muset hledat reseni, proc se system zda byt nechraneny)

[MiliNess]

Nejdříve napiš do příkazového řádku bcdedit /debug off , odentruj a bcdedit /bootdebug off, odentruj. Restartuj PC.
Pokud Patchguard bude stále vypnutý, napiš do příkazového řádku bcdedit >> c:\bcdedit.txt a bcdedit /dbgsettings >> c:\bcdeditdebug.txt
Dej sem obsah souboru bcdedit.txt a bcdeditdebug.txt.

Patchguard lze deaktivovat povolením ladění jádra (to uvidíme ve výpisu bcdeditu)
nebo jestli se jedná o násilné vypnutí, bude pozměněn kód ntoskrnl.exe (obraz jádra), kde se vyřadí Patchguard a winload.exe(zavaděč) aby neprováděl kontolní přepočet ntoskrnl.exe.
Pak by bylo nutno nahradit je příslušnými kopiemi z instalačního DVD nebo zkusit obnovení obrazů ze zálohy (SFC /SCANNOW)
Vzpomínáš si, jestli jsi něco neinstaloval těsně před tím, než se to stalo?

[Librus]

Promiňte, píšu tyhle příkazy bcdedit >> c:\bcdedit.txt a bcdedit /dbgsettings >> c:\bcdeditdebug.txt přesně jak jste mi napsal a v příkazovém řádku nereagují, zřejmě to asi píšu špatně, pro jistotu vám to ukážu :). Mimochodem ty první dva příkazy fungovaly, ale patchguard stále disabled.

http://img715.imageshack.us/img715/4518/cmdu.jpg

[MiliNess]

To je proto, že tím ">>" je přesměrován výstup do souboru bcdedit.txt a bcdeditdebug.txt, které se vytvoří v kořenovém adresáři disku c:
To abys nemusel opisovat text z obrazovky a rovnou ho mohl zkopírovat z těch souborů, kam se uloží to, co by se ti normálně objevilo na obrazovce.

[Librus]

Spr vce spouçtŘnˇ syst‚mu Windows
--------------------
identifik tor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {default}
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
displayorder {current}
{default}
toolsdisplayorder {memdiag}
timeout 15

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {current}
device partition=C:
path \Windows\system32\winload.exe
description Microsoft Windows Vista
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {572bcd56-ffa7-11d9-aae0-0007e994107d}
recoveryenabled Yes
bootdebug No
osdevice partition=C:
systemroot \Windows
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
nx OptIn
debug No

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {default}
device partition=C:
path \Windows\system32\osload.exe
description PatchGuard Disabled
recoveryenabled No
nointegritychecks Yes
testsigning No
osdevice partition=C:
systemroot \Windows
kernel ntkrnlmp.exe
nx OptIn
debug No

Spr vce spouçtŘnˇ syst‚mu Windows
--------------------
identifik tor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {default}
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
displayorder {current}
{default}
toolsdisplayorder {memdiag}
timeout 15

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {current}
device partition=C:
path \Windows\system32\winload.exe
description Microsoft Windows Vista
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {572bcd56-ffa7-11d9-aae0-0007e994107d}
recoveryenabled Yes
bootdebug No
osdevice partition=C:
systemroot \Windows
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
nx OptIn
debug No

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {default}
device partition=C:
path \Windows\system32\osload.exe
description PatchGuard Disabled
recoveryenabled No
nointegritychecks Yes
testsigning No
osdevice partition=C:
systemroot \Windows
kernel ntkrnlmp.exe
nx OptIn
debug No

Spr vce spouçtŘnˇ syst‚mu Windows
--------------------
identifik tor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {default}
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
displayorder {current}
{default}
toolsdisplayorder {memdiag}
timeout 15

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {current}
device partition=C:
path \Windows\system32\winload.exe
description Microsoft Windows Vista
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {572bcd56-ffa7-11d9-aae0-0007e994107d}
recoveryenabled Yes
bootdebug No
osdevice partition=C:
systemroot \Windows
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
nx OptIn
debug No

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {default}
device partition=C:
path \Windows\system32\osload.exe
description PatchGuard Disabled
recoveryenabled No
nointegritychecks Yes
testsigning No
osdevice partition=C:
systemroot \Windows
kernel ntkrnlmp.exe
nx OptIn
debug No

Spr vce spouçtŘnˇ syst‚mu Windows
--------------------
identifik tor {bootmgr}
device partition=C:
description Windows Boot Manager
locale cs-CZ
inherit {globalsettings}
default {default}
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
displayorder {current}
{default}
toolsdisplayorder {memdiag}
timeout 15

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {current}
device partition=C:
path \Windows\system32\winload.exe
description Microsoft Windows Vista
locale cs-CZ
inherit {bootloadersettings}
recoverysequence {572bcd56-ffa7-11d9-aae0-0007e994107d}
recoveryenabled Yes
bootdebug No
osdevice partition=C:
systemroot \Windows
resumeobject {4bbe7957-0c6b-11dd-ab9d-81c60debf51c}
nx OptIn
debug No

Zav dŘcˇ program pro spouçtŘnˇ syst‚mu Windows
-------------------
identifik tor {default}
device partition=C:
path \Windows\system32\osload.exe
description PatchGuard Disabled
recoveryenabled No
nointegritychecks Yes
testsigning No
osdevice partition=C:
systemroot \Windows
kernel ntkrnlmp.exe
nx OptIn
debug No

[Librus]

a u toho druhého mi to píše :


debugtype Serial
debugport 1
baudrate 115200
Byl zad n nezn mě pýˇkaz.
Pomoc k pýˇkazov‚mu ý dku zˇsk te pýˇkazem bcdedit /?.
Byl zad n nezn mě pýˇkaz.
Pomoc k pýˇkazov‚mu ý dku zˇsk te pýˇkazem bcdedit /?.
debugtype Serial
debugport 1
baudrate 115200

[MiliNess]

Zkuste otestovat soubor Windows\system32\osload.exe na virustotalu.
Stáhněte si tu bellavistu http://www.zezula.net/cz/fstools/bellavista.html, na záložce BCD Configuration vy měly být dvě položky:
PatchGuard Disabled a Microsoft Windows Vista. Tu PatchGuard Disabled odstraňte pomocí Delete configuration.