как остановить запуск драйвера - он самозащитен и руткит скрыт
2334
Aristos
У меня есть эта серьезная проблема
Впервые не могу остановить запуск программы.
Что-то находится на одном ноутбуке, который работает как устаревший драйвер системы, самозащищен и спрятан в качестве руткита .
Все, что я пытаюсь удалить, терпит неудачу.
Когда программа или антиинструмент пытается удалить скрытый параметр реестра, чтобы остановить его, я получаю эту ошибку: « устройство, подключенное к системе, не работает »
Таким образом, любая идея, которая может помочь мне остановить это, или даже удалить это при запуске?
Единственным ограничением является то, что жесткий диск установлен на ноутбуке, и я не могу удалить его и прикрепить к другому месту.
Эта программа не позволяет мне трогать реестр, не позволяет мне трогать файл, не позволяет мне трогать файл, При загрузке не удается удалить его, rootrepeal не удается удалить его, rootkiet раскрывают из sysinternals не раскрывают Это ! все терпит неудачу.
Есть ли у вас какой-либо опыт по этому поводу, или у вас есть какие-либо предложения, как остановить запуск этого драйвера?
Обновление Я запустил командный режим Windows, попытался выявить руткит и остановить запуск этой службы. К сожалению, этот @ # @ # @ # $ работает как устаревший системный драйвер, а Windows XP запускает его даже в командном режиме.
Затем я пытаюсь удалить это устаревшее примечание, но опять же, думаю, найти его и поместить его снова.
Затем я пытаюсь не дать разрешение на использование устаревшей записки для использования системой - (и при перезагрузке с командным режимом это не запускается), но кое-как, как пропустить разрешения безопасности и вернуть обратно все, что я удаляю.
Эта # @ # $ @ # @ программа запускается с помощью services.exe, который хранит все службы, и каждое полученное мной сообщение приходит от служб. Его монитор для подключения к интернету постоянно 5 секунд пытается пропинговать большой список общих URL (например, amazon, msn и т. Д.), И, если он видит, что это связано, начинает отправлять электронные письма ....
На данный момент я просто установил фильтр / брандмауэр на порт электронной почты и заблокировал 80 порт на сервисе, и это работает - это @ # @ # @ не может обойти брандмауэр в этой версии.
have you tried using *devcon* to locate and disable the driver? what windows version are you using?
quack quixote 14 лет назад
0
@ Quack Я использую Windows XP SP2. Нет, я не знаю, devcon, пожалуйста, дайте мне больше информации?
Aristos 14 лет назад
0
re: devcon - см. ответы [здесь] (http://superuser.com/questions/127494/change-usb-vendor-id-product-id/129047#129047) и [здесь] (http: // superuser. com / questions / 125032 / how-can-i-i-вручную-load-unload-a-driver-in-vista / 125035 # 125035), где приведены полезные примеры и примеры использования
quack quixote 14 лет назад
0
3 ответа на вопрос
3
fretje
Это та же система, о которой вы говорите в этом вопросе ?
Как я уже говорил в Meta, почему бы просто не вставить CD для восстановления системы (который обычно поставляется вместе с системой) и позволить ему выполнять свою работу? Или просто вставьте установочный компакт-диск Windows, отформатируйте системный диск и переустановите его с нуля?
Действительно, переустановка компьютера, зараженного руткитами, обычно занимает меньше времени, чем попытка его очистки. И я говорю из опыта здесь ;-)
@fretje yes is the same problem, Actually is a x41 tablet, without cd, ok I need to find a way to boot from cd. Also this is Xp - this system restore work on xp too ? because I think I see vista there. At the moment I have think a trick and work on it, if its work I will post it here... Reinstall it from scratch is not an option for me - if I can not remove it then what the heck am I do here :)...
Aristos 14 лет назад
0
@fretje трюк под названием ECR Commander. Я удаляю его с помощью этого автономного реестра и другого редактора.
Aristos 14 лет назад
0
0
Aristos
Вот решение и как мне убрать эту неприятную мысль.
Это занимает у меня 1 час, я получаю мой старый winternals ERD Commander, который я сохранил со своего компьютера .
Поскольку это небольшой планшетный ПК без DVD, я помещаю компакт-диск, который у меня есть, используя peToUsb, в USB-память и загружаю компьютер из этой USB-памяти .
С того момента, как я зарегистрировался на зараженном компьютере в автономном режиме, этот вирус больше не может быть активным и не может защитить себя.
Поэтому я захожу и удаляю в автономном реестре все ссылки на этот вирус, а также удаляю найденные файлы, которые загружаются при запуске.
Очистите все временные каталоги, проверьте, что запускается при запуске, и это все. Я удаляю это.
Поэтому я перезагружаюсь, и вирус больше не существует.
Ключом здесь был старый ERD Commander, редактор автономного реестра.
В заключение - я никогда не переустанавливал полную систему по такой причине, как эта, и это то, к чему я стремлюсь - даже если у вас будет больше времени, вы узнаете много мыслей. И самое главное - вы узнаете, как устранить мысли, которые влияют на вас, поэтому в следующий раз вы сделаете это еще быстрее.
Воображение, если я переустанавливаю свою полную систему, и после установки электронное письмо снова влияет на меня, что мне делать, переустанавливать снова и снова? Нет, я так не думаю.
Как я уверен, что это полностью удалено.
Ответ на это полный учебник. Я выделю здесь некоторые моменты для этой конкретной проблемы
Этот вирус, который я не знаю, как его зовут, это захват служб, запуск в качестве служб и отправка электронных писем. Просто контролируя tcpview, это останавливается. Так что больше не бегать.
Как я не знаю, что больше не существует. С помощью автозапуска я нахожу все точки, в которых запускалась и инициализировалась эта программа, в том числе точку обслуживания, и я просто помещал их также на диск и удалял их. Дело было во временном каталоге только для этого случая.
На самом деле я не на 100% полностью удалил его, но если он снова загорится, я снова найду его. До сих пор в подобных случаях у меня никогда не было этой проблемы - обычно из одной точки я нахожу все существующие точки.
Что такое ERD Commander
ERD commander - это инструмент от того же человека, который исправляет процессный проводник и автозапуск, представляет собой загрузочный диск, на котором запускаются окна и захватывает вашу систему Windows, так что вы можете редактировать мысли реестра, запускать другие программы, если система отключена, удалять файлы и т. Д.
Microsoft купила этот инструмент и собирается включить его в новые версии Windows, возможно, под названием Dart (Набор инструментов диагностики и восстановления), я не знаю, потому что я все еще на xp. Если кто-то знает, что MS сделал этот инструмент, пожалуйста, сообщите мне об этом.
Есть слишком много учебников по ERD, и если вы не знаете, то стоит посмотреть.
ERD Commander запускается с загрузочного компакт-диска, который можно создать из хорошо работающей машины. ERD Commander больше не существует для продажи, у меня он есть уже несколько лет, потому что я был поклонником sysinternals и winternals, но это точка для начала - поиск в интернете и расскажите мне, что случилось с ним. На самом деле я задам здесь вопрос для этого.
После всего этого и после того, как я удаляю его и больше не запускаю, поэтому он не защищен, NOD32 говорит, что xpgplw.sys -> rootkit.agent.nrb trojan
xpgplw.sys Я обнаружил, что этот файл имеет 4 случайных символа, xp ????. sys, поэтому я нахожу информацию в Интернете с похожими проблемами, но меняю название этой мысли.
Если вы спросите меня, почему ни одно средство для удаления руткитов не смогло его удалить, я отвечу, потому что он был загружен в качестве критического драйвера для Windows, а затем сам автоматически защищался.
Тем не менее ... как вы уверены, что он полностью удален? Есть больше мест, чтобы спрятаться, чем временные каталоги.
fretje 14 лет назад
0
Также: какой «автономный редактор реестра» вы используете. Пару ссылок было бы неплохо. Также для этого "ECR Commander". Я не думаю, что этот ответ будет полезен для будущих посетителей, как сейчас. Я думаю, что даже вопрос не совсем полезен. Каким вирусом вы были специально заражены для начинающих?
fretje 14 лет назад
0
@fretje Командующий ERD, извините за мой ввод, я обновил ответ, пожалуйста, скажите мне, если это лучше или нужно больше информации.
Aristos 14 лет назад
0
Теперь лучше, да.
fretje 14 лет назад
0
0
Tom Wijsman
Последняя версия Autoruns от Sysinternals может использоваться для отключения записей (даже драйверов!) В автономной системе и станет хорошим альтернативным решением!