Ich habe dieses ernsthafte Problem
Zum ersten Mal kann ich ein Programm nicht mehr stoppen.
Auf einem Laptop-Computer befindet sich etwas, das als System-Legacy-Treiber ausgeführt und als Rootkit selbstgeschützt und im Betrieb verborgen wird .
Alles, was ich versuche zu entfernen, schlägt fehl.
Wenn ein Programm oder ein Anti-Toolkit versucht, die ausgeblendete Registrierungseinstellung zu entfernen, um das Programm anzuhalten, wird der folgende Fehler angezeigt : " Ein an das System angeschlossenes Gerät funktioniert nicht. "
Gibt es also eine Idee, die mir helfen kann, die Ausführung zu stoppen oder sie beim Start sogar zu löschen?
Meine einzige Einschränkung ist, dass sich die Festplatte auf einem Laptop befindet und ich sie nicht entfernen und an einer anderen Stelle anbringen kann.
Dieses Programm lässt mich nicht die Registry berühren, lässt mich nicht die Datei berühren, lässt mich nicht die Datei berühren, Das Verschieben beim Booten kann es nicht löschen, das Rootrepeal kann es nicht löschen, das Rootkiet enthüllt von Sysinternalen enthüllt es nicht es! alles scheitert.
Haben Sie Erfahrungen damit oder haben Sie Vorschläge, wie Sie diesen Treiber stoppen können?
Update
Ich habe den Windows-Befehlsmodus ausgeführt , versuche, das Rootkit anzuzeigen und stoppe die Ausführung dieses Dienstes. Leider wird dieser @ # @ # @ # $ als System-Legacy-Treiber ausgeführt, und Windows XP führt ihn sogar im Befehlsmodus aus.
Dann versuche ich , diese alte Notiz zu löschen , aber wieder denke ich, finde sie und platziere sie wieder.
Dann versuche ich, der Legacy-Notiz keine Erlaubnis zu geben, die vom System verwendet werden soll - (und beim Neustart im Befehlsmodus wird dies nicht ausgeführt), aber einige versuchen, die Sicherheitsberechtigungen zu umgehen und alles, was ich entferne, wieder zurückzusetzen.
Dieses # @ # $ @ # @ Programm wird mit der Datei services.exe ausgeführt , die alle Dienste enthält und alle Nachrichten, die ich erhalte, von Diensten stammen. Sein Monitor für die Internetverbindung versucht alle 5 Sekunden, eine große Liste von allgemeinen URLs (wie Amazon, MSN usw.) zu pingen, und wenn er sieht, dass eine Verbindung besteht, beginnt er, E-Mails zu senden.
Im Moment habe ich nur Filter / Firewall auf E-Mail-Port gesetzt und den 80er-Port auf Dienst gesperrt und das funktioniert - das @ # @ # @ denke kann die Firewall in dieser Version nicht umgehen.
quelle
Antworten:
Ist das dasselbe System, von dem Sie in dieser Frage sprechen ?
Wie ich auch auf Meta sagte , warum nicht einfach die Systemwiederherstellungs-CD einlegen (die normalerweise mit dem System geliefert wird) und es seine Arbeit machen lassen? Oder legen Sie einfach eine Windows-Installations-CD ein, formatieren Sie das Systemlaufwerk und installieren Sie es von Grund auf neu?
Die Neuinstallation eines mit Rootkit infizierten PCs dauert in der Regel kürzer als der Versuch, ihn zu bereinigen. Und ich spreche hier aus Erfahrung ;-)
quelle
Die neueste Version von Autoruns von Sysinternals kann zum Deaktivieren von Einträgen (sogar von Treibern!) Auf einem Offline-System verwendet werden und wäre eine gute alternative Lösung!
quelle
Hier ist die Lösung und wie ich diese bösen Gedanken entferne.
Ich brauche 1 Stunde, um meinen alten ERD Commander zu bekommen, den ich von meinem PC gespeichert habe .
Da dies ein kleiner Tablet-PC ohne DVD ist, lege ich die mit peToUsb gelieferte CD in einen USB-Speicher und starte den PC von diesem USB-Speicher .
Ab dem Moment, in dem ich den regedit des infizierten PCs offline habe, kann dieser Virus nicht mehr aktiv sein und sich nicht mehr selbst schützen.
Also lösche ich in der Offline-Registrierung alle Verweise auf diesen Virus und lösche auch die Dateien, die ich beim Start gefunden habe.
Löschen Sie alle temporären Verzeichnisse, überprüfen Sie, was beim Start automatisch gestartet wird, und das ist alles. Ich entferne es.
Also starte ich neu und der Virus existiert nicht mehr.
Der Schlüssel hier war der alte ERD Commander, ein Offline-Registrierungseditor.
Zum Schluss: Ich habe aus diesem Grund noch nie ein vollständiges System neu installiert, und das ist mein Ziel - auch wenn Sie mehr Zeit haben, lernen Sie viele Überlegungen. Und das Wichtigste: Sie lernen, wie Sie das Denken, das Sie betrifft, entfernen, damit Sie es beim nächsten Mal noch schneller tun.
Was kann ich tun, wenn ich mein gesamtes System neu installiert habe und nach der Installation erneut eine E - Mail erhalten habe? Nein, das glaube ich nicht.
Wie ich sicher bin ist das total gelöscht.
Die Antwort darauf ist ein vollständiges Tutorial. Ich werde hier einige Punkte für dieses spezielle Problem hervorheben
Dieser Virus, den ich seinen Namen nicht kenne, ist Grab Services, Run as Services und E-Mail-Versand. Nur durch die Überwachung der tcpview wird dies gestoppt. Also läuft nicht mehr.
Wie ich nicht weiß, gibt es das nicht mehr. Unter Verwendung der Autoruns finde ich alle Punkte, die dieses Programm ausgeführt und initialisiert hat , einschließlich des Servicepoints, und habe sie einfach auch auf der Festplatte gefunden und gelöscht. Der Punkt befand sich nur für diesen Fall in einem temporären Verzeichnis.
Eigentlich bin ich nicht zu 100% der Meinung, dass ich es komplett entferne, aber wenn es wieder brennt, finde ich es wieder. Bis jetzt habe ich in ähnlichen Fällen nie dieses Problem - wenn ich normalerweise von einem Punkt ausgehe, finde ich alle Punkte, die existieren.
Was ist ERD Commander?
ERD Commander ist ein Tool von der gleichen Person, die den Prozess-Explorer repariert und Autorun ausführt. Es ist eine Bootdiskette, die Windows ausführt und Ihr Windows-System abruft, damit Sie Registry-Überlegungen bearbeiten, andere Programme ausführen können, wenn das System offline ist, Dateien löschen usw.
Microsoft hat dieses Tool gekauft und wird es auf neuen Windows-Versionen einbinden, vielleicht unter dem Namen Dart (Diagnose- und Wiederherstellungs-Toolset). Ich weiß es nicht, weil ich immer noch auf XP bin. Wenn jemand weiß, was ich mit diesem Tool gemacht habe, sagen Sie es mir bitte.
http://www.microsoft.com/systemcenter/winternals.mspx
http://en.wikipedia.org/wiki/Winternals
http://www.microsoft.com/windows/enterprise/products/mdop/dart.aspx
Es gibt zu viele Tutorials zu ERD, und wenn Sie es nicht kennen, sollten Sie es sich ansehen.
ERD Commander wird von einer Boot-CD ausgeführt, die mit einer funktionierenden Maschine erstellt werden kann. ERD Commander gibt es nicht mehr zum Verkauf, ich habe es schon einige Jahre, weil ich ein Fan von Sysinternals und Winternals war, aber dies ist ein Punkt, um im Internet zu suchen und mir zu sagen, was damit passiert ist. Eigentlich werde ich hier eine Frage dazu stellen.
Nach all dem und nachdem ich es entfernt und nicht mehr ausgeführt habe, so dass es nicht geschützt ist, sagt NOD32, dass xpgplw.sys -> rootkit.agent.nrb trojan
xpgplw.sys Ich habe festgestellt, dass diese Datei 4 zufällige Zeichen hat, xp ????. sys, daher finde ich Informationen im Internet mit ähnlichen Problemen, ändere aber den Namen dieser think.
Wenn Sie mich fragen, warum kein Rootkit-Entferner in der Lage war, es zu entfernen, antworte ich, weil es als kritischer Treiber für die Fenster geladen wurde und sich dann selbst automatisch schützen ließ.
quelle