Доизчистване на гадини
| Автор |
|
| insecteaterСря, 22.04.09, 15:43 |
Така, историята е следната: забелязах, че на един от компютрите няма антивирусна долу вдясно до часовника. Влизам - гледам, по принцип има инсталирана (avira). Само дето не тръгва. Преинсталирах я наново с последната версия - пак не зацепва. Викам си - има нещо влязло. Изпекох едно rescue CD на касперски и пуснах него .... сканира, намери няколко гада както и очаквх, изтрих ги всичките до едно каквото намери. След това като пуснах компютъра - проблем, log off-ва ме и не иска да ме пусне в никакъв акаунт, независимо под какъв режим. С инсталацоинния диск на windows от recovery console възстанових един файл (userinit.exe или нещо подобно беше) който след това се сетих, че беше изтрит при сканирането за вируси. Компютъра тръгна... ама антивирусната пак не иска да тръгва. На всичкото отгоре, дръпнах и пробвах Autoruns и Process Explorer - и те не тръгват. Иначе всичко останало си работи нормално - картинки се отаврят, страници в нет-а също, офис мофис пакети и т.н. Реших да пусна hijackthis ... и то не пожела да тръгне (дори и под друг акаунт) .... гледах го, псувах го и промених exe файла от "HijackThis.exe" на "proba.exe" (колкото и тъпо да звучи  ) и взе че тръгна. Ето го въпросното лог-че, ако можете да ударите едно рамо дали виждате нещо съмнително из вътре:
 problem.txt Понеже има разни важни програми инсталирани, включително и цифрови подписи и какви ли не комуникаторски истории, преинсталирането на windows-a е много, ама много последният вариант за решаване на проблема. Компютъра е настолен, не е лаптоп, и си бачкат хората с администраторски акаунти наляво и надясно като царе.
Това, че след преименуване на exe-то и програмата тръгна ... някакви идеи за такива черни листи, къде може да се съдържат? (освен в gpedit.msc - там е чисто) | | | anonymousСря, 22.04.09, 16:19 |
Еххх то цял ден скука ти сега края на деня пускаш тази интересна тема...  набързо само това ми направи впечатление O23 - Service: Volume Shadow Copy VSSEventSystem (VSSEventSystem) - Unknown owner - C:\WINDOWS\system32\wpv961237070981.cpx.exe (file missing) | | | angelicstarСря, 22.04.09, 16:45 | RE: Доизчистване на гадини
” ... някакви идеи за такива черни листи, къде може да се съдържат? (освен в gpedit.msc - там е чисто) „
В контрол панела: Administrative Tools>Local Security Policy>Software Restriction Policies и т.н. | | | insecteaterСря, 22.04.09, 17:08 | RE: RE: Доизчистване на гадини
” В контрол панела: Administrative Tools>Local Security Policy>Software Restriction Policies и т.н. „
Празно, като парламент по време на сесия. Всъщност има там едно No Software restriction policies defined, колкото да не е без хич. Абе, ще видим, все ще изскочи отнейде | | | kookkiСря, 22.04.09, 18:05 |
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe този двата сервиз ми е съмнителен, но по-добре да си ги видиш сам,че не знам какво е инсталирвано от хората иначе и други неща са ми под въпрос от ръна но не съм ги търсил още в гугъл
разгледай тук за хайджака
за процеса ipssvc.exe намерих това ако ти върши някаква работа :
This appears to be a file used by Lenovo in their IBM computers 'enhancement' (spyware). I read recently that the US gov. was investigating the spyware they have included with the operating systems. Lenovo claims this is to allow them to provide better service to users, but it still sends user information and activity info to Lenovo. After battling issues for 1/2 a week on several Lenovo computers, I did a complete disk reformat and installed windows xp OEM. Downloading the drivers was a pain, though. See also: Link
Това Леново ти е някакъва защитена връзка ама ще потърся още Май няма нищо съществено в лога. Поне аз не намерих. Леново сигурно си е инсталирано то тях, иначе да си го видял - то е навсякъде редактиран от kookki на 22.04.09 18:06 редактиран от kookki на 22.04.09 18:15 редактиран от kookki на 22.04.09 18:17 редактиран от kookki на 22.04.09 18:23 | | | kookkiСря, 22.04.09, 18:27 |
Пробва ли някакъв антиспай? При мен голямо влияние на работата на ОС оказва рекламния софт лепнат от мозилата Един цитат на Zlatena :
Win32:Gatina-B спира или блокира някои приложения/процеси/прозорци от следния списък. Тези приложения са програми свързани със сигурността и системни администраторски приложения/прозорци. * Norton
* AVP Monitor
* Sygate Personal Firewall Pro
* BitDefender
* NOD32 Antivirus Program - [My Profile] * NOD32 Control Center
* eTrust Antivirus - Local Scanner
* F-Secure Anti-Virus
* My Computer
*Registry Monitor
* Kaspersky Anti-Virus Monitor
*HijackThis
* Anti-Virus
* BlackICE
* Process Explorer - Sysinternals: www.sysinternals.com
* Registry Monitor - Sysinternals: www.sysinternals.com
* Norton AntiVirus Porfessional
* Windows Security Center
* Windows Firewall
* Control Panel
* Стартиране на "Turn Off Computer
* Log off Windows
* Command Prompt
* Kaspersky Anti-Virus personal
* AVG E-Mail Server Edition - Advanced Interface
* AVG E-mail Server Edition - Basic Interface
* AVG E-mail Server Edition - Control Centerr
* Pop3trap
* Ad-Aware SE Personal
* Spybot - Search & Destroy
* Sophos Anti-Virus - SWEEP
* Anti-Trojan - Infection Monitor
* Norton AntiVirus
* Registry Editor
* Windows Task Manager
* System Configuration Utility
* Services
* AntiViral Toolkit Pro
* Kaspersky Anti-Virus Scanner
* Ad-aware 6.0 Personal
* System Restore
* WinPatrol редактиран от kookki на 22.04.09 18:41 | | | океанСря, 22.04.09, 18:58 |
Един съвет:
Направи един Backup на целия дял и тогава прави каквото ще правиш.
Понякога възстановяване на системата на по раншна дата върши работа или една поправка на уйндоус след изчистване на гадините. | | | pdtomovСря, 22.04.09, 19:22 |
В лог-файла от hijackthis, единственият съмнителен процес е този посочен от armenxxx1, но пък липсва файла!
Затова, почти сигурно е rootkit. Те имат тази способност да се скриват и да блокират антивирусните и hijackthis. | | | kookkiСря, 22.04.09, 22:27 | RE: Доизчистване на гадини
” В лог-файла от hijackthis, единственият съмнителен процес е този посочен от armenxxx1, но пък липсва файла! Затова, почти сигурно е rootkit. Те имат тази способност да се скриват и да блокират антивирусните и hijackthis. „ Прав си.
Не го и погледнах одеве, заради липсващия файл - реших че е нещо премахнато.
За това няма информация в мрежата,поне не и стези цифри отпред,но cpx.exe си го дават като 100% зараза | | | zlatenaСря, 22.04.09, 23:03 |
” Изпекох едно rescue CD на касперски и пуснах него .... сканира, намери няколко гада както и очаквх, изтрих ги всичките до едно каквото намери. „
По добре би било да ги поставиш под карантина,ако може. Така би могъл да си ги върнеш пак,ако потрябва и да търсиш други начини за подмяна/отстраняване. ” След това като пуснах компютъра - проблем, log off-ва ме и не иска да ме пусне в никакъв акаунт, независимо под какъв режим. „
Това ме навежда на мисълта,че има изтрити важни системни файлове,затова Win неможе да функционира нормално...дано да греша. ” промених exe файла от "HijackThis.exe" на "proba.exe" (колкото и тъпо да звучи ) и взе че тръгна. „
Това според мен е 100% гаранция,че има нещо зловредно...една от препоръките е имато на HijackThis да се променя при такива случаи. ” Понеже има разни важни програми инсталирани, включително и цифрови подписи и какви ли не комуникаторски истории „
Предполагам въпросния ред от лога на HijackThis е свързан с това.Така ли е? O4 - Global Startup: smart security registration status.lnk = C:\Program Files\charismathics\smart security interface 4.7\CSPregtool.exeC:\Documents and Settings\All Users\Start Menu\Programs\Startup http://www.runscanner.net/fileinfo/CSPregtool.exe.htmlCryptographic Service Provider=CSP...или нещо подобно... Това нещо би трябвало да има шорткът в \Startup папката и да стартира винаги с зареждане на системата. Има ли такова нещо инсталирано на компютъра? Иначе друго,което мога да ти предложа:
Сканирай с някой anti rootkit - то е ясно...
Пробвай също под safe mode да изтриеш другия админски акаунт и тогава да създадеш нов админ.Виж първо обаче дали изобщо ще можеш да създадеш такъв .
Сканирай с някоя друга антивируска - пак от диск.
Сканирай с някоя Анти-Малваре,ако може пак от диск. P.S:Може да пробваш и това,но вече отиваме в пета глуха.
http://www.michaelstevenstech.com/XPrepairinstall.htm редактиран от zlatena на 23.04.09 00:01 | |  Коментар
|
Отговор
За печат