So verhindern Sie, dass ein Treiber ausgeführt wird - er ist selbst geschützt und das Rootkit versteckt
2406
Aristos
Ich habe dieses seröse Problem
Zum ersten Mal kann ich ein Programm nicht vom Laufen abhalten.
Etwas befindet sich auf einem Laptop-Computer, der als System-Legacy-Treiber ausgeführt wird und selbstgeschützt ist und im Dienst als Rootkit verborgen ist .
Alles, was ich zu entfernen versuche, schlägt fehl.
Wenn ein Programm oder ein Anti-Toolkit versucht, die verborgene Registrierungseinstellung zu entfernen, um den Vorgang zu beenden, wird die folgende Fehlermeldung angezeigt : " Ein an das System angeschlossenes Gerät funktioniert nicht "
Also eine Idee, die mir helfen kann, das Laufen zu stoppen oder sogar beim Start zu löschen?
Meine einzige Einschränkung ist, dass sich die Festplatte auf einem Laptop befindet und ich sie nicht entfernen und an einem anderen Ort ablegen kann.
Dieses Programm lässt mich nicht, berühren Sie die Registrierung, lassen Sie mich nicht die Datei berühren, lassen Sie mich nicht die Datei berühren. Die Bewegung beim Booten kann nicht gelöscht werden. Das Rootrepeal kann nicht gelöscht werden es alles versagt
Wie haben Sie diesbezüglich Erfahrung oder haben Sie einen Vorschlag, wie Sie diesen Treiber anhalten können?
Update Ich habe den Windows-Befehlsmodus ausgeführt, versuche, das Rootkit aufzudecken und die Ausführung dieses Dienstes zu stoppen. Unglücklicherweise wird dieser @ # @ # @ # $ - Think-Treiber als System-Legacy-Treiber ausgeführt und Windows XP führt ihn sogar im Befehlsmodus aus.
Dann versuche ich , diese alte Notiz zu löschen, aber wieder denken, sie finden und wieder platzieren.
Dann versuche ich, der alten Notiz, die vom System verwendet werden soll, keine Erlaubnis zu erteilen - (und beim Neustart mit dem Befehlsmodus nicht ausgeführt), sondern einige, wie man die Sicherheitsberechtigungen durchgeht und alles wieder zurückbringt, was ich entferne.
Dieses # @ # $ @ # @ -Programm wird mit der services.exe ausgeführt, die alle Dienste enthält und jede Nachricht, die ich erhalte, von Diensten kommt. Sein Monitor für die Internetverbindung versucht alle 5 Sekunden, eine große Liste der üblichen URLs (wie amazon, msn usw.) anzupingen, und wenn er sieht, dass verbunden ist, werden E-Mails gesendet ....
Im Moment habe ich nur Filter / Firewall am E-Mail-Port platziert und den 80-Port für den Dienst blockiert, und dies funktioniert - dieses @ # @ # @ - Denken kann die Firewall in dieser Version nicht umgehen.
have you tried using *devcon* to locate and disable the driver? what windows version are you using?
quack quixote vor 14 Jahren
0
@quack Ich benutze Windows XP SP2. Nein, ich kenne die devcon nicht. Können Sie mir bitte weitere Informationen geben?
Aristos vor 14 Jahren
0
re: devcon - siehe Antworten [hier] (http://superuser.com/questions/127494/change-usb-vendor-id-product-id/129047#129047) und [hier] (http: // superuser.). com / questions / 125032 / how-can-i-manuell-load-unload-a-driver-in-vista / 125035 (125035) für Linky-Güte- und Verwendungsbeispiele
quack quixote vor 14 Jahren
0
3 Antworten auf die Frage
3
fretje
Ist das dasselbe System, über das Sie in dieser Frage sprechen ?
Wie ich auch auf Meta sagte, warum nicht einfach die Wiederherstellungs-CD des Systems (normalerweise im Lieferumfang des Systems enthalten) finden und die Arbeit erledigen lassen? Oder einfach nur eine Windows-Installations-CD einlegen, das Systemlaufwerk formatieren und von Grund auf neu installieren?
Die Neuinstallation eines Rootkit-infizierten PCs dauert in der Regel weniger Zeit als der Reinigungsversuch. Und ich spreche hier aus Erfahrung ;-)
@fretje yes is the same problem, Actually is a x41 tablet, without cd, ok I need to find a way to boot from cd. Also this is Xp - this system restore work on xp too ? because I think I see vista there. At the moment I have think a trick and work on it, if its work I will post it here... Reinstall it from scratch is not an option for me - if I can not remove it then what the heck am I do here :)...
Aristos vor 14 Jahren
0
@fretje der Trick heißt ECR Commander. Ich entferne es mit dieser Offline-Registry und einem anderen Editor.
Aristos vor 14 Jahren
0
0
Aristos
Hier ist die Lösung und wie ich diese widerlichen Gedanken entferne.
Ich brauche 1 Stunde, ich bekomme meinen alten Winternals ERD Commander, den ich von meinem PC gerettet habe .
Da dies ein kleiner Tablet-PC ohne DVD ist, lege ich die CD mit peToUsb in einen USB-Speicher und boote den PC von diesem USB-Speicher aus .
Von dem Moment an, an dem ich das regedit offline von dem infizierten PC habe, kann dieser Virus nicht mehr aktiv sein und kann ihn nicht selbst schützen.
Also gehe ich und lösche in der Offline-Registry den gesamten Verweis auf diesen Virus und lösche auch die Dateien, die beim Starten gefunden wurden.
Löschen Sie alle temporären Verzeichnisse, prüfen Sie, was beim Start automatisch gestartet wird, und das ist alles. Ich entferne es.
Also starte ich neu und der Virus existiert nicht mehr.
Der Schlüssel hier war der alte ERD Commander, ein Offline-Registrierungseditor.
Um es zu schließen - Ich habe nie ein vollständiges System aus Gründen wie diesem neu installiert, und das ist es, was ich vorhabe - selbst wenn Sie mehr Zeit haben, lernen Sie viele Überlegungen. Und das Wichtigste - Sie lernen, das Denken zu entfernen, das Sie betrifft, so dass Sie es beim nächsten Mal noch schneller machen.
Imaging, wenn ich mein gesamtes System neu installiert habe und nach der Installation eine E-Mail erneut von mir betroffen ist. Was muss ich tun, um es immer wieder neu zu installieren? Nein, ich glaube nicht.
Wie ich sicher bin, wird das total gelöscht.
Die Antwort darauf ist ein vollständiges Tutorial. Ich werde hier einige Punkte für dieses spezielle Problem hervorheben
Bei diesem Virus, dessen Namen ich nicht kenne, handelt es sich um Dienstprogramme, die als Dienste ausgeführt werden und E-Mails senden. Allein durch die Überwachung des TCP-View wird dies gestoppt. Also läuft nicht mehr.
Wie ich nicht weiß, gibt es nicht mehr. Mit Hilfe der Autoruns finde ich alle Punkte, an denen dieses Programm ausgeführt und initialisiert wurde, einschließlich des Service-Punkts. Ich habe sie auch nur auf der Festplatte gefunden und gelöscht. Der Punkt befand sich nur in diesem Fall auf einem temporären Verzeichnis.
Eigentlich bin ich nicht 100% ig, dass ich es komplett entferne, aber wenn es wieder brennt, finde ich es wieder. Bis jetzt habe ich in ähnlichen Fällen nie dieses Problem - normalerweise finde ich von einem Punkt aus alle Punkte, die existieren.
Was ist der ERD Commander?
Der ERD-Commander ist ein Tool aus derselben Person, das den Prozess-Explorer und den Autorun korrigiert. Er ist eine Bootdiskette, auf der Windows ausgeführt wird, und Sie können Ihr Windows-System so bearbeiten, dass Sie die Registrierung bearbeiten, andere Programme ausführen können, wenn das System offline ist, Dateien löschen usw.
Microsoft hat dieses Tool gekauft und wird es in neuen Versionen von Windows einbinden, vielleicht unter dem Namen Dart (Diagnose- und Wiederherstellungs-Toolset), ich weiß es nicht, weil ich immer noch auf XP bin. Wenn jemand weiß, welche MS dieses Tool gemacht hat, sagen Sie es mir bitte.
Es gibt zu viele Tutorials zu ERD und wenn Sie es nicht kennen, lohnt es sich, es zu sehen.
Der ERD Commander wird von einer Boot-CD ausgeführt, die von einem gut funktionierenden Computer erstellt werden kann. ERD Commander gibt es nicht mehr zum Verkauf, ich habe es jetzt einige Jahre, weil ich ein Fan von Sysinternals und Winternals war, aber dies ist ein Punkt für die Startsuche im Internet und sagt mir, was damit passiert ist. Eigentlich werde ich hier eine Frage stellen.
Nach all dem und nachdem ich es entferne und nicht mehr laufe, so ist es nicht geschützt, sagen NOD32, dass xpgplw.sys -> rootkit.agent.nrb trojan
xpgplw.sys Ich habe festgestellt, dass diese Datei 4 zufällige Zeichen hat, xp ????. sys. So finde ich Informationen im Internet mit ähnlichen Problemen, ändere aber den Namen dieser Ansicht.
Wenn Sie mich fragen, warum kein Rootkit-Entferner es entfernen konnte, antworte ich, weil er als kritischer Treiber für die Fenster geladen wurde und ihn dann selbst schützen konnte.
Trotzdem ... wie bist du sicher, dass es total entfernt ist? Es gibt mehr Orte zum Ausblenden als für temporäre Verzeichnisse.
fretje vor 14 Jahren
0
Außerdem: Welchen "Offline-Registrierungseditor" verwenden Sie? Ein paar Links wären nett. Auch für diesen "ECR Commander". Ich denke nicht, dass diese Antwort für zukünftige Besucher von Nutzen ist, wie sie jetzt ist. Ich denke, auch die Frage ist nicht gerade nützlich. Mit welchem Virus wurden Sie speziell für den Anfang infiziert?
fretje vor 14 Jahren
0
@ FRETJE ERD Kommandant, sorry für meine Eingabe, ich habe die Antwort aktualisiert, bitte sagen Sie mir, ob sie besser ist oder weitere Informationen benötigt.
Aristos vor 14 Jahren
0
Es ist jetzt besser, ja.
fretje vor 14 Jahren
0
0
Tom Wijsman
Die neueste Version von Autoruns von Sysinternals kann verwendet werden, um Einträge (sogar Treiber!) In einem Offline-System zu deaktivieren. Dies wäre eine gute Alternative!
