como impedir que um driver rode - ele é auto-protegido e rootkit oculto

1

Eu tenho esse problema seroso

Pela primeira vez, não consigo impedir que um programa seja executado.

Algo está em um computador laptop que é executado como driver legado do sistema e autoprotegido e oculto no serviço como rootkit .

Tudo o que eu tente remover falha.

Quando um programa ou um kit de ferramentas tentam remover a configuração de registro oculta para que pare, recebo este erro: " um dispositivo conectado ao sistema não está funcionando "

Então, alguma ideia que possa me ajudar a impedir que ela seja executada ou até mesmo apagá-la na inicialização?

Minha única limitação é que o disco rígido está em um laptop e não consigo removê-lo e encaminhá-lo para outro lugar.

Este programa não me deixa, toca no registro, não me deixa tocar no arquivo, não me deixa tocar no arquivo, O movimento na inicialização não consegue deletá-lo, o rootrepeal não consegue deletá-lo, o rootkiet revela do sysinternals deixar de revelá-lo! tudo falha.

Você tem alguma experiência com isso ou tem alguma sugestão de como impedir que esse driver seja executado?

Atualizar
Eu executei o modo de comando do windows , tentei revelar o rootkit e parar a execução deste serviço. Infelizmente isso @ # @ # @ # $ acho que é executado como driver legado do sistema e o windows xp o executa mesmo no modo de comando.

Depois, tento que elimine esta nota legada, mas, novamente, pense em localizá-la e coloque-a novamente.

Então eu tento não dar permissão à nota legada para usar pelo sistema - (e quando reinicializar com o modo de comando isso não é executado), mas de alguma forma passar as permissões de segurança e colocar novamente tudo que eu removo.

Este programa # @ # $ @ # @ é executado com o services.exe , que mantém todos os serviços e todas as mensagens que recebo são provenientes de serviços. Seu monitor de conexão com a internet nunca 5 segundos tentando pingar uma lista grande de url comum (como amazon, msn, etc) e se ele ver que está conectado está começando a enviar e-mails ....

No momento eu só tenho lugar filtro / firewall na porta de e-mail e bloquear a porta 80 no serviço e isso funciona - isso @ # @ # @ acho que não pode passar o firewall nesta versão.

    
por Aristos 18.04.2010 / 13:11

3 respostas

0

Aqui está a solução e como removo esse pensamento desagradável.

Demoro 1 hora, recebo meu antigo ERD Commander da winternals que salvei do meu PC .

Porque este é um tablet pc pequeno sem dvd, coloco o cd que tenho usando peToUsb, em uma memória usb e inicializo o pc a partir desta memória usb .

A partir do momento em que eu tenho o regedit offline do pc infectado, esse vírus não pode mais estar ativo e não consigo me proteger.

Então eu vou e excluo dentro do registro off-line toda a referência a este vírus, e excluo também os arquivos que eu encontrei que carregam na inicialização.

Limpe todos os diretórios temporários, verifique o que é autorun ao iniciar, e tudo isso. Eu removo.

Então eu reinicio e o vírus não existe mais.

A chave aqui era o antigo ERD Commander, um editor de registro offline.

Para fechar - Eu nunca reinstalei um sistema completo por motivos como este, e é isso que eu proponho - mesmo que você tenha mais tempo, você aprende muitos pensa. E o mais importante - você aprende a remover o pensamento que afeta você, então da próxima vez que você fizer isso ainda mais rápido.

Imaging se eu for reinstalar o meu sistema completo, e após a instalação um email me afeta novamente, o que eu faço, reinstalar novamente e novamente? Não, eu não penso assim.

Como tenho certeza de que isso foi totalmente excluído.

A resposta para isso é um tutorial completo. Eu irei destacar aqui alguns pontos para este problema em particular

Esse vírus que eu não conheço seu nome, é pegar serviços, executar como serviços e enviar e-mails. Apenas monitorando o tcpview isso é interrompido. Então não é mais executado.

Como eu não sei que não existe mais. Usando o autoruns eu encontro todos os pontos que este programa foi executado e inicializado , incluindo o ponto de serviço, e eu os localizei também no disco e os deletei. O ponto estava no diretório temporário apenas para este caso.

Na verdade eu não estou 100% que eu removo totalmente, mas se o fogo de novo eu localizo novamente. Até agora, em casos semelhantes, eu nunca tive esse problema - geralmente afirmando de um ponto eu acho todos os pontos que existem.

O que é o ERD Commander

ERD commander é uma ferramenta da mesma pessoa que corrige o processo explorer e autorun, é um disco de boot que executa o Windows, e pega o sistema Windows para que você possa editar o registro pensa, execute outros programas o sistema está offline, delete arquivos etc.

A Microsoft comprou essa ferramenta e vai incluí-la em novas versões do Windows, talvez sob o nome Dart (Diagnostics e Recovery Toolset) eu não sei porque ainda estou no XP. Se alguém sabe o que ms fez esta ferramenta, por favor me diga.

link
link
link

Existem muitos tutoriais sobre o ERD e, se você não sabe, vale a pena vê-lo.

O ERD Commander é executado por um CD de inicialização que o mesmo pode criar a partir de uma boa máquina em funcionamento. O ERD Commander não existe mais para venda, eu o tenho há alguns anos porque eu era fã de sysinternals e winternals, mas este é um ponto para começar a pesquisar na internet e me dizer o que aconteceu com ele. Realmente vou fazer uma pergunta aqui para isso.

Depois de tudo isso e depois que eu removê-lo e não correr mais, por isso não é protegido, NOD32 dizer que xpgplw.sys - > rootkit.agent.nrb trojan

xpgplw.sys Descobri que este arquivo tem 4 caracteres aleatórios, xp ????. sys então eu localizo informações na internet com problemas semelhantes, mas altero o nome desse pensamento.

Se você me perguntar por que nenhum removedor de rootkit foi capaz de removê-lo, respondo porque ele foi carregado como um driver crítico para as janelas e, em seguida, ele se auto protegeu.

    
por 22.04.2010 / 13:37
3

Este é o mesmo sistema em que você fala em esta questão ?

Como eu também disse em Meta , por que não apenas pop no CD de restauração do sistema (que normalmente é fornecido com o sistema), e deixá-lo fazer o seu trabalho? Ou caso contrário, basta inserir um CD de instalação do Windows, formatar a unidade do sistema e reinstalar do zero?

Realmente, a reinstalação de um PC infectado por rootkit geralmente leva menos tempo do que tentar limpá-lo. E eu estou falando da experiência aqui; -)

    
por 18.04.2010 / 13:41
0

A versão mais recente do Autoruns da Sysinternals pode ser usada para desabilitar entradas (até mesmo drivers!) em um sistema offline e seria uma boa solução alternativa!

    
por 19.06.2010 / 21:32