как остановить запуск драйвера - он самозащитен и руткит скрыт

Question

У меня есть эта серьезная проблема

Впервые не могу остановить запуск программы.

Что-то находится на одном ноутбуке, который работает как устаревший драйвер системы, самозащищен и спрятан в качестве руткита.

Все, что я пытаюсь удалить, терпит неудачу.

Когда программа или антиинструмент пытается удалить скрытый параметр реестра, чтобы остановить его, я получаю эту ошибку: « устройство, подключенное к системе, не работает »

Таким образом, любая идея, которая может помочь мне остановить это, или даже удалить это при запуске?

Единственным ограничением является то, что жесткий диск установлен на ноутбуке, и я не могу удалить его и прикрепить к другому месту.

Эта программа не позволяет мне трогать реестр, не позволяет мне трогать файл, не позволяет мне трогать файл, При загрузке не удается удалить его, rootrepeal не удается удалить его, rootkiet раскрывают из sysinternals не раскрывают Это ! все терпит неудачу.

Есть ли у вас какой-либо опыт по этому поводу, или у вас есть какие-либо предложения, как остановить запуск этого драйвера?

Обновить
Я запустил командный режим Windows, попытался выявить руткит и остановить запуск этой службы. К сожалению, этот @ # @ # @ # $ работает как устаревший системный драйвер, а Windows XP запускает его даже в командном режиме.

Затем я пытаюсь удалить это устаревшее примечание, но опять же, думаю, найти его и поместить его снова.

Затем я пытаюсь не дать разрешение на использование устаревшей записки для использования системой - (и при перезагрузке с командным режимом это не запускается), но кое-как, как пропустить разрешения безопасности и вернуть обратно все, что я удаляю.

Эта # @ # $ @ # @ программа запускается вместе с services.exe, в котором хранятся все службы, а каждое полученное сообщение приходит от служб. Его монитор для подключения к Интернету каждые 5 секунд пытается пропинговать большой список общих URL (таких как amazon, msn и т.д.), И, если он видит, что это связано, начинает отправлять электронные письма ....

На данный момент я просто установил фильтр / брандмауэр на порт электронной почты и заблокировал 80 порт на сервисе, и это работает - это @ # @ # @ не может обойти брандмауэр в этой версии.

Answer 1

Это та же система, о которой вы говорите в этом вопросе?

Как я уже говорил в Meta, почему бы просто не вставить CD для восстановления системы (который обычно поставляется вместе с системой) и позволить ему выполнять свою работу? Или просто вставьте установочный компакт-диск Windows, отформатируйте системный диск и переустановите его с нуля?

Действительно, переустановка компьютера, зараженного руткитами, обычно занимает меньше времени, чем попытка его очистки. И я говорю из опыта здесь ;-)

Answer 2

Вот решение и как мне убрать эту неприятную мысль.

Это занимает у меня 1 час, я получаю мой старый winternals ERD Commander, который я сохранил со своего компьютера.

Поскольку это небольшой планшетный ПК без DVD, я помещаю компакт-диск, который у меня есть, используя peToUsb, в USB-память и загружаю компьютер из этой USB-памяти.

С того момента, как я зарегистрировался на зараженном компьютере в автономном режиме, этот вирус больше не может быть активным и не может защитить себя.

Поэтому я захожу и удаляю в автономном реестре все ссылки на этот вирус, а также удаляю найденные файлы, которые загружаются при запуске.

Очистите все временные каталоги, проверьте, что запускается при запуске, и это все. Я удаляю это.

Поэтому я перезагружаюсь, и вирус больше не существует.

Ключом здесь был старый ERD Commander, редактор автономного реестра.

В заключение - я никогда не переустанавливал полную систему по такой причине, как эта, и это то, к чему я стремлюсь - даже если у вас будет больше времени, вы узнаете много мыслей. И самое главное - вы узнаете, как устранить мысли, которые влияют на вас, поэтому в следующий раз вы сделаете это еще быстрее.

Воображение, если я переустанавливаю свою полную систему, и после установки электронное письмо снова влияет на меня, что мне делать, переустанавливать снова и снова? Нет, я так не думаю.

Как я уверен, что это полностью удалено.

Ответ на это полный учебник. Я выделю здесь некоторые моменты для этой конкретной проблемы

Этот вирус, который я не знаю, как его зовут, это захват служб, запуск в качестве служб и отправка электронных писем. Просто контролируя tcpview, это останавливается. Так что больше не бегать.

Как я не знаю, что больше не существует. С помощью автозапуска я нахожу все точки, в которых запускалась и инициализировалась эта программа, в том числе точку обслуживания, и я просто помещал их также на диск и удалял их. Дело было во временном каталоге только для этого случая.

На самом деле я не на 100% полностью удалил его, но если он снова загорится, я снова найду его. До сих пор в подобных случаях у меня никогда не было этой проблемы - обычно из одной точки я нахожу все существующие точки.

Что такое ERD Commander

ERD commander - это инструмент от того же человека, который исправляет процессный проводник и автозапуск, представляет собой загрузочный диск, на котором запускаются окна и захватывает вашу систему Windows, так что вы можете редактировать мысли реестра, запускать другие программы, если система отключена, удалять файлы и т.д.

Microsoft купила этот инструмент и собирается включить его в новые версии Windows, возможно, под названием Dart (Набор инструментов диагностики и восстановления), я не знаю, потому что я все еще на xp. Если кто-то знает, что MS сделал этот инструмент, пожалуйста, сообщите мне об этом.

http://www.microsoft.com/systemcenter/winternals.mspx
http://en.wikipedia.org/wiki/Winternals
http://www.microsoft.com/windows/enterprise/products/mdop/dart.aspx

Есть слишком много учебников по ERD, и если вы не знаете, то стоит посмотреть.

ERD Commander запускается с загрузочного компакт-диска, который можно создать из хорошо работающей машины. ERD Commander больше не существует для продажи, у меня он есть уже несколько лет, потому что я был поклонником sysinternals и winternals, но это точка для начала - поиск в интернете и расскажите мне, что случилось с ним. На самом деле я задам здесь вопрос для этого.

После всего этого и после того, как я удаляю его и больше не запускаю, поэтому он не защищен, NOD32 говорит, что xpgplw.sys -> rootkit.agent.nrb trojan

xpgplw.sys Я обнаружил, что этот файл имеет 4 случайных символа, xp????. sys, поэтому я нахожу информацию в Интернете с похожими проблемами, но меняю название этой мысли.

Если вы спросите меня, почему ни одно средство для удаления руткитов не смогло его удалить, я отвечу, потому что он был загружен в качестве критического драйвера для Windows, а затем сам автоматически защищался.

Answer 3

Последняя версия Autoruns от Sysinternals может быть использована для отключения записей (даже драйверов!) в автономной системе и будет хорошим альтернативным решением!