Pomocy
Edit.
Zauważyłem też, że w msconfig mam zatrzymane wszystkie usługi microsoftu..
Aktualizacje na programosy.pl:
Opera • Spy Emergency • Tixati Portable • Tixati • Flagfox • RarmaRadio • RadioMaximus • TapinRadio Portable • TapinRadio
-
- Ogłoszenie:
dziwne zachowywanie się windows
11 posty(ów) • Strona 1 z 1
dziwne zachowywanie się windows
przez musashi_007 24 Wrz 2007, 10:54
Pomocy
Edit.
Zauważyłem też, że w msconfig mam zatrzymane wszystkie usługi microsoftu..
- musashi_007
- ~user
- Posty: 67
- Dołączenie: 25 Mar 2007, 13:07
przez musashi_007 24 Wrz 2007, 13:57
Nie, to nie może być bios, ktoś musiał gmerać mi w kompie bo dziwnym trafem włączona jest jedna jedyna usługa Microsoftu "zdalne wywoływanie procedur".. podejrzane, czyż nie ? Nioe uruchamia mi się już ani firewall systemowy, ani mój osobisty.. piszcie proszę, jak sie tego pozbyć.. ?
Edit.
Właśnie siedzę w trybie awaryjnym, na poziomie administratora, a komputer dalej pieprzy że nie mam uprawnień do zmiany czegokolwiek.. to samo gdy chce włączyć spowrotem usługi - zaszarzone pole przy opcjach..
Edit.
Właśnie siedzę w trybie awaryjnym, na poziomie administratora, a komputer dalej pieprzy że nie mam uprawnień do zmiany czegokolwiek.. to samo gdy chce włączyć spowrotem usługi - zaszarzone pole przy opcjach..
- musashi_007
- ~user
- Posty: 67
- Dołączenie: 25 Mar 2007, 13:07
-
przez kahoona 24 Wrz 2007, 15:02
musashi_007
Uruchom z jakiejś dyskietki startowej lub Live CD.
Skopiuj pliki
z windows/repair
do windows/system32/config
(zastąp - chodzi głównie o system, security, software - bez rozszerzeń)
Stracisz trochę ostatnio zainstalowanych programów.
Później - pełne skanowanie systemu pod kątem trojanów i wirusów (także PLIKI, nie tylko system). Wygląda mi to na profeskę włamania. Została tylko usługa remote procedure call - zdalne wywoływanie procedur. Dośpiewaj sobie resztę.
Uruchom z jakiejś dyskietki startowej lub Live CD.
Skopiuj pliki
z windows/repair
do windows/system32/config
(zastąp - chodzi głównie o system, security, software - bez rozszerzeń)
Stracisz trochę ostatnio zainstalowanych programów.
Później - pełne skanowanie systemu pod kątem trojanów i wirusów (także PLIKI, nie tylko system). Wygląda mi to na profeskę włamania. Została tylko usługa remote procedure call - zdalne wywoływanie procedur. Dośpiewaj sobie resztę.
...no to żegnam... i kropka.
- kahoona
- ~user
- Posty: 5637
- Dołączenie: 24 Kwi 2006, 10:19
- Pochwały: 475
-
przez Kuba1 24 Wrz 2007, 15:06
Jeśli jesteś w stanie to daj logi z ComboFix, Hijackthis i Silentrunners.
- Kuba1
- ~user
- Posty: 237
- Dołączenie: 27 Lip 2007, 18:59
- Pochwały: 16
-
przez musashi_007 24 Wrz 2007, 15:42
Dobra. Udało się pouruchamiać usługi, msconfig, dźwięk i reszta też działają już normalnie. Pozostaje kwestia RPC - tego NIE DA się wyłączyć. Jest zaszarzone w całości. Co do skanów - robiłem zarówno całościowy, jak i ten przed rozruchem. 0 rezultatów.
- musashi_007
- ~user
- Posty: 67
- Dołączenie: 25 Mar 2007, 13:07
-
przez DeadOrAlive 24 Wrz 2007, 15:47
musashi_007 napisał(a):mam zatrzymane wszystkie usługi microsoftu
a jest możliwość uruchomienia ich
jeśli nie to włóż do napędu płytę z systemem i w wierszu poleceń wpisz fsc /scannow, poczekaj aż system sprawdzi i naprawi pliki windowsowe
breko napisał(a):Spróbuj wgrać nowego biosa, a jak nie pomoże to pewnie wina windy
twoje szczęście że nie jestem już "zielony"
-
DeadOrAlive - ~user
- Posty: 10790
- Dołączenie: 02 Cze 2005, 19:58
- Miejscowość: Dąbrowa Górnicza
- Pochwały: 511
przez musashi_007 25 Wrz 2007, 19:49
Wszystko się rozsypało. Sytuacja powtórzyła się - teraz na 100% wiem, że mam do czynienia z aktywnym grzebaniem po moim kompie. 0 trojanów, 0 wirusów, tylko ja i haker. Uslugi jak wtedy - powyłączane. Teraz nie da się ich uruchomić w żaden sposób - tę opcję też mi zablokował. Powinienem się cieszyć że mam neta i mogę tu napisać, ale z drugiej strony jest świadomość że ten sk..... dalej mi grzebie po kompie. Nie mogę otworzyć NIC. Kerio Pers. Firewall - dezaktywowany, Avast - to samo, Zapora Windows - nia ma. Próbowałem otwierać jakieś programy do skanowania rejestru - komunikat o tym, że "Unicode systems are currently not supported".. Ogólnie rzecz biorąc - jestem w kropce. Jak tylko ojciec wróci z delegacji, spróbuję patentu z fsc /scannow, bo nieststy futeralik ma on ( żal. ) Narazie jestem zdany na łaskę jakiegoś gnoja przed klawiaturą. Błagam - Pomocy ! Wszelkie rady, sposoby (poza komendą "format", bo to definitywnie nie wchodzi w rachubę) BARDZO mile widziane. Liczę na was.
- musashi_007
- ~user
- Posty: 67
- Dołączenie: 25 Mar 2007, 13:07
przez kahoona 25 Wrz 2007, 21:40
To nie jest na 100% włam. Być może padłeś ofiarą trojanka nowej generacji.
Ale nie pełnego włamania - inaczej dysk by Ci mielił na okrągło przy byle podłączeniu sieci.
Trojanek istotnie grzebie w RPC - ale WYŁĄCZA pozostałe usługi - przez prostą podmianę svchost (zwykle - w katalogu WINDOWS\system32\ ). Od tej usługi (jej prawidłowego działania) są uzależnione pozostałe usługi m$, a po podmianie - wiadomo, nie do końca działa.
Musiałbyś przeprowadzić podmianę tego pliku z konsoli odzyskiwania - do tego wystarczy byle jaka płytka windows, nie musi być nawet z hologramem. Ważne, żeby miała ten sam service pack, co istniejący windows (np masz XP SP 2 - płytka ze zintegrowanym SP2).
W konsoli wpisz:
expand X:\i386\explorer.ex_ C:\Windows\explorer.exe
expand X:\i386\userinit.ex_ C:\Windows\sytem32\userinit.exe
expand X:\i386\svchost.ex_ C:\Windows\system32\svchost.exe
To ostatnie - na końcu.
Powtórz kopiowanie system / security / software.
W trybie awaryjnym - o ile się uda - przeprowadź przywracanie systemu. NET - bezwzględnie odłączony (fizycznie).
Nadal w trybie awaryjnym:
Pobierz RRT
Zastosuj wszystkie opcje. Ostrzeżenia antywirusa o ewentualnej zawartości wirusa/trojana/keyloggera/unusual runtime tool - zignoruj.
Rozpakuj i uruchom to narzędzie -
http://illmob.org/files/illmob/prockilla.zip
(wyłącza się ten cud za pomocą wyłączenia process w oknie tego właśnie programu)
Zanim jednak wyłączysz to maleństwo - BARDZO dokładnie popatrz na wyświetlone w nim procesy i programy. W razie konieczności - przepisz na kartkę podejrzane. Te, o których wiesz, że są Ci ABSOLUTNIE nieznane - wyłącz.
To ustrojstwo zostało skonstruowane przez zawodowca z "tej drugiej strony". Działa świetnie i potrafi mniej więcej to samo, co unlocker i process explorer. Nie jest to "prockilla" - trojan.
RRT i Process killera możesz zastosować bez odtworzenia plików, a także po nim.
Gwarancji żadnej. Nowa generacja
Ale nie pełnego włamania - inaczej dysk by Ci mielił na okrągło przy byle podłączeniu sieci.
Trojanek istotnie grzebie w RPC - ale WYŁĄCZA pozostałe usługi - przez prostą podmianę svchost (zwykle - w katalogu WINDOWS\system32\ ). Od tej usługi (jej prawidłowego działania) są uzależnione pozostałe usługi m$, a po podmianie - wiadomo, nie do końca działa.
Musiałbyś przeprowadzić podmianę tego pliku z konsoli odzyskiwania - do tego wystarczy byle jaka płytka windows, nie musi być nawet z hologramem. Ważne, żeby miała ten sam service pack, co istniejący windows (np masz XP SP 2 - płytka ze zintegrowanym SP2).
W konsoli wpisz:
expand X:\i386\explorer.ex_ C:\Windows\explorer.exe
expand X:\i386\userinit.ex_ C:\Windows\sytem32\userinit.exe
expand X:\i386\svchost.ex_ C:\Windows\system32\svchost.exe
To ostatnie - na końcu.
Powtórz kopiowanie system / security / software.
W trybie awaryjnym - o ile się uda - przeprowadź przywracanie systemu. NET - bezwzględnie odłączony (fizycznie).
Nadal w trybie awaryjnym:
Pobierz RRT
Zastosuj wszystkie opcje. Ostrzeżenia antywirusa o ewentualnej zawartości wirusa/trojana/keyloggera/unusual runtime tool - zignoruj.
Rozpakuj i uruchom to narzędzie -
http://illmob.org/files/illmob/prockilla.zip
(wyłącza się ten cud za pomocą wyłączenia process w oknie tego właśnie programu)
Zanim jednak wyłączysz to maleństwo - BARDZO dokładnie popatrz na wyświetlone w nim procesy i programy. W razie konieczności - przepisz na kartkę podejrzane. Te, o których wiesz, że są Ci ABSOLUTNIE nieznane - wyłącz.
To ustrojstwo zostało skonstruowane przez zawodowca z "tej drugiej strony". Działa świetnie i potrafi mniej więcej to samo, co unlocker i process explorer. Nie jest to "prockilla" - trojan.
RRT i Process killera możesz zastosować bez odtworzenia plików, a także po nim.
Gwarancji żadnej. Nowa generacja
...no to żegnam... i kropka.
- kahoona
- ~user
- Posty: 5637
- Dołączenie: 24 Kwi 2006, 10:19
- Pochwały: 475
-
przez musashi_007 26 Wrz 2007, 19:17
Nie mam siły już do tego.. robiłem wszystko co napisaliście, zdobyłem nawet płytkę z XP sp2, uruchamiałem sfc /scannow (co skończyło się dojściem paska do końca i nic), podmieniałem pliki systemowe - wszystko jak grochem o ścianę. Nic nie działa nawet w awaryjnym. Gdyby udało się odblokować przywracanie systemu.. niestety komputer ciągle pieprzy że opcja ta "nie może chronić komputera"..
- musashi_007
- ~user
- Posty: 67
- Dołączenie: 25 Mar 2007, 13:07
-
przez kahoona 26 Wrz 2007, 21:11
ERD COMMANDER 2007 - płyta CD bootowalna. Nawiąż do istniejące instalacji systemu windows xp. Z tego poziomu uruchomisz przywracanie systemu i przeprowadzisz po kolei: sprawdzenie dysku, sprawdzenie antywirusem, także online.
...no to żegnam... i kropka.
- kahoona
- ~user
- Posty: 5637
- Dołączenie: 24 Kwi 2006, 10:19
- Pochwały: 475
-
przez musashi_007 27 Wrz 2007, 21:01
Dobra, mam erd commander tyle że 2005 - przy bootowaniu wskakuje konsola dosa, prosiłbym o instrukcje bo zielony jestem w tych sprawach 
- musashi_007
- ~user
- Posty: 67
- Dołączenie: 25 Mar 2007, 13:07
-
11 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 2 gości