드라이버 실행을 중지하는 방법-자체 보호 및 루트킷 숨김

이 장액 문제가 있습니다

처음으로 프로그램 실행을 중지 할 수 없습니다.

시스템 레거시 드라이버로 실행 되고 자체 보호 및 루트킷으로 서비스에 숨겨진 하나의 랩톱 컴퓨터에 무언가가 있습니다.

내가 제거하려고하는 모든 것이 실패합니다.

프로그램이나 안티 툴킷이 숨겨진 레지스트리 설정을 제거하려고 시도하면 중지됩니다. " 시스템에 연결된 장치가 작동하지 않습니다 "

따라서 실행을 중지하거나 시작할 때 삭제하는 데 도움이되는 아이디어가 있습니까?

내 한 가지 제한 사항은 하드 드라이브가 랩톱에 있으며 하드 드라이브를 제거하여 다른 곳에 연결할 수 없다는 것입니다.

이 프로그램은 레지스트리를 터치하지 않고 파일을 터치하지 않습니다. 파일을 터치하지 않습니다. 부팅시 이동으로 삭제하지 못합니다. 그것! 모든 것이 실패합니다.

이것에 대해 어떤 경험이 있습니까, 아니면이 드라이버를 실행 중지시키는 방법에 대한 제안이 있습니까?

업데이트 windows 명령 모드를
실행하고 루트킷을 공개하고이 서비스의 실행을 중지하십시오. 불행히도이 @ # @ # @ # $는 시스템 레거시 드라이버로 실행되고 Windows XP는 명령 모드에서도 실행 한다고 생각 합니다.

그런 다음 이 레거시 노트 를 삭제 하려고 시도 하지만 다시 생각하여 다시 배치하십시오.

그런 다음 시스템에서 사용할 레거시 노트에 권한을 부여하려고 시도하지 않습니다 (그리고 명령 모드로 재부팅 할 때 실행되지 않음). 보안 권한을 전달하고 제거 한 모든 것을 다시 배치하는 방법이 있습니다.

이 # @ # $ @ # @ 프로그램은 services.exe와 함께 실행되며 모든 서비스와 내가받는 모든 메시지가 서비스에서 나옵니다. 인터넷 연결을 5 초 동안 감시하여 아마존, msn 등과 같은 일반적인 URL의 큰 목록을 핑하려고 시도하고 연결되어 있으면 이메일 전송을 시작합니다 ....

현재 이메일 포트에 필터 / 방화벽을 설치하고 서비스에서 80 포트를 차단하면 작동합니다. @@@@@이 버전에서는 방화벽을 통과 할 수 없습니다.

이 질문 에서 당신이 말하는 것과 같은 시스템 입니까?

Meta 에서 말했듯 이 시스템 복원 CD (일반적으로 시스템과 함께 제공됨)를 팝업하여 작동하게하십시오. 아니면 Windows 설치 CD에 넣고 시스템 드라이브를 포맷 한 후 처음부터 다시 설치 하시겠습니까?

실제로 루트킷에 감염된 PC를 재설치하는 데는 일반적으로 청소하는 것보다 시간이 덜 걸립니다. 그리고 나는 여기서 경험에서 이야기하고 있습니다 ;-)

Sysinternals의 최신 버전의 자동 실행을 사용하면 오프라인 시스템에서 항목 (드라이버도 포함)을 비활성화 할 수 있으며 좋은 대안 솔루션입니다!

다음은 해결책 과이 불쾌한 생각을 제거하는 방법입니다.

그것은 1 시간이 걸리고, 나는 내 PC에서 저장 한 오래된 winternals ERD 사령관을 얻습니다 .

이것은 DVD가없는 태블릿 소형 PC이므로 peToUsb를 사용하는 CD를 USB 메모리에 넣고이 USB 메모리 에서 PC를 부팅합니다 .

감염된 PC의 regedit을 오프라인 상태로 전환 하는 순간부터이 바이러스는 더 이상 활성 상태 가되지 않으며 자신을 보호 할 수 없습니다.

따라서 오프라인 레지스트리 에서이 바이러스에 대한 모든 참조를 삭제하고 시작시로드 된 파일도 삭제합니다.

모든 임시 디렉토리를 지우고 시작할 때 자동 실행 항목을 확인하십시오. 제거합니다.

다시 부팅하면 바이러스가 더 이상 존재하지 않습니다.

여기서 핵심은 이전 ERD 사령관이 오프라인 레지스트리 편집기였습니다.

닫기-이 같은 이유로 전체 시스템을 다시 설치 한 적이 없으며 이것이 내가 목적하는 것입니다. 더 많은 시간이 걸리더라도 많은 생각을 배웁니다. 그리고 가장 중요한 것은-자신에게 영향을 미치는 생각을 제거하는 방법을 배우므로 다음에 더 빨리 할 수 ​​있습니다.

전체 시스템을 다시 설치 한 경우 이미지를 설치 한 후 설치 후 이메일에 다시 영향을 미칩니다. 어떻게해야합니까? 아니요 그렇게 생각하지 않습니다.

그것이 완전히 삭제 된 방법.

이에 대한 답변은 전체 자습서입니다. 이 특정 문제에 대한 몇 가지 요점을 강조하겠습니다.

내가 그의 이름을 모르는이 바이러스는 서비스를 잡고 서비스로 실행하고 이메일을 보냅니다. tcpview를 모니터링하면 중지됩니다. 더 이상 실행되지 않습니다.

내가 더 이상 존재하지 않는지 어떻게 알 수 있습니까? 자동 실행을 사용하여 서비스 지점을 포함 하여이 프로그램이 실행되고 초기화 된 모든 지점을 찾은 다음 디스크에서도 찾은 다음 삭제했습니다. 요점은이 경우에만 임시 디렉토리에있었습니다.

실제로 나는 그것을 완전히 제거한다고 100 %는 아니지만 화재가 다시 발생하면 다시 찾습니다. 지금까지 비슷한 경우에 나는이 문제를 겪지 않았습니다. 일반적으로 한 지점에서 진술하면 존재하는 모든 지점을 찾습니다.

ERD 사령관

ERD Commander는 프로세스 탐색기와 자동 실행을 수정하는 동일한 사람의 도구이며, Windows를 실행하는 부팅 디스크이며 Windows 시스템을 사용하여 레지스트리 생각을 편집하고 다른 프로그램을 실행하여 시스템이 오프라인 상태 일 때 파일을 삭제합니다.

Microsoft는이 도구를 구입했으며 새로운 버전의 Windows에 포함시킬 예정입니다. 아마도 xp를 사용하고 있기 때문에 알 수없는 Dart (Diagnostics and recovery toolset)라는 이름으로 사용됩니다. 어떤 사람 이이 도구를 사용했는지 알고 있다면 알려주십시오.

http://www.microsoft.com/systemcenter/winternals.mspx
http://en.wikipedia.org/wiki/Winternals
http://www.microsoft.com/windows/enterprise/products/mdop/dart.aspx

ERD에 대한 자습서가 너무 많으며이를 모를 경우 볼 가치가 있습니다.

ERD Commander는 부팅 CD에 의해 실행되며, 부팅 CD는 동일한 작업 시스템에서 만들 수 있습니다. ERD 사령관은 더 이상 판매용으로 존재하지 않습니다. 나는 몇 년 전부터 sysinternals와 winternals의 팬 이었기 때문에 지금 가지고 있습니다. 그러나 이것은 인터넷에서 시작 검색을 시작하고 그것에 대해 무슨 일이 있었는지 말해줍니다. 실제로 나는 그것에 대해 여기에 질문을 할 것입니다.

그 후 그리고 그것을 제거하고 더 이상 실행하지 않으면 NOD32는 xpgplw.sys-> rootkit.agent.nrb 트로이 목마 라고 말합니다.

xpgplw.sys이 파일에는 4 개의 임의의 문자 xp ????. sys가 있으므로 비슷한 문제가있는 인터넷에서 정보를 찾을 수 있지만이 생각의 이름을 변경하십시오.

왜 루트킷 리무버가 루트킷 리무버를 제거 할 수 없었는지 물어 보면 윈도우 용 중요 드라이버로로드 된 후 자동으로 보호하기 때문에 대답합니다.