пятница, 10 февраля 2006
19:51

все записи пользователя в сообществе Вильем Мыльный
пузырь.
здравствуйте

проблема такая:

при нажатии контрл+альт+делит выдает:

диспетчер задач отключен администратором



что это может быть?

URL
Комментарии
11.02.2006 в 01:49

Raspberry swirl
ААА!!! Человек!!! СРОЧНО!!! Это вирь! У тебя в папке windows\system32 сидит такая страшная вещь как kernels32.exe. Она тебе забанила твой диспетчер задач. Параллельно там еще какие-то программы страшные закачивают к тебе на комп какую-то заразу. У меня так на работе было. Убивала сама руками и через реестр тоже... НИ В КОЕМ СЛУЧАЕ не трогай kernel32.dll - это нормальный файл.
URL
11.02.2006 в 12:31

Вильем Мыльный
пузырь.
Raspberry swirl так...главное не впадать в панику мне

что делать то?

при включении компа пишет что не находит этот самый файл...типо найдите через пуск

я поискала,в другой папке есть кернелс32...

в систем32 тоже есть кернелы,что удалять то?

URL
11.02.2006 в 12:38

Вильем Мыльный
пузырь.
вообщем в систем32 три файла с разными расширениями,но все кернел

а в папке prefetch есть кернелс,но расширение pf

что делать то?
URL
11.02.2006 в 13:12

Raspberry swirl
Вильем Мыльный так. смотри. ща, погодь, у меня в дневе где-то было описание этой заразы, я тебе сейчас скину очень дельную ссылку (вчера не нашла). но главное без паники!!! сто процентов удаляй кернелы с расширением ехе.
URL
11.02.2006 в 13:21

Raspberry swirl
Так, я нашла!!! Вот сюда жми Там все подробно описано как удалить эту сволочь и все прилагающиеся к ней заразы. Вообще можешь сделать просто: найди по поиску все ехе файлы, которые у тебя появились за тот день, когда к тебе приперся кернелс. Они очень лево называются, либо цифрами, либо вообще нелепо, сразу сообразишь кто перед тобой.



На всякий пожарный (мало ли!!!): чтобы залезть в реестр - пуск - выполнить - regedit. Дальше, думаю, разберешься. Если нет, пиши.



Самое прикольное, что Каспер эту заразу не видит...
URL
12.02.2006 в 12:17

Вильем Мыльный
пузырь.
почитала там...не могу найти ни одного файла(я лох

а как узнать когда он у меня появился? я лох

и с реестром я тоже не разобралась... я лох

меня вообще к компу подпускать нельзя

чего теперь делать(
URL
12.02.2006 в 12:59

Вильем Мыльный
пузырь.
удалила кернелс...других файлов нет(

может они у меня где-нибудь спрятаны?

диспетчер также не работает

и вылазит сообщение,что не находит кернелс
URL
12.02.2006 в 17:03

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
А фаер поставить не пробовали?) Заплатки там..

В winXP в папке систем 32 есть один файл- kernel32.dll. Все остальные "кернелы" смело удаляйте нафиг) И подумайте, сколько еще подобной вирусни у вас на винте имеецца)

Поставьте Аутпост, обновите систему, и больше таких проблем у вас, скорее всего не возникнет.
URL
12.02.2006 в 17:07

Вильем Мыльный
пузырь.
у меня панда стоит и ничего не ищет!
URL
12.02.2006 в 17:21

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Попробуйте сканирование системы антиадвейром, типа встроенного сканера того же аутпоста, реестра чем нить типа hijack this! или j16 power tools, посмотрите, нет ли на диске С файлов неизвестного происхождения с непонятными названиями. По логам аутпоста также можно узнать, что пытается получить доступ к сети, дальше выцепить по кусочкам..



Найдите ключ:



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\]

"DisableTaskMgr"=dword:00000001



и удалите нафиг- диспетчер задач будет запускаться. После чего вы легко обнаружите активный процесс трояна и избавитесь от него.



Далее отсюда



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe C:\\WINDOWS\\system32\\kernels32.exe"



удалите C:\\WINDOWS\\system32\\kernels32.exe и сообщение исчезнет.



После завершения активного процесса трояна просканируйте систему касперским, он обнаружит экзешники, созданные трояном. С большой вероятностью таким образом вы полностью избавитесь от проблемы.
URL
12.02.2006 в 17:22

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Панду удалите ибо мастдай.
URL
13.02.2006 в 01:49

Raspberry swirl
Вильем Мыльный раз удалила, уже поздно =)

а вот с реестром нужно разобраться, потому что эта зараза опять к тебе приползет. в общем:



пуск - выполнить - egedit. Потом выбираешь Правка - Найти, либо жмешь ctrl+F. В строке поиска пишешь kernels32.exe, он тебе находит этот ключ, там будет значение типа "taskmgr - disabled". или по смыслу что-то схожее. вот это тоже удаляешь к чертовой бабушке!!!



остальные файлы не помню где... они называются также (или почти также) как в той статье. тоже находишь их через поиск (уже не в реестре, слава Богу, там они не прописываются) и удаляешь!



а лучший из антивирей - f-secure.
URL
13.02.2006 в 16:48

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Raspberry swirl Странно, никогда о "лучшем антивире" ничего не слышал, хотя не знаю, применительно для каких задач вы его называете лучшим)) Знаю неплохой Antivir и NOD 32, хотя сам пользуюсь каспером..



[QUOTE] он тебе находит этот ключ, там будет значение типа "taskmgr - disabled" [/QUOTE]



Не будет там такого значения, таскменеджер отключается добавлением ключа, приведенного выше)))







Ключи, которые надо поправить, написал в предыдущем посте. Все exe- файлы кроме того, который был создан во время текущей сессии, безопасны, названия представляют собой набор букв и цифр, лежат они как правило в корне диска С))



После удаления ключа



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\]

"DisableTaskMgr"=dword:00000001



или же изменения его значения на 00000000



и (!) завершения активного процесса трояна (через таск менеджер)

можно просканировать систему касперским, он обнаружит и удалит все оставшиеся файлы.



Обязательно (!) поправить ключ



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe C:\\WINDOWS\\system32\\kernels32.exe"



удалив оттуда все после explorer.exe (C:\\WINDOWS\\system32\\kernels32.exe)



исчезнет сообщение о том, что файл kernels32 не найден.



URL
14.02.2006 в 18:12

Вильем Мыльный
пузырь.
Raspberry swirl, Maniack спасибо...все попробую когда будет нет дома(

а кстати кернелса у меня нету уже...или я просто найти не могу :-(
URL
15.02.2006 в 12:29

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Цитата

при включении компа пишет что не находит этот самый файл...



Ну, если не находит, значит, его уже удалили)))
URL
15.02.2006 в 17:54

Вильем Мыльный
пузырь.
ну видимо действительно нет...но диспетчер то не работает...хотя я еще не сделала всего того,что вы мне сказали((
URL
15.02.2006 в 19:12

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Загружаете винду. Нажимаете WINDOWS+R, или Пуск- выполнить- regedit(набираете в строке). Далее видите окно, там слева сверху 5 папок. Нажимаете на плюсик около



HKEY_CURRENT_USER -открывается длинный список каталогов.

Ищете каталог



Software\Microsoft\Windows\CurrentVersion\Policies\System\



Там будет ключ



"DisableTaskMgr"=dword:00000001



Просто удалите его, диспетчер задач заработает) Точно так же ищется второй ключ, только его удалять не надо, только поправить.



URL
15.02.2006 в 23:01

Вильем Мыльный
пузырь.
Maniack так...все нашла,спасибо...только вот по инерции вместо того чтоб поправить ключ explorer.exe удалила его :-( ,черт...что делать?меня точно к компу нельзя подпускать

и еще,как завершить активный процесс трояна?(((
URL
16.02.2006 в 02:33

Raspberry swirl
Maniack о Боже, я уверена, уважаемый Маньяк, что вы куда умнее меня, но было написано что-то типа даскменеджер дисаблед!!! Я ж не из воздуха это вязла! Сама удаляла эти кернелсы, а не просто так тут треплю.

а f-secure - жутко классный антивирь =) каспер жутко грузит, работать невозможно.
URL
16.02.2006 в 08:47

Вильем Мыльный
пузырь.
Raspberry swirl f-secure?а что за антивирь?где его можно скачать?)
URL
16.02.2006 в 20:31

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Raspberry swirl Ничего такого ввиду не имел, просто поправил в соответствии с приведенной вами статьей)



На слабые машины обычно ставлю Antivir, дома на второй машине стоит NOD32..

Возможно, f-secure и правда рулит, не юзал.. ))



Вильем Мыльный Вкладка "процессы" таск менеджера) Ищите там процесс вируса, который будет как нить несуразно называться, закройте его и просканируйте систему.. Кстати, касперский, вероятно, даже заверншит процесс самостоятельно и удалит вредоносный файл) Попробуйте.. Но если машина не особо сильная, рекомендую другой антивирь)



F- Secure- комплексное решение, насколько я понял из описания на их сайте..

Лучше было бы конечно поставить отдельно Аутпост, j16 и антивирь, но, вероятно, вам будет достаточно и средств "все в одном" системы.
URL
16.02.2006 в 21:23

Вильем Мыльный
пузырь.
вот...что завершать,я не шарю...



URL
16.02.2006 в 22:02

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Хм.. попробуйте закрыть CAP3SWK,CAP3RSK,CAP3LAK,Resetservice не знаю, что это может быть)) Или вы что- то доставляли сами, или это может быть какой нить адвейр.. в первом случае ничего страшного с ними не случится) Потом сканируйте систему, для чего попробуйте использовать именно касперского.. Если ничего не найдет- все в порядке, если найдет- удалит)



Поменяйте лучше доктор веб на другой антивирь- возможно, он чем- то хорош для шлюза, но мне он очень не понравился в свое время.. На клиентских машинах его обычно не используют.



А для проигрывания музыки, на мой взгляд, удобнее пользоваться винампом, хотя это, конечно, дело привычки))



И аськин клиент заодно советую сменить на QIP- всем, кто пробовал, понравился))

URL
16.02.2006 в 22:16

Вильем Мыльный
пузырь.
квип у меня почему-то не хочет принимать сообщения,но отправляет...и не у меня одной,кстати...приходиться в аське...

в винампе у меня были какой-то файл зараженный и я на всякий пожарный удалила его полностью)))приходится так...

док.веб дали чтобы попробовать им поискать,ни фига...а теперь мне его не удалить(выдает ошибку,хнык...

а те процессы ща остановлю)
URL
16.02.2006 в 22:29

Вильем Мыльный
пузырь.
я себе установила этот f-secure

теперь такие у меня процессы:

нормально?



URL
16.02.2006 в 23:17

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
Хе)) Вытащите его из системы вручную) Закройте его полностью и по кускам удалите (в т.ч. из реестра), потом просканируйте реестр j16. Винамп достаточно просто переустановить)



Вышел новый билд кипа, попробуйте скачать- у меня работает.

Не хочет принимать сообщения он потому, что mirabilis под давлением AOL была вынуждена прекратить поддержку альтернативных клиентов. Насколько я понял, они намерены вносить постоянные изменения в протокол обмена сообщениями, что в конечном итоге приведет к "вымиранию" клиентов. Также вроде бы планируется выпуск

полностью нового клиента.

К счастью, умные люди вносят необходимые изменения в альтернативные клиенты,

так что пока юзать асю можно с комфортом))



Кстати, попробуйте поставить Outpost, возможно, поначалу он вам покажется сложным.. Но если таки разберетесь, безопасность системы возрастет довольно существенно. При попытке приложения получить сетевой доступ, если для него еще не создано правила, он запросит разрешение на откытие\ блокировку доступа этому приложению. Если знаете, что это, жмете разрешить и все) Так вам гарантирована защита почти от всех сетевых неприятностей) Там заодно и антиадвейр- модуль есть..
URL
16.02.2006 в 23:22

Maniack
Wait for sunrise in the east! Long shadows crawl across the plain, The ghosts of night will disappear, And lay your fears to rest!
ой.. че то много всего) хотя может так оно и надо)) но вот этот Servic~1 мне не особо нравится)



Главное, УДАЛИТЕ ДОКТОРА!!! Иначе они друг друга будут считать аццкими вирусами))

И попробуйте все же каспера.. Тут процессов дофига, каждый жрет по мегабайту памяти примерно.. Каспер- около 20 мегабайт. Тока там 2 процесса и он как ни как считается одним из лучших))

Думаю, при современных мощностях +- 10МБ- не принципиально))



Кстати, при проверке, каспер будет грузить проц не сильно больше, чем те 59%, которые занял fssm32.exe))))
URL
16.02.2006 в 23:40

Вильем Мыльный
пузырь.
блин...у меня с касперским все так тупило раньше(не хотелось так(

а что такое аутпост?он так и называется?
URL
16.02.2006 в 23:41

Вильем Мыльный
пузырь.
а Servic~1 останавливать?
URL
16.02.2006 в 23:42

Вильем Мыльный
пузырь.
f-secure кстати тоже ничего не нашел....черт

а как доктора удалить полностью?что нужно из реестра удалять?
URL