Vírusos Isass-file törlése
2010-10-15T16:45:55+02:00
2010-10-18T08:18:07+02:00
2022-07-26T02:50:26+02:00
pg6830
Sziasztok!

Egy komolyabb fertőzés után fertőzött maradt az isass.exe file a system32-ben (XP), amit az Avast! sem tud eltávolítani még boot-időben sem.
Kérdésem, hogy a file CD-ről történő újratelepítése letörölné-e a vírust is véglegesen, illetve, hogy ennek (a felülírásnak) pontosan mi a módja.
(Ha lehet, elkerülném a vin újrahúzását.)
Köszi!
Mutasd a teljes hozzászólást!
mégiscsak újrahúztam a win-t


Bölcs döntés volt. A kártevőt a fórum keretein belül úgysem lehetett volna máshogy leszedni.

milyen parancs ez az sfc


System File Checker.
A fontosabb rendszerfileok épségét ellenőrzi.

az lsass.exe letörlése valóban nem volt elég a vírus letörléséhez.


Valóban. A hibád áttételes volt, nem az lsass.exe állomány volt a sérült. Így az sfc semmit nem használ, se windows alatt, sem csökkentett módban, sem a javítókonzolban.

így azok egyesével még külső oprendszerből sem törölhatőek?


Törölhetők. Csak komoly szakmai háttér kell mögötte álljon. +gyakran időigényes, értelmetlen. Vannak esetek, amikor egy véres küzdelemmel lehet csak leszedni (néha azzal sem). A kártevő eltávolítása után is mély sebnyomkok maradhatnak. A helyreállításba+a küzdelembe fektetett idő az újratelepítés idejének többszöröse lehet.

egy tizta rendszerbe betéve ezt a vinyót nem kozkáztatom annak is a lefertőzését?


Nem.

Az újratelepítés nem volt elkerülhető.
Mutasd a teljes hozzászólást!

  • Telepítőlemez>> javítókonzol>> sfc /purgecache /scannow
    Mutasd a teljes hozzászólást!
  • fertőzött maradt az isass.exe


    Mégegyszer nézd meg a nevét.
    Ha isass.exe, nyugodtan törölheted, mert nincs ilyen rendszerfile.

    Ha lsass.exe a neve, a telepítő CD-ről kibonthatod újra. Mivel kritikus folyamat (csökkentet módban is fut), egy másik ép rendszeren tudod a műtétet elvégezni.
    Mutasd a teljes hozzászólást!
  • Csak a megváltozott file-oket írja fölül? És meddig tart a folyamat illetve kilövi-e a vírust végül is?
    Mutasd a teljes hozzászólást!
  • Isass, persze, de én ezt nagy i-nek néztem. (Nem az?)
    Telepítő CD-ről miért kell a másik win, a kibontás miatt? És mi a pontos procedúra?
    Mutasd a teljes hozzászólást!
  • Nézd meg amit kb80a írt! Isass nincs csak lsass...
    Mi a célod, hogy kész legyen 2perc alatt, vagy rendesen meg legyen csinálva? A rendszerfájlok felülírásra kerülnek a telepítőlemez megfelelő fájljaival.

    Illetve sokat írtam már a vírusirtás alapvető technikáiról itt a fórumon, had ne ismételjem el még egyszer. A fájlt egy Linux live cd-ről biztosan tudod törölni...

    Még egy gondolat:
    Nem biztos, hogy az lsass a vírusos! Elképzelhető, hogy csak egy vírusos process-t futtat.
    Mutasd a teljes hozzászólást!
  • Bocsánat, a saját írásomat sosem olvasom jól...
    Persze, meglegyen, de akkor mi a különbség egy ilyen és egy frissítő telepítés között (ezt csak tapasztalatszerzés miatt kérdezem)?
    Akkor viszont szuper, van egy live Ubuntu-m!
    (Ilyen esetben nem kell szintén újratenni ezt a file-t? )(Melyik karakter nálatok ez a vonal? )
    De igen, az xsass, a system32-tőt scannelve is kidobja az Avast!!
    (Milyen process-t szokott ez a folyamat futtatni? Csak nem az (még egyszer) xsass-t?)
    Mutasd a teljes hozzászólást!
  • (bocs, már látom, hogy az "l", csak a szerkesztőben másképp írja... Elnézést...)
    Mutasd a teljes hozzászólást!
  • Hu bakker de zavaros vagy.
    Melyik folyamatot?
    Amelyik éppen meghívja...

    A javító telepítés leszedi a rendszert teljesen és a beállításokat megtartva azt újratelepíti. A rendszerfájl ellenőrző, csak a hibás rendszerfájlokat cseréli le.

    Melyik az a vonal karakter? Az biza az el (l; L) betű lesz.
    Mutasd a teljes hozzászólást!
  • Mer' mindig a következő mondatra reagálok...
    Na igen, most az lsass hív egy másik folymatot (gondolom programot, programrészletet), vagy az lsass-t hívják mások? Vagy mindkettő igaz lehet? (Nem vagyok informatikus, gondolom ez már bőven kiderült a pár év alatt, amióta itt fórumozok Veletek... )
    Aha, azt hittem, a javítás is csak a sérült (nem egyező méretű) file-okat szedi le és rakja föl újra... És, ha már itt tartunk, a frissítés? (Asszem az XP valamit ilyesmit is fölajánl, vagy csak ezt ajánlja fel...)
    De lényeg akkor, hogy a javítókonzoll-lal menni fog? (Ezek szerint gyorsabban is, mint a frissítés, hoszen többnyire csak olvas...) És van-e konkrét file-csere-utasítás, ha már fölmerült? És az Ubuntuval hogy' kellett volna csinálni? (elég csak egy link is...)
    És akkor mi van ezzel a másik vinnel, amit Kb írt?
    (Ha nincs kedved ennyi hlyeségre válaszolni most, ráér később is, bármikor... De ha csak legyintesz egyet, úgy is jó... Én meg futtatom a konzolt...)
    Mutasd a teljes hozzászólást!
  • A-Ty javaslatára hétfőn csináltam javító telepítést.
    1. Alalplapi setupban beállítani, hogy CD-ről bootoljon.
    2. Elindul a telepítés egy sereg fájl bemásolásával, majd ad 3 választást: Kilép, Javít, Enter. A javít választással parancssort kapsz, amikor is futtathatsz egy csomó dolgot, ha ismered a Windowst. Válaszd az Entert!
    3. Újabb választás elé kerülsz. Itt válaszd a javítást!
    Ha szerencséd van és nincs olyan vírusod, ami a monitoron történő megjelenést gátolja, a telepítés végigmegy, egyébként újraindul. Ugyanazt fogod látni és a feltett kérdések is ugyanazok, mint amikor az ellőző telepítést csináltad. A neved megadását is kéri. Ha ugyanazt adod meg, mint az előző telepítéskor, két azonos nevű rendszergazda lesz. Ezért adj meg más nevet, de a régi fiókot ne töröld, mert minden beállításod elvész. Ez ugye nem jó, hiszen az egészet azért csinálod, hohy minden programod ugyanúgy működjön, mint eddig.
    Jó szórakozást!
    Mutasd a teljes hozzászólást!
  • Mégegyszer átfutottam a topikon, visszavonom az előző javaslatot. Vélhetőleg nem a file sérült, hanem áttételes hibád van: egy kártevő folyamatmodul, melynek tevékenységét a víruskeresőd azonosított, az lsass főfolyamat részeként fut - ezzel biztosítja rendszertöltéskor az elindulást.
    A modul filet először azonosítani kell, jóeséllyel egy DLL lesz vagy egy rootkit. Ha nem vagy jártas a témában, egy ismerős-t kell megkérned, hogy szedje ki. A siker így sem 100%.
    A merevlemezt át kell kötni egy másik tiszta gépbe, csak így lehet garantáltan megszabadulni a féregtől.

    Ha nincs közeli ismerős, és gyorsan kell a tisztítás, az újratelepítést nem fogod megúszni.
    Mutasd a teljes hozzászólást!
  • Szia, nagyon rendes vagy, hogy erőt fordítassz a tisztázásra. Szeretném viszont megúszni az újrahúzást, már csak tapasztalatszerzés céljából is. (Sz.g. szerelő tanfolyamra járok, előbb-utóbb nekem is meg kellene tudnom csinálni az ilyesmiket...) Ha tudsz segíteni, megköszönöm, ha nem, teszek még pár próbát egyedül. Az előbbi esetben mindjárt van két kérdésem is: hogyan tudom azonosítani a fertőzött dll-t (csak nagyjából írd le, ha bonyolult), és hogy a fertőzött winchester nem fertőzi-e le a másik gépet is, mert az már közös... (Ez a drága sajnos a sajátom...) Köszi.
    Mutasd a teljes hozzászólást!
  • Köszi, de beleúntam már a megtöbbszöröződött fiókokba, amúgy rendes vagy Te is...
    Mutasd a teljes hozzászólást!
  • Szia, A-ty, ha itt vagy még: nem fogadja el a konzol a parancsot (xp), mit tegyek? (Valóban nincsen ilyen utasítás benne, hogy "sfc"...)(XP sp1 - ez akadt a kezembe...)
    Mutasd a teljes hozzászólást!
  • sfc /purgecache / scannow
    Mutasd a teljes hozzászólást!
  • Aha, lehet, hogy ez volt a baj... Mármint hogy kihagytam a space-eket... Már próbálom is.
    Mutasd a teljes hozzászólást!
  • link (Google fordítás).
    Mutasd a teljes hozzászólást!
  • Szia, nem biztos, hogy ez a "sasser" féreg rágcsál a gépben, de van rá esély... Úgyhogy egy próbát meg fog érni nekem, köszi az infót!
    Mutasd a teljes hozzászólást!
  • "Szia, nem biztos, hogy ez a "sasser" féreg rágcsál a gépben"
    Pl. se hibaüzenet, se reboot, voszont volt egy-két ezer(!) vírusos állomány a két vinyón, ami a gépben van. Ezeket mind leszedte az irtó, csak ezzel lsass-sal nem boldogul. Már töröltem Ubuntuval (az exe file-t, tudom, hogy nem biztos hogy ott van a hiba, de hát az irtó csak ezt jelezgette ki nekem), javítottam a win-t telepítőcd-ről, de ahogy Kb is írta a férgem megmaradt... (Valami apallate- vírus egyébként, lehet, hogy rosszul írom, de most az Avast! fut, és az nem ír ki pontos nevet.) Úgyhogy köszi, ezt a netes frissítést megpróbálom, hátha segít...
    (Legalább gyakoroltam angolul, mert mire észrevettem a magyar fordítást, elolvastam az eredetit...)
    Mutasd a teljes hozzászólást!
  • A javításhoz a telepített rendszerrel azonos telepítőlemezt kell használni!

    Ész revetted, hogy a /scannow-nál nem tettem szóközt? Ez bizony megakadályozza a futtatást. Egy sima sfc /? megmutatja a használható paraméterek listáját. Ezalapján át tudod alakítani a parancsot, lehet elég az sfc /scannow. Gyakori hiba, hogy módosított telepítőlemezről próbálják futtatni. Ebben az esetben megakadhat a parancs.

    Az AVG-nek van ingyenes live cd-s változata. Azt letöltve egy tiszta gépre, cd-ről nézd végig ezt a rendszert. Vagy vedd ki ezt a hdd-t és tedd be egy tiszta rendszer alá és ott ellenőrizd.
    Mutasd a teljes hozzászólást!
  • Na szia, sajnos kicsit elkésett a válasz, mert mégiscsak újrahúztam a win-t, meg különben is baj lehet ezzel az sfc-dologgal. Ugyanis a hibajavító konzolba belépve (ugye ez az, ahol megjelenik a javítható win-ek listája és az egyikbe való bejelentkezés után egy dos-szerű rendszerbe kerülsz?) és begépelve a help parancsot valóban nem jelent meg sfc a felkínáltak között. (Minden verzióban próbáltam a begépelést, space-szel is és anélkül is, a scannow elé tett space pedig a hozzászólásomban csak elírás.) Mondjuk ez az sp1-es xp volt még, lehet, hogy ott még nem volt ez a parancs. Amúgy egy kettes win-t simán frissített (véletlenül rossz rendszerre kattintottam először, illetve nem vettem figyelembe, hogy közben megcseréltem a két wincsit), bár voltak részek amik ezután nem működtek rendesen (pl. IE6), de ez lehet még a letörölt vírusos file-ok következménye is. (Most pl. be sem jelentkezik, de nem baj, egy régi lap kedvéért volt csak föltelepítve az egész...)
    Na szóva, ha nem fárasztottalak el még túl nagyon, akkor aktuálisan már nem fontos a dolog az újrahúzás miatt, de azért érdekelne, hogy jó konzolban keresgéltem-e, hogy állunk végül is a space-ekkel, és hogy valóban az sp1 miatt nem találtam-e a parancsot amennyiben az első kérdésre a válasz igen. (Ez is zavaros kérdés lehet, de sztem logikusan végigfilózható.)
    Ja igen, és milyen parancs ez az sfc (mit jelent, minek a rövidítése és pontosan mit csinál, ha nem baj, hogy rákérdezek) és akkor a sima file-csere hogy megy...? (Pl. a copy használható-e és milyen paraméterekkel?)
    És kösz a Live-CD ötletet, a legvégén nekem is eszembe jutott, de a helyreállításra akkor is szükség lett volna. Mondjuk az Ubuntu-tól több eredményt produkált volna talán, mert - mint írtam - az lsass.exe letörlése valóban nem volt elég a vírus letörléséhez. (Ezek szerint van több, a rendszerből - még boot-időben sem - törölhető file (illetve folyamat) is, (ez a rész még nem világos nekem igazán), amit a vírusirtó nem is azonosít be, így azok egyesével még külső oprendszerből sem törölhatőek?)
    Na és a már felvetett kérdés: egy tizta rendszerbe betéve ezt a vinyót nem kozkáztatom annak is a lefertőzését?
    Nagyjából ennyi jut most az eszembe, ne haragudj, ha zavaros vagyok továbbra is, de egyszerre szeretnék problémát elhárítani és (annál talán még jobban is) tanulni valamit az esetből illetve annak kapcsán!
    Köszi!
    Mutasd a teljes hozzászólást!
  • mégiscsak újrahúztam a win-t


    Bölcs döntés volt. A kártevőt a fórum keretein belül úgysem lehetett volna máshogy leszedni.

    milyen parancs ez az sfc


    System File Checker.
    A fontosabb rendszerfileok épségét ellenőrzi.

    az lsass.exe letörlése valóban nem volt elég a vírus letörléséhez.


    Valóban. A hibád áttételes volt, nem az lsass.exe állomány volt a sérült. Így az sfc semmit nem használ, se windows alatt, sem csökkentett módban, sem a javítókonzolban.

    így azok egyesével még külső oprendszerből sem törölhatőek?


    Törölhetők. Csak komoly szakmai háttér kell mögötte álljon. +gyakran időigényes, értelmetlen. Vannak esetek, amikor egy véres küzdelemmel lehet csak leszedni (néha azzal sem). A kártevő eltávolítása után is mély sebnyomkok maradhatnak. A helyreállításba+a küzdelembe fektetett idő az újratelepítés idejének többszöröse lehet.

    egy tizta rendszerbe betéve ezt a vinyót nem kozkáztatom annak is a lefertőzését?


    Nem.

    Az újratelepítés nem volt elkerülhető.
    Mutasd a teljes hozzászólást!


  • És az is bölcs döntés volt, hogy ehhez a fórumhoz fordultam, ahol ilyen hozzáértő és tiszta gondolkozású emberektől kaphatok segítséget!

    Köszönöm!

    (Mindenkinek.)
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd