Среда, 2018-08-15, 4:40 PM
Приветствую Вас Гость | RSS
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: $t1ll  
Форум » Раздел, которого не должно было быть. » Все подряд » "Запрещено администратором" (?)
"Запрещено администратором"
b4iterДата: Воскресенье, 2008-11-23, 10:15 AM | Сообщение # 1
Уверенный
Группа: Администраторы
Сообщений: 237
Репутация: 2
Статус: Offline
Уже второй раз сталкиваюсь с проблемой : при вызове диспетчера задач или попытке вызвать regedit доступ блочится и вылазит окошко "запрещено администратором". ПК разные по конфигурации, на всех WinXP sp2, один комп в локалке с доступом в сеть, другой -тупо домашняя машинка для игрушек. Переустановка оси результата не дает, помогает на день, потом опять эта байда. авером сканил, все найденое удалил, но результата нет. Со слов товарища подобная байда лечится форматированием всех дисков и обязательным изменением размеров логических дисков. Кто предложит другой метод?

 
kamiДата: Понедельник, 2008-11-24, 1:59 PM | Сообщение # 2
Автор Заправилы
Группа: Администраторы
Сообщений: 425
Репутация: 5
Статус: Offline
Вставлю свои 5 копеек smile
1. авер может не все найти - к примеру, мой любимый бесплатный Avira вчера не справился с простейшим авторан-вирусом, пришлось мучить его вручную
2. Если вирусняк (а в том, что это он, сомнений у меня нет) боится запуска регедита и диспетчера задач, значит есть причины. Значит, он очень просто запускается и обнаруживается. В этом разе лучше всего воспользоваться утилитами от SysInternals - ProcessExplorer и Autoruns. Но так как они очень популярны, то автор вируса может учесть и их. Тогда рекомендую ProcessHunter (ссылка на файл внизу страницы). Алгоритм прост - сначала убиваем все "левые" процессы, после чего убираем их из автозагрузки (можно кстати и посмотреть, сертифицирован ли автозагружаемый файл мелкософтом - пункт контекстного меню Verify в Autoruns для определения мусор или не мусор).
3. На счет полного форматирования и изменения разделов логических дисков - не знаю, может я чересчур отстал от жизни, но когда интересовался вирусами, то "тело", сидящее в загрузочном секторе, и работало при загрузке компьютера. Он может работать и при загруженной ОС, но низкоуровневый доступ к винчестеру и блокировка окон в user-mode это слишком разные уровни, сомневаюсь, что это воплощено в жизнь.
4. Раз переустановка не дает ощутимых результатов, скорее всего один из экземпляров "тела" сидит в каком-нибудь файле на логическом диске, который не подвергался термической обработке при переустановке системы. Как пример - тот же авторан, который убил 3 часа моего времени, не желая удаляться.
5. Больше ничего в голову не лезет... smile
 
hobbeatДата: Пятница, 2008-11-28, 6:48 PM | Сообщение # 3
Продвинутый
Группа: Проверенные
Сообщений: 132
Репутация: 5
Статус: Offline
То что проверка антивирем не лечит эту проблему, это нормально так как он удаялет вири, но не устраняет следы их активности. Для исправления этого я (когда сталкиваюсь) юзаю AVZ. Меню файл - мастер поиска и устранения проблем. Функциональность авз в некоторой степени (мастер этот например) внедрено в продукты касперского линейки 2009. Да и автор авз вроде теперь трудоустроен в лаборатории. (это так, к сведению, для расширения кругозора)

Чукча не читатель, чукча - писатель

Сообщение отредактировал hobbeat - Пятница, 2008-11-28, 6:52 PM
 
b4iterДата: Воскресенье, 2008-11-30, 0:31 AM | Сообщение # 4
Уверенный
Группа: Администраторы
Сообщений: 237
Репутация: 2
Статус: Offline
Угу, есть такое дело. Через РЕ определяются 2 левых файла с тупыми именами типа wingxl, winсse . Живут в темпе, удаляются без поблем, но после ребута- опять в темпе. Определить родителя я могу только через мониторинг обращения к реестру- метод геморный и длительный и не факт, что приведет к победе. Перебирать разными аверами тоже не самый короткий путь..... Как определить какой файл создает эту байду попроще?

 
kamiДата: Воскресенье, 2008-11-30, 1:35 PM | Сообщение # 5
Автор Заправилы
Группа: Администраторы
Сообщений: 425
Репутация: 5
Статус: Offline
нет, это слегка не то.
есть какой-то процесс, который обзывается, как один из системных - lsass, svchost, spoolsv например (или очень похоже, отличаясь только в 1 букве). Вот только если имена совпадают, то он будет сидеть не в System32, а где-нибудь в другом месте. (например, просто в Windows). C помощью ProcessExplorer папка процесса определяется легко.
 
hobbeatДата: Воскресенье, 2008-11-30, 1:40 PM | Сообщение # 6
Продвинутый
Группа: Проверенные
Сообщений: 132
Репутация: 5
Статус: Offline
Как вариант проверится с диска восстановления каспера (который содержит лайв винду с кавом), естественно запуск из чистой системы должен дать более качественную проверку. Сделать диск можно имея КАВ или КИС, дистр винХРсп2 и бартПЕ)

Чукча не читатель, чукча - писатель
 
kamiДата: Воскресенье, 2008-11-30, 1:52 PM | Сообщение # 7
Автор Заправилы
Группа: Администраторы
Сообщений: 425
Репутация: 5
Статус: Offline
посмотри Autoruns - вражина должен быть виден.
 
$t1llДата: Воскресенье, 2008-11-30, 9:15 PM | Сообщение # 8
Матерый
Группа: Модераторы
Сообщений: 445
Репутация: 3
Статус: Offline
тоже недавно принесли компутер на чистку. 2 часа личного времени убил, пока всё окончательно вычистил. Щас уже нипомню какая там зараза сидела, точнее их было дохрена, порядка 2к всякой твари smile но одна из пакостей- вездесущий авторан. Вощем чего я токо ниделал, и процесс ехплорер и авторунс и вручную чистил.. а он собака всё время возвращался после перезагрузки компа. В итоге был найден способ окончательного избавления - на каждом логическом диске есть такая скытая папочка, называется "system volume information" нужно выставить на неё полные права для своей учётки и всё в ней удалить, канеш там система брыкнётся на несколько файлов и не даст их трогать, т.к. они системные.

 
hobbeatДата: Суббота, 2008-12-13, 8:56 AM | Сообщение # 9
Продвинутый
Группа: Проверенные
Сообщений: 132
Репутация: 5
Статус: Offline
Quote ($t1ll)
Вощем чего я токо ниделал, и процесс ехплорер и авторунс и вручную чистил..

с лайвсиди пробовал проверятся? или хотябы с безопасного режима.


Чукча не читатель, чукча - писатель
 
Форум » Раздел, которого не должно было быть. » Все подряд » "Запрещено администратором" (?)
  • Страница 1 из 1
  • 1
Поиск:

Copyright kami-soft © 2018