Показано с 1 по 2 из 2.

Спасибо за правила! (заявка № 6438)

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73

    Thumbs up Спасибо за правила!

    Помогать мне не нужно, проблема уже решена.
    Просто хочу поделиться информацией о проблеме и о том, как я ее решал.

    1. Симптомы.
    При загрузке системы сразу же возникает ошибка в lsass.exe, и включается отсчет 60 секунд до перезагрузки. Если сетевой кабель отключен, проблема не возникает. Если включить сетевой кабель, уже после загрузки - сразу же ошибка в lsass.exe. Знакомые симптомы, правда? Вот и я первым делом подумал про sasser. Однако версия системы - XP SP2, а она сассера не боится (по крайней мере, не должна).

    2. Действую по схеме:
    - отключить сетевой кабель
    - включить компьютер
    - дождаться загрузки, залогиниться
    - подключить сетевой кабель
    - дождаться включения отсчета времени до перезагрузки
    - перевести системное время на год назад
    - скачать из интернета то, что нужно
    - если в конфигурацию внесены изменения, которые требуют перезагрузки, вернуть системное время "на место"

    2. Качаю свежую версию AVZ, запускаю сканирование - на первый взгляд ничего подозрительного. Прохожусь по менеждерам, в менеджере LSP обращаю внимание на "небезопасный" mshelper2.dll. Нахожу файл, смотрю закладку "версия" - часть надписей на китайском языке, что уже само по себе подозрительно.

    3. Проверяю mshelper2.dll на вирустотале. Вот результат проверки:
    AntiVir 7.2.0.25 10.11.2006 ADSPY/Guanggao.A
    Authentium 4.93.8 10.11.2006 no virus found
    Avast 4.7.892.0 10.11.2006 no virus found
    AVG 386 10.10.2006 Adware Generic.QUD
    BitDefender 7.2 10.11.2006 no virus found
    CAT-QuickHeal 8.00 10.10.2006 no virus found
    ClamAV devel-20060426 10.11.2006 no virus found
    DrWeb 4.33 10.11.2006 no virus found
    eTrust-InoculateIT 23.73.19 10.11.2006 no virus found
    eTrust-Vet 30.3.3127 10.11.2006 no virus found
    Ewido 4.0 10.11.2006 Adware.Guanggao
    Fortinet 2.82.0.0 10.11.2006 Adware/Guanggao
    F-Prot 3.16f 10.11.2006 no virus found
    F-Prot4 4.2.1.29 10.11.2006 no virus found
    Ikarus 0.2.65.0 10.11.2006 no virus found
    Kaspersky 4.0.2.24 10.11.2006 not-a-virus:AdWare.Win32.Guanggao.a
    McAfee 4870 10.10.2006 potentially unwanted program Spyware-OneSS
    Microsoft 1.1603 10.11.2006 no virus found
    NOD32v2 1.1797 10.10.2006 no virus found
    Norman 5.80.02 10.10.2006 no virus found
    Panda 9.0.0.4 10.10.2006 Adware/Guanggao
    Sophos 4.10.0 10.05.2006 no virus found
    TheHacker 6.0.1.095 10.11.2006 Adware/Guanggao.a
    UNA 1.83 10.10.2006 no virus found
    VBA32 3.11.1 10.10.2006 AdWare.Win32.Guanggao.a
    VirusBuster 4.3.7:9 10.10.2006 no virus found

    4. Переименовываю mshelper2.dll в mshelper2.bak, перезагружаюсь.
    После перезагрузки lsass.exe не падает, но и сеть не работает (точнее, работает, но странно - ICMP ходит, по DHCP адрес получается, а вот TCP не работает). Как только переименовываю файл обратно - сеть начинает работать, и сразу же падает lsass.exe.

    5. Обращаю внимание, что mshelper2.dll запускается из реестра (ключ Run) через rundll32.exe. Отключаю запуск, перезагружаюсь - ничего не изменилось.

    6. Пытаюсь придумать, что с ним еще можно сделать. Нахожу в AVZ в менеджере LSP кнопку "Удалить", но нажимать ее не рискую: все-таки удаление - это не карантин, вдруг сеть опять перестанет работать, но вернуть обратно уже не получится.

    7. Долго думаю, писать ли просьбу о помощи на форум. Так сказать, разрываюсь между желанием разобраться самому, ленью точно выполнять правила, желанием побыстрее решить проблему, и желанием порекомендовать переставить винду. В конце концов решаю как минимум выполнить правила.

    8. Выполняя правила, дохожу до пункта "сделать логи с помощью HijackThis". Скачиваю hjt, делаю логи. В логах обращаю внимание на то, что он тоже отображает mshelper2.dll, и дает возможность ее пофиксить. Я (обратите внимание на отличие от AVZ в интерфейсе: видна галочка, которую можно убрать, а не кнопка с надписью удалить), снимаю галочку, нажимаю "Фикс", а он мне и говорит - я сам не могу, но вот тебе ссылка на lspfix, он может.

    9. Скачал lspfix, почитал надпись возле галочки "я знаю, что я делаю (либо меня прикалывает переставлять мою винду)", и решил, что в крайнем случае, так и быть, винду переставлю (обратите внимание, что опять же, отличие от AVZ только в интерфейсе). Пофиксил эту длл-ку lspfix-ом, перезагрузился, и все заработало нормально.
    ----
    Теперь хочу сказать всем спасибо за хорошо составленные правила, которые помогли мне решить проблему, с которой я не смог справиться самостоятельно, "с наскоку". Также хочу попросить Олега доработать интерфейс управления LSP - как минимум добавить описание к кнопке "Удалить", хотя бы по примеру lspfix.

    Ну и напоследок хочу задать риторический вопрос: почему этот самый mshelper2.dll (вещь, как оказалось, довольно неприятная) отнесен к классу adware, да еще и (в случае с касперским) к классу not-a-virus?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Предупреждая возможные просьбы прислать этот файл, хочу собщить, что
    Файл сохранён как 061011_062216_MsHelper2_452cc5d8a3d00.zip
    Размер файла 121783
    MD5 6b1cf5ee6714492cb9296335c25d9e11
    Также прошу извинить за то, что не выкладываю логи - до лечения я их не сохранил, а после лечения они уже не так интересны.

  • Уважаемый(ая) RobinFood, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Огромное спасибо!!!!!!!!!!!!!!!!
      От judzhin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.12.2008, 11:15
    2. Спасибо!
      От dmitru в разделе Технические и иные вопросы
      Ответов: 1
      Последнее сообщение: 19.11.2008, 00:45
    3. Спасибо!
      От dmitru в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.11.2008, 21:07
    4. Спасибо
      От Willer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2007, 10:35
    5. Спасибо!!!!:)
      От Butlerok в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.10.2007, 11:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00565 seconds with 19 queries