-
Спасибо за правила!
Помогать мне не нужно, проблема уже решена.
Просто хочу поделиться информацией о проблеме и о том, как я ее решал.
1. Симптомы.
При загрузке системы сразу же возникает ошибка в lsass.exe, и включается отсчет 60 секунд до перезагрузки. Если сетевой кабель отключен, проблема не возникает. Если включить сетевой кабель, уже после загрузки - сразу же ошибка в lsass.exe. Знакомые симптомы, правда? Вот и я первым делом подумал про sasser. Однако версия системы - XP SP2, а она сассера не боится (по крайней мере, не должна).
2. Действую по схеме:
- отключить сетевой кабель
- включить компьютер
- дождаться загрузки, залогиниться
- подключить сетевой кабель
- дождаться включения отсчета времени до перезагрузки
- перевести системное время на год назад
- скачать из интернета то, что нужно
- если в конфигурацию внесены изменения, которые требуют перезагрузки, вернуть системное время "на место"
2. Качаю свежую версию AVZ, запускаю сканирование - на первый взгляд ничего подозрительного. Прохожусь по менеждерам, в менеджере LSP обращаю внимание на "небезопасный" mshelper2.dll. Нахожу файл, смотрю закладку "версия" - часть надписей на китайском языке, что уже само по себе подозрительно.
3. Проверяю mshelper2.dll на вирустотале. Вот результат проверки:
AntiVir 7.2.0.25 10.11.2006 ADSPY/Guanggao.A
Authentium 4.93.8 10.11.2006 no virus found
Avast 4.7.892.0 10.11.2006 no virus found
AVG 386 10.10.2006 Adware Generic.QUD
BitDefender 7.2 10.11.2006 no virus found
CAT-QuickHeal 8.00 10.10.2006 no virus found
ClamAV devel-20060426 10.11.2006 no virus found
DrWeb 4.33 10.11.2006 no virus found
eTrust-InoculateIT 23.73.19 10.11.2006 no virus found
eTrust-Vet 30.3.3127 10.11.2006 no virus found
Ewido 4.0 10.11.2006 Adware.Guanggao
Fortinet 2.82.0.0 10.11.2006 Adware/Guanggao
F-Prot 3.16f 10.11.2006 no virus found
F-Prot4 4.2.1.29 10.11.2006 no virus found
Ikarus 0.2.65.0 10.11.2006 no virus found
Kaspersky 4.0.2.24 10.11.2006 not-a-virus:AdWare.Win32.Guanggao.a
McAfee 4870 10.10.2006 potentially unwanted program Spyware-OneSS
Microsoft 1.1603 10.11.2006 no virus found
NOD32v2 1.1797 10.10.2006 no virus found
Norman 5.80.02 10.10.2006 no virus found
Panda 9.0.0.4 10.10.2006 Adware/Guanggao
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.095 10.11.2006 Adware/Guanggao.a
UNA 1.83 10.10.2006 no virus found
VBA32 3.11.1 10.10.2006 AdWare.Win32.Guanggao.a
VirusBuster 4.3.7:9 10.10.2006 no virus found
4. Переименовываю mshelper2.dll в mshelper2.bak, перезагружаюсь.
После перезагрузки lsass.exe не падает, но и сеть не работает (точнее, работает, но странно - ICMP ходит, по DHCP адрес получается, а вот TCP не работает). Как только переименовываю файл обратно - сеть начинает работать, и сразу же падает lsass.exe.
5. Обращаю внимание, что mshelper2.dll запускается из реестра (ключ Run) через rundll32.exe. Отключаю запуск, перезагружаюсь - ничего не изменилось.
6. Пытаюсь придумать, что с ним еще можно сделать. Нахожу в AVZ в менеджере LSP кнопку "Удалить", но нажимать ее не рискую: все-таки удаление - это не карантин, вдруг сеть опять перестанет работать, но вернуть обратно уже не получится.
7. Долго думаю, писать ли просьбу о помощи на форум. Так сказать, разрываюсь между желанием разобраться самому, ленью точно выполнять правила, желанием побыстрее решить проблему, и желанием порекомендовать переставить винду. В конце концов решаю как минимум выполнить правила.
8. Выполняя правила, дохожу до пункта "сделать логи с помощью HijackThis". Скачиваю hjt, делаю логи. В логах обращаю внимание на то, что он тоже отображает mshelper2.dll, и дает возможность ее пофиксить. Я (обратите внимание на отличие от AVZ в интерфейсе: видна галочка, которую можно убрать, а не кнопка с надписью удалить), снимаю галочку, нажимаю "Фикс", а он мне и говорит - я сам не могу, но вот тебе ссылка на lspfix, он может.
9. Скачал lspfix, почитал надпись возле галочки "я знаю, что я делаю (либо меня прикалывает переставлять мою винду)", и решил, что в крайнем случае, так и быть, винду переставлю (обратите внимание, что опять же, отличие от AVZ только в интерфейсе). Пофиксил эту длл-ку lspfix-ом, перезагрузился, и все заработало нормально.
----
Теперь хочу сказать всем спасибо за хорошо составленные правила, которые помогли мне решить проблему, с которой я не смог справиться самостоятельно, "с наскоку". Также хочу попросить Олега доработать интерфейс управления LSP - как минимум добавить описание к кнопке "Удалить", хотя бы по примеру lspfix.
Ну и напоследок хочу задать риторический вопрос: почему этот самый mshelper2.dll (вещь, как оказалось, довольно неприятная) отнесен к классу adware, да еще и (в случае с касперским) к классу not-a-virus?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Предупреждая возможные просьбы прислать этот файл, хочу собщить, что
Файл сохранён как 061011_062216_MsHelper2_452cc5d8a3d00.zip
Размер файла 121783
MD5 6b1cf5ee6714492cb9296335c25d9e11
Также прошу извинить за то, что не выкладываю логи - до лечения я их не сохранил, а после лечения они уже не так интересны.
-