Windows XP vírusmentesítés + registry takarítás

Microsoft Windows

Szervusztok!

Adott egy Windows XP Home rendszerű gép, sajnos elég problémás.

Többedszerre fertőződött meg valamilyen vírussal, tegnap este Nod32-vel sikerült róla egy ctfmon.exe file-t letakarítani (C,D,E lemezeken egyaránt megtalálta, a Lomtárban). Sajnos még így sem "gyógyult" teljesen.Egyrészt belépéskor közli:

A C:\Windows\System32\nttkowyp.dll fájlt nem sikerült futtatni.

Másrészt:
A Sajátgépen belülről C, D vagy E lemezt nem enged dupla kattintással megnyitni, Windows Script Host hibára hivatkozva. A hibaüzenet:
"A fájlnévben (C:\$felhasználónév) nincs kiterjesztés."
Jobb kattintásra feljön a menü, de az első pár bejegyzés olvashatatlan kriksz-kraksz. Ezek alatt ott van a Megnyitás pont, amivel elérhetőek a lemezek.

Először is ebben szeretnék segítséget kérni: hogyan lehetne ezt a valamit kiirtani?

Másodsorban: tudtok -e valamilyen megbízható registry takarító programot ajánlani?
A gép ugyanis feltűnően lassan indul, gondolom a korábbi vírusirtások után is maradtak a registryben téves bejegyzések, amelyek lassítják a folyamatot.
(A nyáron már 84 (!) db fertőzött file-t takarítottam le róla.)

Az újratelepítés sajnos nem hatásos. Laptop, amihez a vásárláskor csak helyreállító CD-ket adtak. :(

Előre is köszönöm a segítséget!

  • 5101 megtekintés

( bervi | 2009. 12. 26., szo – 17:35 )

"hogyan lehetne ezt a valamit kiirtani? tudtok -e valamilyen megbízható registry takarító programot ajánlani?"

mindkettőre a válasz: reinstall. láthatod, hogy a "takarításod" mennyit ér. semmit. a baj nem veled van, eleve ilyen jellegű a probléma. ha egyszer összeszarták, sose lehetsz biztos benne, hogy sikerült-e teljesen megtisztítani.

"Az újratelepítés sajnos nem hatásos. Laptop, amihez a vásárláskor csak helyreállító CD-ket adtak. :("

mert a vírus-malware-akármiirtásod hatásos. főleg, mikor leirtod a ctfmon-t, ami egyébként az office része, szóval tényleg nagy siker :)

egyébként a válasz: partimage (pl. sysresccd-vel, én mindig azzal használtam az ugyanilyen recovery cd-s laptopnál). felrakod az xp-t, frissíted, driverek, beállítások, stb. ekkor elkészíted az image-et a rendszerpartícióról, elrakod jó helyre. mikor valami gáz van, restore, 20 perc alatt megvan. és nem kell napokig ilyen irtó szutykokkal bénázni, ráadásul eredmény nélkül.

a kedves user-nek meg egy korlátozott fiókot adni, ha ennyire balfasz. bár a legjobb az lenne, ha nem is használná a gépet :)

szerintem.

( m4k3r | 2009. 12. 26., szo – 17:33 )

Ccleaner, AdAware, SpyBot S&D
Én ezeket szoktam használni.
____________________________
sorry for stupid questions!

Ugyan nem rendszergazdaként, de teljes jogosultsággal használja. :(
Volt olyan időszak, hogy csak nekem volt rendszergazdai jogom azon a gépen (én pedig csak afféle adminisztrációs teendők miatt léptem be), de akkor persze
jöttek a panaszok, hogy nem tud semmit telepíteni, beállítani, stb.
Mivel Home Edition-ról van szó, úgy emlékszem, hogy sajnos részben jogos volt az elégedetlenség (talán még a képernyő kikapcsolási idejét sem lehetett sima userként átállítani).

Amúgy munkahelyen sajnos nekem is volt olyan tapasztalatom, hogy pl. CAD programot sem lehetett normálisan futtatni teljes jogosultság nélkül. :( :(

( bervi | 2009. 12. 26., szo – 17:50 )

egyébként van egy olyan programom, ami a kiválasztott partíciókat visszaállítja automatikusan minden indításnál. a user azt csinál, amit akar, úgy látszik, mintha tényleg megtörténne, de következő bootnál minden a régi. ez is lehet egy (számodra egyszerűbb) megoldás. a c-t levéded, a user profilt meg átrakod d-re (mondjuk ez azt hiszem csak unattended installal lehetséges).

1-2 hetente átmész, kikapcsolod a védelmet, frissíted az xp-t/programokat, aztán visszakapcsolod. döntsd el, hogy ez a jobb, vagy a teljes restore alkalmanként.

a neve: edtools steadfast. oldala van, ahol lehet kérni trial-t, anno azt hiszem próbálkoztam is vele, de sose kaptam tőlük mail-t, hogy innen meg onnan töltsd le :)

ha érdekel, szólj, mert a neten sehol nem fogod megtalálni :) (én is anno a gimim adminjától kunyeráltam el :D)
szerintem.

( zsolt3220 | 2009. 12. 26., szo – 17:56 )

Bitdefender online scan
Panda online scan
Cureit

( bolond | 2009. 12. 26., szo – 18:05 )

A meghajtó dupla kattintásos eseményét a társításoknál tudod megváltoztatni. Ha már ott vagy, megnézheted, mire mutat a mostani alapértelmezett bejegyzés (a kriksz-kraksz, ami az Intézőben a meghajtó helyi menüjében vastagon van szedve) és ellenőrizheted, van-e hasonló nevű állomány a gépen. Érdemes az összes kriksz-krakszos bejegyzést ellenőrizni.

Esetleg az Autoruns nevű programmal is megnézheted, mik indulnak el automatikusan.

Az eseménynaplót is megvizsgálhatod.

:)

A 

HKEY_CLASSES_ROOT\Drive\shell

alapértelmezett értéke legyen 

none

szöveg, és akkor a megnyitás lesz az alapértelmezett művelet.

A kriksz-krakszokat láttad a társításoknál? Ha nem, a 

HKEY_CLASSES_ROOT\Drive

és a 

HKEY_USERS\felhasználó_azonosító\Software\Classes\Drive

kulcsokban érdemes keresni őket.

:)

Köszönöm szépen.
Megdöbbentő, de a HKEY_CLASSES_ROOT\Drive\shell alapértelmezett értéke none szöveg volt.
A HKEY_USERS\felhasználó_azonosító\Software\Classes\Drive kulcs nem létezett.

Ám a meghajtók gyökerében találtam egy Autorun.inf file-t, ez volt a bajkeverő.
Ebben voltak a kriksz-krakszok meg parancsok vbs szkriptek futtatására.
A víruskeresők valószínűleg már legyalulták a szkripteket, csak az Autorun.inf-et nem vették észre / nem vizsgálták meg.
Óvatosságból először csak átneveztem Autorun.inf.txt-re, újra belépés után megszűnt a hibajelenség.

az autorun.inf sok nyavalyakórság terjesztője. érdemes tőle egyszer és mindenkorra megszabadulni a cserélhető adathordozó eszközökön:
http://www.precisesecurity.com/tools-resources/adware-tools/flash-disin…
és a futtatását is megakadályozni:
http://www.uwe-sieber.de/drivetools_e.html#autorun
valamint törölni minden reciclekosár, kukáskocsi, hamutartó, szemétégető és hasonló mappákat, amikben előszeretettel húzzák meg magukat ezek a dögök.
és ezt is melegen ajánlom: http://www.symantec.com/business/security_response/writeup.jsp?docid=20…

( toth_a v | 2009. 12. 26., szo – 21:01 )

Egy, a gyakorlatban már többszörösen bizonyított módszer:

  • kell egy biztosan (!) vírusmentes pl. XP-s gép - akár több, de nem egyidőben elindított vírusirtóval előre telepítve: Avast!, NOD32, Kaspersky, F-Secure, stb.),
  • a vírusos gépből vinyó ki,
  • szigorúan SLAVE (E-IDE esetében) alapon be a vírusmentes gépbe,
  • reboot,
  • ráengedni egyesével a "vírusnyaggatókat", valamint a korábban más által már említett pl. Spybot kémprogram vadászt,
  • esetleg az on-line keresők közül pl. az F-Secure megoldása,
  • megpróbálni örülni a feltehetőleg jó eredménynek.

Természetesen a többi hozzászólóval egyetértve a teljes, nulláról történő újratelepítés lenne a legmegbízhatóbb megoldás - szvsz is.

S az a "bizonyos" korlátozott fiók: tényleg nem lenne rossz ötlet! :)

( kr0w | 2009. 12. 26., szo – 21:55 )

szerintem probald meg a TuneUp-t ha meg nem ismered, nagyon jo kis program, rendszerfelugyelet, registry tisztitas, rendszer-visszaallitas, biztonsag vizsgalasa (nem ilyen bevane kapcsolva windows update szinten..) szoval egy probat meger, nekem eddig mindig segitett, bar jopareve nincs virusom, pedig nincs virusirtom se tuzfal stb..

( KG | 2009. 12. 26., szo – 22:52 )

Nagyon köszönöm az eddigi ötleteket!

Lefutott a beteg gépen a Vipre-Rescue, 6 helyen takarított.
Újraindításkor már nem voltak illúzióim, a Sajátgépes hibaüzenet például megmaradt...
Előkeresem a helyreállító CD-ket.

A gépen a következő felállás:
C (ACER) meghajtó 18,1 GB
D (ACERDATA) meghajtó 9,75 GB
E (ACERSERVICE) meghajtó 7,79 MB (!)

Vajon hogyan működik pontosan ez a helyreállítás? Mi a szerepe a CD-knek és mi az E meghajtónak?

Egy félelmem van még: rengeteg felhasználói dokumentum van a gépen, amit persze ki kellene menteni.
Hogyan minimalizálhatnám a legjobban a "visszafertőződés" veszélyét?

Mentes DVD-re vagy valami kulso eszkozre! Nem ismerem az Acer-t, de lehet, h azzal kezd, h particional!
Olvass utana, gondolom az egyik CD doksi, vagy keress ra az Acer oldalan. A kimentett anyagokat nezesd at egy virusmentes gepen legalabb 2 ellenorzo progival. Gyorsabb lesz a mentes es a reinstall, mint a bizonytalan javitgatas.

Na, álljunk meg meg jó szóra!
Ez a bizonyos "beteg" gép egy Acer gyártmányú notebook lenne?
Ha igen, akkor lassabban a testtel (visszaállítással)! Mi a pontos típusa?

Az a bizonyos "E" meghajtó egy speciális partíció, ami tartalmazhatja az adott típusú notebookra vonatkozó spec. információkat.
Tehát amit te előkerestél az nem más mint egy visszaállító CD (valószínűleg alapból angol nyelvű), ami azzal kezdi "áldásos" tevékenységét, hogy törli a "C" rendszer partíciót (hiszen csak így képes "tiszta", "szűz", gyári, "vírusmentes" XP telepítést végezni), valamint - ezt nem tudom előre én sem - lehet, hogy törli a "D" meghajtót is! Nem vagyok Acer szakértő, bár már láttam néhány ilyen masinát.

Viszont amit fentebb írtam (vinyó ki, másik gépbe be, stb.), akkor ebben az esetben nyilván nem úgy van! :-(

Tudni kell jól kérdezni, mert így bárkit félre lehet vinni akaratlanul, s kárt (adatvesztést) okozni! :-(

De jó, hogy rákérdeztem! :-)

Egyébként "gyanús" a lóf...-t...
Csak - mondjuk - neked ismeretlen, de én sem, meg elárulom mások sem úgy születtek (lettek tagok) itt a hup-on, hogy benne volt a kezükben a particionálás minden titka! :-)

Mondjuk én tökölés nélkül kivenném a notebook "hasából" a belső, majdnem 100%-ra biztos, hogy SATA csatolású vinyót, s rádugnám egy SATA illesztőn keresztül (pl. lehet USB csatolású külső doboz is, akár kölcsönkérve valakitől) egy asztali, de biztosan vírusmentes gépre! (Ahogy hozzászólással fentebb írtam...) Utána a többi már annak a mintájára mehetne, kb.

Persze, ha nem vagy járatos a notebook minimál szétszerelésben sem, az nem baj!

Pl. vannak olyan ingyenes terjesztésű (vagy kevésbé ingyenes) CD-k, amelyek tartalmaznak egy "herélt", de sok, egyéb programmal is felszerelt valamilyen XP klónt. Egyik ilyen a BartPE.

Nos, ez annyiban jó, hogy erről indítva a notebookot, simán ki lehet irtani a hívatlan látogatókat! Persze, ez sem garántálja a maximális sikert, de egy próbát megér!

Egyébként így látatlanba még egy dolog zavar: nem volt elírva az "E" meghajtó mérete? MB helyett GB? Sok notebook gyártó ui. nem adja oda fizikai CD vagy DVD formában a Win valamely verzióját, hanem spec. lemezkép (image) formában egy rejtett partíción tárolja, s vész esetén onnan előhívható (nyilván minden felhasználói beállítást, adat a repair funkció használata során elvész...)

A képernyő peremén lévő típus a lényeg! :-)

Egyébként a google sokat segít (nekem is)!
Ez a ACERDATA, ACERSERVICE partíciók akkor kellenek, ha a nincsenek kéznél (elvesztek) az eredeti gyári CD-k. (Bár nem vagyok angol szakmai tolmács - sem!)

Amikor üzembehelyezésre került korábban a notebook, csak a "C:\" partíció volt használható (elérhető)? Vagy már akkor is látható (írható) volt a D:\; E?\ is?

Biztosra akarok menni...

Vadonatúj korában csak "C:\" partíció volt látható, úgy emlékszem.
Nem tudom már, hogy mikortól lett a másik kettő is látható. Talán már régebben volt rajta helyreállítás futtatva...

PS: köszönöm a Google-tippet - természetesen én is keresgéltem, csak már annyiszor és annyi "jótanácsot" találtam szerte az Interneten a Windows berhelésére, hogy ezért inkább itt kérdezem meg a hozzáértőket.

Akkor az van, amit korábban is gondoltam: a nagyobb ACERDATA tartalmazza magát az XP-t, az ACERSERVICE pedig az egyéb, az újratelepítéshez szükséges segédadatokat. Hát az előbb említett BartPE CD mondjuk már 3 éves (kissé elavult), de valami hasonló van a neten szerintem, amivel eféleképp kitakarítható a kérdéses C:\ partíció, illetve lementhetőek a fontos állományok.
Bár akkor erre a célra elég egy valamilyen Linux Live CD is, egy pl. külső adattárolóval (akár pen-drive is jó), s arra kimentegetni a fontos állományokat (pl. Word, Excel, stb.), oszt utána nyugodtan mehet a gyalu (repair)...
Gondolom most sem a vírusos gépről netezel, tehát szerezni/tölteni kellene egy olyan terjesztést, ami tartalmaz vírusirtót is, bár az meg nem lesz jó a Win specifikus barmolásokra...
Csak kivenném a francba a notebookból azt a vinyót (lásd fentebb)...
Ha nem tudod/akarod saját magad csinálni, keríts valakit, aki biztosan ért hozzá és bízd rá! :-)
Így messziről hirtelen nincs jobb ötletem. A megoldás kapuja környékén vagy valahol... :-)
Megyek aludni.

( jkop | 2009. 12. 27., v – 00:04 )

Nekem az Avast boot-idejű keresése már párszor megmentette az életem, a registryt pedig Glary Utilitiessel tartottam karban több-kevesebb sikerrel.

Csatlakozva ehhez a válaszhoz is, az Avast! Professional verzió a jobb, ha úgy tetszik az okosabb (viszont az már fizetős kategória). A Home se rossz(abb), csak néhány dologban lebutították! LINK
60 napig bárki próbálgathatja a demót, de az ingyenes és magyar nyelvű regisztrációt követően magán célra 12 hónapig használható - törvényesen!

de ez egy autórádió, oké hogy bőrözhető, de hogy alapértelmezésben ilyen _használhatatlanságig_ ronda (tehát nem (csak) szubjektíve nem tetszik), meg se néztem hogy van-e valami nyúzott téma.. egyszerű előítélet, aminek ilyen a felülete egyszerűen ki sem merem próbálni, kinőttem én már a shareware meg pinkneon a kicsi alá időszakból :)

( sany | 2009. 12. 27., v – 00:28 )

A Nod32-t én is lecseréltem, avast free edisönre.
Az avast bizonyított is azonnal.

( meepmeep v | 2009. 12. 27., v – 04:18 )

szerintem a kezi megoldas a legjobb, azt kell elerni, hogy a malicsusz program ne induljon el rendszerinditasnal:

safe modba bootolva, regedit, HKEY_LOCAL_MACHINE es CURRENT_USER alatt Microsoft/Windows/CurrentVersion/Run alatt kitorolsz minden gyanus bejegyzest, valamint Start menu/Startup alol is.
esetleg a windows services alatt is erdemes lehet megnezni, nem inditja-e ott magat a virus.
elvileg ennek a modszernek mukodnie kene, vagy van meg valami mas modja is a kartekony programnak hogy elinditsa magat rendszerinditaskor?

( fenyvesi v | 2009. 12. 27., v – 05:44 )

Nekem is ilyen laptopom van.

Leírhatnád, hogy milyen CD-k vannak hozzá! Nekem 6-7 éve megvan a gép és már többször kellett újratelepítenem a gyári CD-k segítségével...

Végre most megtaláltam a CD-ket!
A következőket adták hozzá:
Disk 1 System CD
Disk 2-1 Recovery CD (Hungarian)
Disk 2-1 Recovery CD (English)
Disk 2-1 Recovery CD (Russian)

Találtam egy papírt is, amin leírják, hogy mindent le kell menteni a gépről, majd a System CD-ről kell bootolni, és Full HDD Rebuild-et választva a kívánt Recovery CD-ről fog újraépülni a rendszer.
Meglátjuk.
Egyelőre még a mentés folyik, dokumentumok szintjén is nagy a káosz azon a gépen. :)

( Ewkins | 2009. 12. 27., v – 13:23 )

Ezt tedd:

Újratelepítés nLite-vel testreszabott telepítő CD-ről. Integráld bele az SP3-at és az azóta kijött frissítéseket, valamint drivereket.
A telepítő tegye fel a COMODO Internet Security-t (ingyenes tűzfal és vírusírtó) a Windows Firewall helyett.

Telepítés után indítsd el a Windows Update-et.

Állítsd a tűzfalat Safe Mode-ra, készíts a telepített alkalmazásokról egy listát és tedd őket whitelist-re (csoportosítsd őket profilonként, pl. webböngésző, FTP kliens és úgy állítsd be mit tehetnek és mit nem), minden mást blacklistre.

Firefox-ot használj és telepíts hozzá NoScript-et.

Kizárólag ingyenes vagy megvásárolt, legális szoftvereket használj. Ez fontos! Ha ez nem megoldható, akkor felejtsd el. Ne telepíts fel toolbarokat.

Ezek után 100%, hogy nem lesz több problémád a vírusokkal, nekem sincs.

Ami kell hozzá egy legális Windows XP példány, amit átmegy a WGA ellenőrzésen, ha ez nincs akkor felejtsd el vagy vásárolj egyet.

Ha akarod használhatod a rendszergazda fiókot, a COMODO Defense+ hatékonyabb védelem a korlátozott fióknál.