[ Mauricije @ 19.01.2006. 20:18 ] @
Registry editing has been disabled by your administrator.

Kaze meni moj Windows.

Ne mogu pokrenuti regedit. Task Manager , a sve ostalo radi ok.
Hajd sve u redu ali bez Task Managera ne mogu da radim, a on "posiveo" u Startu.
Virusa nema, spywarea takodje, samo sumnjam na Anti-Blaxx crack za NFS MW, ali volim igru, pa ako ne nadjem resenje moracu je obrisati, ali prvo da vidim da nije nesto drugo.
SiD nadje problem u registriju kao Disabled Task Manager i resi ga, ali cim restartujem on opet ne radi i svaki put ista poruka sa pocetka. Pri dizanju sistema se ne dize nista sumnjivo, sem mozda winlogona koji radi celo vreme, a nekada zna da jede i radnu memoriju, ali samo nekada. Pa ako znate da i to resim jer mi je sumnjiv taj winlogon koji je znao i da se ne dize, a ja ga ne smem pipati, jer ako zeznem ne da mi se ponovo instalirati sistem.
Ako ste voljni pomozite, a ako niste nemojte odmoci.
Hvala!

[Ovu poruku je menjao Goran Cvijanovic dana 19.01.2006. u 21:19 GMT+1]
[ buljko @ 19.01.2006. 20:57 ] @
Diazanje sistema sa svim pratecim softwareom traje 2-3 sata
a ti si do sada pogubio ko zna koliko vremena i zivaca.

[Ovu poruku je menjao buljko dana 19.01.2006. u 21:58 GMT+1]
[ BytEfLUSh @ 20.01.2006. 01:39 ] @
Pretraga ES-a je jedna vrlo korisna stvarčica koja bi trebala da se što češće koristi od strane korisnika ovog foruma. No, u ovom slučaju, moderator se ipak potrudio da uradi korisnikov zadatak koji se trebao obaviti pre postavljanja pitanja i našao je sledeću poruku među rezultatima:

http://www.elitesecurity.org/poruka/973283

Trebalo bi da pomogne.
[ Shadowed @ 20.01.2006. 07:13 ] @
Ili koristi third party Registy editor i omoguci Regedit i Task Manager u Registry-u (odgovarajuce kljuceve mozes pronaci na forumu).
To sto se ovi ponovo iskljucuju znaci ili da imas podesenu grupnu polisu tako ili da imas malware.
[ noviKorisnik @ 20.01.2006. 07:49 ] @
Vidiš, nije mi ni palo na pamet da vidim radi li mi regedit :-) Nego, navukao sam neku glupost i baš me interesuje mogu li oporaviti sistem.

Instalirao sam Nod32 i stalno mi javlja za nekog trojanca dr.exe, to redovno upucavamo, ali izgleda da se priča ne završava na tome. Simptomi se unekoliko razlikuju od navedenih u ovoj i linkovanoj temi.

Rekao bih da mi je aktivan proces koji blokira taskmana - pojavi se na trenutak i odmah potom nestaje.

Isto se dešava i s komand promptom - može da bude kritično ako nisam u stanju da koristim ovaj programčić, neophodan su mi je čim krenem da radim nešto ozbiljnije.

Ajd sad... kad sam već krenuo... ima još :-) Ponosni sam korisnik adsl konekcije - ali nešto konstantno vuče neki deo protoka s računara, čak i kad su sve aplikacije zatvorene (da imam taskmana, redom bih ubijao procese ;-).

Pored ovoga, rekao bih da mi nešto blokira rad s browserom - nakon dužeg korišćenja mi guta zahteve, moram po više puta da kliknem na link da bi se otvorila nova stranica, a i onda se otvara nekompletna jer se pogubi pola slika ili css (blokira se zahtev za tim fajlovima). Na kraju dolazi do potpune blokade, ne prolazi baš ništa. Ovaj simptom nije vezan za browser, tako ide i u ostalim. U isto vreme chat ide u najboljem redu, kao i neke druge džidže za net koje koristim pokadkad.
[ Mauricije @ 20.01.2006. 07:59 ] @
Uz duzno postovanje svima: koristio sam pretragu i nasao datu temu, ali mi ona nije pomogla. gpedit.msc User Configuration - Administrative Templates i dalje nema, ima Win Media player i nista drugo pa nisam uspeo. Pokusacu poslusati Shadoweda.
Hvala svima!
[ Shadowed @ 20.01.2006. 08:22 ] @
nK, Pokusaj sa ProcExporer-om sa www.sysinternals.com umesto Task Manager-a.
[ noviKorisnik @ 20.01.2006. 09:21 ] @
ok, javiću kad se kad odradim to ... Nego - veća frka je za cmd - ta stvarčica mi je potrebna. U Safe mode nemam frke sa svim tim, ali ...
[ Gandalf The Gray @ 20.01.2006. 09:29 ] @
Evo pokusaj i ovo

http://www.dougknox.com/xp/utils/xp_taskmgrenab.htm
[ Shadowed @ 20.01.2006. 09:41 ] @
Kad ubijes taj proces koji ti ubija cmd, onda ces imati i cmd, zar ne :)?
[ noviKorisnik @ 20.01.2006. 09:44 ] @
Da, samo da nabodem koji je ...


( u što je dobro ovo mail obaveštavanje :-)
[ Mauricije @ 20.01.2006. 14:13 ] @
Uz programcic sa Gandalfovog linka proradio je Task mgr, ali ne i regedit, ali on mi i nije toliko potreban.
Hvala svima na razumijevanju i pomoci!
[ noviKorisnik @ 20.01.2006. 18:12 ] @
Evo me :-)

Stavio sam Process Explorer i našao da lsass.exe (predstavljen kao LSA Shell - Export Version) upucava cmd.exe ... Odoh da vidim šta je to lsass (baš je ass).

... aha, recimo ovde - http://www.neuber.com/taskmanager/process/lsass.exe.html
Citat:
"lsass.exe" is the Local Security Authentication Server. It verifies the validity of user logons to your PC/Server. It generates the process responsible for authenticating users for the Winlogon service. ...


Inače, suspenzija lsassa omogućava mi i rad regedita.

[Ovu poruku je menjao noviKorisnik dana 20.01.2006. u 19:24 GMT+1]
[ noviKorisnik @ 20.01.2006. 20:15 ] @
Ali, lsass je potreban fajl, i nije do njega. Našao sam džubre. http://www.google.com/search?q=ieexplorer.exe

E sad ... suspendovao sam proces i preimenovao fajl - moram li da brišem onu gomilu reg entrija što stoji u uputstvima ili bi ovo bilo dovoljno? (mrzi me da radim ono što ne mora)
[ buljko @ 20.01.2006. 21:07 ] @
http://www.auditmypc.com/process/isass.asp
http://search.yahoo.com/search...toggle=1&cop=&ei=UTF-8

Zar je moguce da ti antivirus ili firewall nije nikada prijavio
> Isass exploit atack < ?

[Ovu poruku je menjao buljko dana 20.01.2006. u 22:13 GMT+1]
[ mtraj @ 20.01.2006. 21:50 ] @
@noviKorisnik,
Bez uvrede, ali zar ne misliš da ti je mašina zrela za "clean instal".
Ja (verovatno) imam problema sa Obsessive Compulsive Disorder, ali nikad ne bih
mogao da istrpim da toliko različitih stvari na OS-u u isto vreme ne radi kako treba.

A oko lsass-a. Da, to jeste potreban (neophodan) proces, i mora da bude aktivan.
Ja imam samo 8 services na automatic + 3 na manual, međutim lsass uvek bude prisutan u task manageru, bez obzira na tako mali broj servisa.

Ovo što te strefilo - ieexplorer, je, čini mi se, spyware a ne virus, tako da ti nod neće mnogo pomoći. Ovo ti sad pišem samo po sećanju, ali mislim da neću mnogo da pogrešim u proceduri:
Citat:
noviKorisnik: moram li da brišem onu gomilu reg entrija što stoji u uputstvima ili bi ovo bilo dovoljno? (mrzi me da radim ono što ne mora)

Mora, mora

Pokreni i update-uj Ad-Aware, pa pobriši sve fajlove i reg-enteries koje bude pronašao - pa restart. Onda opet scan, pa tek na kraju pokreni browser koji koristiš, pa lupi i treći scan. Ovo sve zbog toga što pojedini spyware ubace "sleepere" u system32 koji se ne vide uvek, pa taman kad pomisliš da si sve počistio, onda taj skriveni .dll (matica, mother... gledao si Alien-a svo ono đubre opet vrati u registar i foldere...

Ovo bi trebalo da, privremeno, reši problem, dok ne skupiš snage/volje/vremena za re/instalaciju.
Jer ipak, nema ništa lepše od "new car smell"
[ noviKorisnik @ 20.01.2006. 22:23 ] @
@ buljko - nije bio isass već lsass, znači ok proces, jedino što je njegova blokada onesposobljavala ieexplorer, pa sam zato pomislio da sam rešio ... no pojavili su se drugi problemi pa shvatih da treba malo bolje da pronjuškam.

@ mtraj - biće jednog dana i te snage, ne brini ;-) - inače, prekinut je i onaj čudni upload ... ova sitnica je je promakla ad-awareu koji se odvrteo više puta, eh :-)
[ Shadowed @ 21.01.2006. 06:33 ] @
Uputstvo sa http://www.spyany.com/program/article_adw_rm_AdBlaster.html kaze:
Citat:
1. Open Task Manager (CTRL+ALT+DEL).
2. From the process list, find the process ieexplorer.exe and terminate it.
3. Open the registry editor(Click Start > Run, type 'regedit')/
4. Search for and delete the following entries(if exist):
HKEY_CLASSES_ROOT\clsid\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_CLASSES_ROOT\clsid\{e9147a0a-a866-4214-b47c-da821891240f}
HKEY_CLASSES_ROOT\clsid\{eb6d8baa-704a-415b-bc0a-3468bfae924e}
HKEY_CLASSES_ROOT\iexplorr11.clsdw
HKEY_CLASSES_ROOT\iexplorr11.clsis
HKEY_CLASSES_ROOT\iexplorr22.clsdw
HKEY_CLASSES_ROOT\iexplorr22.clsis
HKEY_CLASSES_ROOT\interface\{0b60cef5-2431-4f92-82cf-03fee5bdc762}
HKEY_CLASSES_ROOT\interface\{7fb04de1-4340-4002-9d9e-3b6913ae6953}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e9147a0a-a866-4214-b47c-da821891240f}
HKEY_CLASSES_ROOT\typelib\{b224aff4-0561-4b35-a91a-6f339152a482}
HKEY_CLASSES_ROOT\typelib\{d6862a20-1dd6-11d3-bb7c-444553540000}
HKEY_LOCAL_MACHINE\clsid\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_LOCAL_MACHINE\clsid\{e9147a0a-a866-4214-b47c-da821891240f}
HKEY_LOCAL_MACHINE\software\classes\clsid\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_LOCAL_MACHINE\software\classes\clsid\{e9147a0a-a866-4214-b47c-da821891240f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{e9147a0a-a866-4214-b47c-da821891240f}

5. Open a Dos command prompt window(from Start > Programs > Accessory), enter the following commands:

For Windows 2000 ,NT or XP,

cd %WinDir%/System32
regsvr32 /u ngpw34.dll
regsvr32 /u ngsw31.dll
regsvr32 /u ngpw34.dll
regsvr32 /u ngsw31.dll

Or for Windows 98, Me,

cd %WinDir%/System
regsvr32 /u ngpw34.dll
regsvr32 /u ngsw31.dll
regsvr32 /u ngpw34.dll
regsvr32 /u ngsw31.dll

6. Delete the above dll files.


Od ovoga ti si uradio 1, 2, 3, 4. Pod obavezno uradi 6 a 5 nije obavezno ali je pozeljno. Ili bar:
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e9147a0a-a866-4214-b47c-da821891240f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{e9147a0a-a866-4214-b47c-da821891240f}
[ noviKorisnik @ 21.01.2006. 15:50 ] @
Pokušao sam, ali ništa od toga nemam ... kanda već pobrisano ili nikad nije ni bilo :-)