| | |
| Stránka: 1 z 1
| [ Príspevkov: 10 ] | |
Autor | Správa |
---|
Registrovaný: 12.02.08 Prihlásený: 17.12.23 Príspevky: 899 Témy: 41 Bydlisko: Trenčín | Napísal F!LL: 23.07.2012 22:50 | |
|
Zdravím odbornú verejnosť
Dostal sa mi do rúk ntb (nejaký drahý asus) s tým, aby som dal do poriadku jeho chabú funkčnosť.
Po odstránení problémov s nefungujúcim štartovaním win7 som sa nestačil diviť.
PC bol odborným užívaním svojho majiteľa obohatený o 5 antivírusových a spywarových programov, čo som samozrejme tiež napravil. Avšak zostávalo dokončiť likvidáciu hromady vírusov a tu nastal problém.
Po odstránení pochybných AV programov zostal v PC len riadne licencovaný ESS 5. Lenže jeho funkčnosť akosi zlyhávala. AV nebol schopný aktualizácie, ani scanu systému, proste mrtvolka bežiaca na pozadí.
Rozhodol som sa ho teda odinštalovať a následne znovu nainštalovať. A... zádrheľ, síce odinštalovanie prebehlo bez problému, začala protestovať opätovná inštalácia. Ako dôvod zlyhania inštalátor vypisoval, že nebolo možné ukončiť službu ekrn (Eset service).
Prvé, čo ma napadlo, nekorektne odinštalovaný antivirus. Riešil som to teda presne podľa tohoto postupu: http://kb.eset.sk/esetkb/index?page=content&id=SOLN2289
Nepomohlo...
Druhé riešenie bolo naštartovať systém (služba ekrn nesklamala a nabehla, ako sa patrí) a jednoducho službu vypnúť v taskmanageri. (alebo možnosti v nástroji "Services")
Nepomohlo... Službu nebolo možné pod správcovským účtom vypnúť. Dokonca sa na ňu neviaže žiaden proces.
Tretie riešenie bolo skúsiť zakillovať proces príkazom "taskkill /f" cez commandera.
Nepomohlo... já naivka.
Tak za štvrté, skúsim zakázať spúšťanie služby v msconfigu. Taktiež bez výsledku, pretože msconfig nemal o takejto službe ani šajn, takže:
Nepomohlo...
System restore tiež bez výsledku... (Taký posledný výkrik do tmy)
Absolvovanie rovnakého postupu v núdzovom režime, to isté.
Samozrejme som po ekrn službe začal pátrať, no zdroja som sa nedopátral. Služba beží a neviaže sa na žiaden proces, takže jednoduchá cesta na vyhľadanie zlyhala. Registre taktiež bez stopy. Po ESS5 v pc teda nezostalo nič, než bežiaca služba ekrn.
Má niekto nejaký nápad alebo skúsenosť, ako docieliť zrušenie "údajnej" ekrn služby? (Údajnej, lebo začínam pochybovať, že ide o pozostatok AV Esetu). Samozrejme (a pravdepodobne) som väčšinu (ak nie všetky) vírusy odstránil za pomoci iných voľne dostupných programov ale ESS je proste riadne zakúpený a musí na danom PC bežať. Ešte podotýkam, že OS musí zostať zachovaný.
Vopred ďakujem za cenné rady.
_________________ CPU: Intel Core i7-12700KF MB: ASUS TUF Z690-PLUS RAM: Kingston Fury Beast 64GB DDR5 6000MHz CL36 VGA: ASUS TUF RTX 4070Ti OC HDD1: SSD Kingston Fury Renegade 1TB HDD2: Apacer AS2280Q4 2TB HDD3: WD Blue 1TB 7200rpm PSU: Seasonic Vertex GX-1000 CASE: Cougar Archon 2 Mesh RGB |
|
Registrovaný: 29.12.10 Prihlásený: 25.04.24 Príspevky: 13842 Témy: 124 Bydlisko: Zvolen |
Pohladaj v "Ovladaci panel" -> "Nastroje na spravu" -> "Services" -> "ESET Service"..
Spustanie zmen na "Odpojeny" a restartuj system..
_________________ PC1: CPU Intel Core2 Quad Q9550 2.83GHz + Scythe Ashura SCASR-1000 | MB MSI P45-8D Memory Lover | RAM Kingston DDR2-1066 HyperX 4x2GB | VGA NVIDIA Quadro K4000 3GB | SSD Intel 520 Series 2x120GB RAID0 | HDD WD RE3 2x1TB RAID0 + WD Caviar Blue 2TB + WD Caviar Blue 500GB | DVD±RW Samsung SH-S224DB | DVD-ROM Plextor PX-130A | CD-RW Plextor Premium | FDD + Card Reader Teac FD-CR7 | Audio Creative SB Audigy 2 ZS Platinum | TV AVerTV Hybrid+FM PCI A16D | PS Gigabyte ODIN Pro 550W Modular | Keyboard Fujitsu KB955 | Mouse ROCCAT Kone v2 + SteelSeries QcK mini | LCD Fujitsu P27T-7 LED + Fujitsu P24W-6 IPS PC2: HP ENVY Phoenix h9 | CPU Intel i7-3770K 3.50GHz | RAM Nanya DDR3-1600 4x4GB | VGA NVIDIA GeForce GTX 1060 6GB | SSD Samsung PM871a 512GB + Crucial MX500 500GB | HDD WD Gold 2TB | DVD±RW HP GH82N | LCD Fujitsu P27T-7 LED + Fujitsu P24W-6 IPS (shared) PC3: Dell Precision T1650 | CPU Intel Xeon E3-1240 v2 3.40GHz | RAM Samsung DDR3-1600 4x4GB | VGA NVIDIA Quadro M2000 4GB | SSD Samsung PM871 256GB | HDD Seagate 500GB | DVD±RW Philips DH-16ACS NB1: Fujitsu LIFEBOOK S782 vPro | 14" HD+ | CPU Intel Core i7-3540M 3.0GHz | RAM 2x8GB | SSD Samsung 850 PRO 2TB | 4G/LTE w/GPS | 2nd Battery | 2nd HDD | Port Replicator NB2: Fujitsu LIFEBOOK E782 | 15.6" FHD | CPU Intel Core i7-3632QM 2.2GHz | RAM 2x4GB | SSD Plextor M6 PRO 256GB | 3G/UMTS w/GPS | 2nd Battery 2in1: Fujitsu STYLISTIC Q702 vPro | 11.6" IPS HD | CPU Intel Core i5-3427U 1.8GHz | RAM 4GB | SSD Toshiba 256GB mSATA | 4G/LTE w/GPS NAS: Synology DS1515+ | CPU Intel Atom C2538 2.4GHz | RAM 2x8GB | Storage HDD Seagate IronWolf 4x4TB RAID5 + SSD Intel 520 Series 180GB |
|
Registrovaný: 12.02.08 Prihlásený: 17.12.23 Príspevky: 899 Témy: 41 Bydlisko: Trenčín | Napísal autor témy F!LL: 23.07.2012 23:11 | |
|
F!LL píše: (alebo možnosti v nástroji "Services")
Mohol som to viac rozpísať, no bohužiaľ bez výsledku aj tá možnosť. Po reštarte, bez ohľadu na nastavenie v services, ekrn služba vždy nabehla.
_________________ CPU: Intel Core i7-12700KF MB: ASUS TUF Z690-PLUS RAM: Kingston Fury Beast 64GB DDR5 6000MHz CL36 VGA: ASUS TUF RTX 4070Ti OC HDD1: SSD Kingston Fury Renegade 1TB HDD2: Apacer AS2280Q4 2TB HDD3: WD Blue 1TB 7200rpm PSU: Seasonic Vertex GX-1000 CASE: Cougar Archon 2 Mesh RGB |
|
Registrovaný: 12.10.06 Prihlásený: 25.04.24 Príspevky: 20312 Témy: 79 Bydlisko: Banska Byst... | Napísal shiro: 24.07.2012 1:04 | |
|
lol akoze, snazit sa zhodit hlavny proces esetu a myslet si ze sa to len tak podari....pekna naivita. Je to prave proti tomuto chranene, to ta mohlo napadnut hned.
Napada ma este spustit tam nejaky live linux a execko z ktoreho sa ta sluzba spusta natvrdo maznut alebo presunut inam. Uvidis co to potom urobi. Ak to zbehne, odregistrovat sluzbu prislusnym prikazom cez cmd a malo by to byt OK. Inac asi posledne co ti ostava je kontaktovat support esetu a uvidis.
_________________ Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM Xiaomi Mi 9 Lite 64GB |
|
Registrovaný: 12.02.08 Prihlásený: 17.12.23 Príspevky: 899 Témy: 41 Bydlisko: Trenčín | Napísal autor témy F!LL: 24.07.2012 1:38 | |
|
Shiro, dakujem za nazor, no pozorne si precitaj môj uvodny prispevok, je napisany zrozumitelne.
Ad 1: ekrn nema co hladat v pocitaci po odinstalovani esetu (dokonca sposobom odporucanym vydavatelom softwaru)
Ad 2: nezistil som ziadnu suvislost tej sluzby s nejakym *.exe suborom, tobôž s neexistujúcim ekrn.exe. Windows ma sice presmeruje po kliknuti na "prejst na proces" na zalozku procesy, ale iba na jej koniec bez oznacenia nejakeho beziaceho procesu.
Samozrejme, keby som sa dopatral zdroja tej sluzby, tak sem vôbec nepisem a rovno to zmazem mimo spusteneho systemu.
S kontaktovanim Esetu mas samozrejme pravdu a uz som tak ucinil. Lenze cakat na ich regulernu odpoved a nie zvasty o postupoch zverejnenych na webe, to skôr asi porodím.
Ale môzes mi prosim povedat, ako za pomoci cmd odregistrujem danu sluzbu, resp. nejaky spôsob, ako zistim zdroj tej sluzby? Zlozka, z ktorej sa to ma (udajne) spustat je davno cela nadobro prec.
EDIT: mam zobrazene skryte subory a zlozky i chranene subory OS.
_________________ CPU: Intel Core i7-12700KF MB: ASUS TUF Z690-PLUS RAM: Kingston Fury Beast 64GB DDR5 6000MHz CL36 VGA: ASUS TUF RTX 4070Ti OC HDD1: SSD Kingston Fury Renegade 1TB HDD2: Apacer AS2280Q4 2TB HDD3: WD Blue 1TB 7200rpm PSU: Seasonic Vertex GX-1000 CASE: Cougar Archon 2 Mesh RGB |
|
Registrovaný: 12.10.06 Prihlásený: 25.04.24 Príspevky: 20312 Témy: 79 Bydlisko: Banska Byst... | Napísal shiro: 24.07.2012 9:37 | |
|
_________________ Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM Xiaomi Mi 9 Lite 64GB |
|
Registrovaný: 29.12.10 Prihlásený: 25.04.24 Príspevky: 13842 Témy: 124 Bydlisko: Zvolen |
Takze ekrn.exe sa nenachadza nikde na disku? Skus este zalohovat image celeho systemu (ak mas moznost) a ak su vytvorene body obnovy, trochu s nimi zaexperimentovat (mozno aj zrusit cele obnovovanie systemu, aby sa zlozka System Volume Information vyprazdnila)..
Este skus pozriet, ci je to naozaj "ekrn.exe", malware s oblubou vyuziva nazvy, ktore su na prvy (niekedy aj druhy, treti..) pohlad rovnake, ale nejaka odchylka tam je - pri tomto mi napada asi len ekm.exe, eknr.exe..
_________________ PC1: CPU Intel Core2 Quad Q9550 2.83GHz + Scythe Ashura SCASR-1000 | MB MSI P45-8D Memory Lover | RAM Kingston DDR2-1066 HyperX 4x2GB | VGA NVIDIA Quadro K4000 3GB | SSD Intel 520 Series 2x120GB RAID0 | HDD WD RE3 2x1TB RAID0 + WD Caviar Blue 2TB + WD Caviar Blue 500GB | DVD±RW Samsung SH-S224DB | DVD-ROM Plextor PX-130A | CD-RW Plextor Premium | FDD + Card Reader Teac FD-CR7 | Audio Creative SB Audigy 2 ZS Platinum | TV AVerTV Hybrid+FM PCI A16D | PS Gigabyte ODIN Pro 550W Modular | Keyboard Fujitsu KB955 | Mouse ROCCAT Kone v2 + SteelSeries QcK mini | LCD Fujitsu P27T-7 LED + Fujitsu P24W-6 IPS PC2: HP ENVY Phoenix h9 | CPU Intel i7-3770K 3.50GHz | RAM Nanya DDR3-1600 4x4GB | VGA NVIDIA GeForce GTX 1060 6GB | SSD Samsung PM871a 512GB + Crucial MX500 500GB | HDD WD Gold 2TB | DVD±RW HP GH82N | LCD Fujitsu P27T-7 LED + Fujitsu P24W-6 IPS (shared) PC3: Dell Precision T1650 | CPU Intel Xeon E3-1240 v2 3.40GHz | RAM Samsung DDR3-1600 4x4GB | VGA NVIDIA Quadro M2000 4GB | SSD Samsung PM871 256GB | HDD Seagate 500GB | DVD±RW Philips DH-16ACS NB1: Fujitsu LIFEBOOK S782 vPro | 14" HD+ | CPU Intel Core i7-3540M 3.0GHz | RAM 2x8GB | SSD Samsung 850 PRO 2TB | 4G/LTE w/GPS | 2nd Battery | 2nd HDD | Port Replicator NB2: Fujitsu LIFEBOOK E782 | 15.6" FHD | CPU Intel Core i7-3632QM 2.2GHz | RAM 2x4GB | SSD Plextor M6 PRO 256GB | 3G/UMTS w/GPS | 2nd Battery 2in1: Fujitsu STYLISTIC Q702 vPro | 11.6" IPS HD | CPU Intel Core i5-3427U 1.8GHz | RAM 4GB | SSD Toshiba 256GB mSATA | 4G/LTE w/GPS NAS: Synology DS1515+ | CPU Intel Atom C2538 2.4GHz | RAM 2x8GB | Storage HDD Seagate IronWolf 4x4TB RAID5 + SSD Intel 520 Series 180GB |
|
Registrovaný: 12.02.08 Prihlásený: 17.12.23 Príspevky: 899 Témy: 41 Bydlisko: Trenčín | Napísal autor témy F!LL: 24.07.2012 13:38 | |
|
Samozrejme obraz disku mozem urobit.
S obnovenim systemu je problem, body obnovy sice existuju a system sa zacne "obnovovat" ale vzdy po niekolkych minutach zlyha so spravou ze bod obnovy bol pri obnovovani systemu poskodeny alebo odstraneny. Znovu ten isty bod obnovy uz nefunguje.
A bohuzial, nejde ani o ziadnu "napodobeninu" ekrn.exe.
To shiro:
Dakujem za navod do cmd, ale dopadlo to rovnako, proste prikaz nebolo mozne vykonat.
Nastroje vo windows som skusal este na zaciatku.
Dopracoval som sa v odomknutom administratorskom ucte k zastaveniu tej sluzby. Vypnut sa nedala len pod uzivatelskym uctom v ktorom bola sluzba vytvorena.
Problem to ale nevyriesilo. Pri instalacii ESS sa chyba zmenila z povodnej, kedy nemozno vypnut sluzbu ekrn, na chybu s odôvodnenim, ze si mam overit opravnenia na vytvaranie systemovych suborov.
Je viacmenej jasne, ze sa jedna o neprijemny virus, ktory je pravdepodobne za pomoci ostatnych AV nedetekovatelny, kedze Avast siel nainstalovat bez problemov.
Momentalne skusam nastroj avastu pre kontrolu pred zavedenim systemu, naslo sa par virusov dokonca aj v system volume information, ako pisal michalesku. Vcera som robil kontrolu za pomoci avastu vo windows, ta problem ale nenasla.
_________________ CPU: Intel Core i7-12700KF MB: ASUS TUF Z690-PLUS RAM: Kingston Fury Beast 64GB DDR5 6000MHz CL36 VGA: ASUS TUF RTX 4070Ti OC HDD1: SSD Kingston Fury Renegade 1TB HDD2: Apacer AS2280Q4 2TB HDD3: WD Blue 1TB 7200rpm PSU: Seasonic Vertex GX-1000 CASE: Cougar Archon 2 Mesh RGB |
|
Registrovaný: 12.10.06 Prihlásený: 25.04.24 Príspevky: 20312 Témy: 79 Bydlisko: Banska Byst... | Napísal shiro: 24.07.2012 16:04 | |
|
ono v pripade takehoto dosrateho OS je najrychlejsie a najefektivnejsie riesenie reinstalacia, insc sa s tym este budes babrat tyzden a aj tak sa ti bud nemusi podarit odstranit vsetky problemy, alebo sa mozu objavit problemy nove.
_________________ Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM Xiaomi Mi 9 Lite 64GB |
|
Registrovaný: 12.02.08 Prihlásený: 17.12.23 Príspevky: 899 Témy: 41 Bydlisko: Trenčín | Napísal autor témy F!LL: 24.07.2012 16:33 | |
|
Mas pravdu a je mi to jasne, bezne pristupujem k takemuto rieseniu, ked nejde o zachovanie dôlezitych dat, instalacii a zachovanie uzivatelskych kont. Ale prisiel som k miernemu postupu v probleme.
AVAST po kontrole pri restarte odhalil infikovany subor v c:\windows\system32\services.exe
Kedze sa jedna o systemovy subor, avast sa ho sice pokusi vyliecit a pise ze uspesne, ale zmazat ho nemozem a po opätovnej kontrole sa problem ozyva znova.
Momentalne nechavam dobehnut kontrolu a potom subor nahradim mimo windows. Ostatne hlasenia o malvare a virusoch sa viackrat neobjavili.
EDIT: Jedna sa o win32:Malware-gen. Navod na jeho odstranenie som už našiel. Ďakujem za rady.
_________________ CPU: Intel Core i7-12700KF MB: ASUS TUF Z690-PLUS RAM: Kingston Fury Beast 64GB DDR5 6000MHz CL36 VGA: ASUS TUF RTX 4070Ti OC HDD1: SSD Kingston Fury Renegade 1TB HDD2: Apacer AS2280Q4 2TB HDD3: WD Blue 1TB 7200rpm PSU: Seasonic Vertex GX-1000 CASE: Cougar Archon 2 Mesh RGB |
|
| Stránka: 1 z 1
| [ Príspevkov: 10 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|