Зловредный IEXPLORE.exe в оперативной памяти

[Рубцов]

У меня следующий вопрос. В фоновом режиме запускается файл IEXPLORE.exe (что характерно не iexplorer.exe) , повисев 3 секунды файл отключается. Это происходит с частотой 1 раз в 5-6 секунд. Сам браузер при этом не открывается, а любое активное окно (почтовый клиент, Word и т. д.) на время запуска файла iexplore.exe становиться неактивным. Очень раздражает . В ветках автозапуска реестра смотрел - нет iexplore.exe. Все сделал как в Вашем лечении. Вроде помогло, заранее Вам благодарен. Но все же интересно, что это был за вирус такой, и почему мой ESET Smart Security за 1080 рублей ничего с ним не смог сделать, а Ваши маленькие программульки его "снесли". :no:

avz_sysinfo.htmavz_sysinfo.htmhijackthis.log

avz_sysinfo.htm

avz_sysinfo.htm

hijackthis.log

[akoK]

Ох какой зоопарк.

Если вам не знаком файл Msissdk2.sys, выполните скрипт(если знаком не выполняйте первый скрипт):

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Msissdk2', 4);QuarantineFile('Msissdk2.sys','');DeleteFile('Msissdk2.sys');DeleteService('Msissdk2');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится

Потом

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('hpdj', 4);QuarantineFile('C:\WINDOWS\system32\srGPGgmY.exe','');QuarantineFile('C:\WINDOWS\system32\OefSO1r8.exe','');QuarantineFile('C:\WINDOWS\inetloader.dll','');QuarantineFile('C:\Windows\AutoUpdateWin31.dll','');QuarantineFile('C:\WINDOWS\Mstray.exe','');QuarantineFile('C:\Documents and Settings\Максим\Рабочий стол\X360 Backup & Firmware ToolBox (02-2008)\Firmware Tools\DosFlash v1.4 Beta\DosFlash32\giveio.sys','');QuarantineFile('Msissdk2.sys','');QuarantineFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\hpdj.exe','');QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');DeleteFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\hpdj.exe');DeleteFile('C:\WINDOWS\Mstray.exe');DeleteFile('C:\Windows\AutoUpdateWin31.dll');DeleteFile('C:\WINDOWS\inetloader.dll');DeleteFile('C:\WINDOWS\system32\OefSO1r8.exe');DeleteFile('C:\WINDOWS\system32\srGPGgmY.exe');SysCleanAddFile('C:\WINDOWS\Mstray.exe');DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');DelBHO('{f015f320-ab08-11db-abbd-0800200c9a66}');DelBHO('{A75E294E-C047-4D29-B07E-37B792881BEF}');DeleteService('hpdj');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Пофиксить в HijackThis следующие строчки

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe 

Изменено 21 июля, 2008 пользователем akoK

[SkyBon]

iexplorer.exe - это как-раз таки и есть Internet Explorer.

[akoK]

Обновите базы AVZ и повторите логи.

iexplorer.exe - это как-раз таки и есть Internet Explorer.

IE Вы запускали когда готовили логи?

P>S> Посмотрим на втором проходе.

[Рубцов]

Да, он был iexplorer.ru в диспетчере задач, а что нужно еще сам браузер в панели задач запускать?

[Рубцов]

Уважаемый akok. Представляю обновленные логи, как вы мне и сказали.

avz_sysinfo.htmavz_sysinfo.htmhijackthis.log

И еще один вопрос. Сидит у меня в оперативке файл mDNSResponder.exe, а находится по адресу Program Files\Bonjour\mDNSResponder.exe и там еще один файлик mdnsNSP.dll. Эта папка удалятся не хочет, в безопасном режиме тоже.

avz_sysinfo.htm

avz_sysinfo.htm

hijackthis.log

[akoK]

Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4.

Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера.

Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft.

Карантин продублируйте мне akok<at>pisem.net с указанной ссылкой на тему. (at=@)

[akoK]

Относительно логов....мне нужен тоже карантин.

[Рубцов]

Так я Вам отправил

[akoK]

windrvNT.sys - сообщите, что Вам ответил вирлаб.

[Рубцов]

Цитирую, что было в письме:

"nvshell.dll, windrvNT.sys - вредоносный код в файлах не обнаружен."

[akoK]

Удалим сервис Bonjour.

Пуск/Выполнить там набрать cmd и нажать Enter, появится чёрное окно командной строки. Перейти в папку где находится файл mDNSResponder.exe, для этого надо выполнить команду cd c:\program files\bonjour (набрать это ручками в командной строке), затем Enter. Потом выполнить 2 команды "type mDNSResponder.exe -remove" и "rename mdsnNSP.dll mdsnNSP.bak". После этого перезагрузить компьютер и удалите дирректорию c:\program files\bonjour.

или

Для начала создайте CMD-файл (в любом текстовом редакторе, с любым именем файла, но с расширением CMD) со следующим содержанием:

cd c:\program files\bonjour

type mDNSResponder.exe -remove

rename mdsnNSP.dll mdsnNSP.bak

и запустите его. Перезагрузите компьютер и удалите дирректорию c:\program files\bonjour.

Какие проблемы остались?

Изменено 21 июля, 2008 пользователем akoK

[Рубцов]

Уважаемый akok. Конкретных проблем уже нет. Вы их решили, за что Вам большое спасибо. Сейчас меня терзает банальное любопытство. В моей оперативке есть приложения, происхождения которых я не знаю, и в автозагрузках их нет. ПОДСКАЖИТЕ, где хороший справочник по процессам и службам. В интернете поискал - нашел половину, разобрался, остальные - нет или не очень разобрался.

Вот они:

nhksrv.exe

alg.exe

osd.exe

Traymon.exe

PnkBstrA.exe

nvsvc32.exe

NBservice.exe

SDMCP.exe

ekrn.exe

Меня лично смущает процесс PnkBstrA.exe

[Alidark]

Процессы pnkbstra.exe, pnkbstrb.exe и PnkBstrK.exe отвечают за работу PunkBuster - системы обнаружения нечестных игроков в онлайн-играх.

Система анти-спам бот :bye1: