Рубцов Posted July 21, 2008 Report Share Posted July 21, 2008 У меня следующий вопрос. В фоновом режиме запускается файл IEXPLORE.exe (что характерно не iexplorer.exe) , повисев 3 секунды файл отключается. Это происходит с частотой 1 раз в 5-6 секунд. Сам браузер при этом не открывается, а любое активное окно (почтовый клиент, Word и т. д.) на время запуска файла iexplore.exe становиться неактивным. Очень раздражает . В ветках автозапуска реестра смотрел - нет iexplore.exe. Все сделал как в Вашем лечении. Вроде помогло, заранее Вам благодарен. Но все же интересно, что это был за вирус такой, и почему мой ESET Smart Security за 1080 рублей ничего с ним не смог сделать, а Ваши маленькие программульки его "снесли". :no: avz_sysinfo.htmavz_sysinfo.htmhijackthis.log avz_sysinfo.htm avz_sysinfo.htm hijackthis.log Link to comment Share on other sites More sharing options...
akoK Posted July 21, 2008 Report Share Posted July 21, 2008 (edited) Ох какой зоопарк. Если вам не знаком файл Msissdk2.sys, выполните скрипт(если знаком не выполняйте первый скрипт): AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Msissdk2', 4);QuarantineFile('Msissdk2.sys','');DeleteFile('Msissdk2.sys');DeleteService('Msissdk2');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится Потом AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('hpdj', 4);QuarantineFile('C:\WINDOWS\system32\srGPGgmY.exe','');QuarantineFile('C:\WINDOWS\system32\OefSO1r8.exe','');QuarantineFile('C:\WINDOWS\inetloader.dll','');QuarantineFile('C:\Windows\AutoUpdateWin31.dll','');QuarantineFile('C:\WINDOWS\Mstray.exe','');QuarantineFile('C:\Documents and Settings\Максим\Рабочий стол\X360 Backup & Firmware ToolBox (02-2008)\Firmware Tools\DosFlash v1.4 Beta\DosFlash32\giveio.sys','');QuarantineFile('Msissdk2.sys','');QuarantineFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\hpdj.exe','');QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');DeleteFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\hpdj.exe');DeleteFile('C:\WINDOWS\Mstray.exe');DeleteFile('C:\Windows\AutoUpdateWin31.dll');DeleteFile('C:\WINDOWS\inetloader.dll');DeleteFile('C:\WINDOWS\system32\OefSO1r8.exe');DeleteFile('C:\WINDOWS\system32\srGPGgmY.exe');SysCleanAddFile('C:\WINDOWS\Mstray.exe');DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');DelBHO('{f015f320-ab08-11db-abbd-0800200c9a66}');DelBHO('{A75E294E-C047-4D29-B07E-37B792881BEF}');DeleteService('hpdj');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Edited July 21, 2008 by akoK Link to comment Share on other sites More sharing options...
SkyBon Posted July 21, 2008 Report Share Posted July 21, 2008 iexplorer.exe - это как-раз таки и есть Internet Explorer. Link to comment Share on other sites More sharing options...
akoK Posted July 21, 2008 Report Share Posted July 21, 2008 Обновите базы AVZ и повторите логи. iexplorer.exe - это как-раз таки и есть Internet Explorer. IE Вы запускали когда готовили логи? P>S> Посмотрим на втором проходе. Link to comment Share on other sites More sharing options...
Рубцов Posted July 21, 2008 Author Report Share Posted July 21, 2008 Да, он был iexplorer.ru в диспетчере задач, а что нужно еще сам браузер в панели задач запускать? Link to comment Share on other sites More sharing options...
Рубцов Posted July 21, 2008 Author Report Share Posted July 21, 2008 Уважаемый akok. Представляю обновленные логи, как вы мне и сказали. avz_sysinfo.htmavz_sysinfo.htmhijackthis.log И еще один вопрос. Сидит у меня в оперативке файл mDNSResponder.exe, а находится по адресу Program Files\Bonjour\mDNSResponder.exe и там еще один файлик mdnsNSP.dll. Эта папка удалятся не хочет, в безопасном режиме тоже. avz_sysinfo.htm avz_sysinfo.htm hijackthis.log Link to comment Share on other sites More sharing options...
akoK Posted July 21, 2008 Report Share Posted July 21, 2008 Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4. Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера. Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft. Карантин продублируйте мне akok<at>pisem.net с указанной ссылкой на тему. (at=@) Link to comment Share on other sites More sharing options...
akoK Posted July 21, 2008 Report Share Posted July 21, 2008 Относительно логов....мне нужен тоже карантин. Link to comment Share on other sites More sharing options...
Рубцов Posted July 21, 2008 Author Report Share Posted July 21, 2008 Так я Вам отправил Link to comment Share on other sites More sharing options...
akoK Posted July 21, 2008 Report Share Posted July 21, 2008 windrvNT.sys - сообщите, что Вам ответил вирлаб. Link to comment Share on other sites More sharing options...
Рубцов Posted July 21, 2008 Author Report Share Posted July 21, 2008 Цитирую, что было в письме: "nvshell.dll, windrvNT.sys - вредоносный код в файлах не обнаружен." Link to comment Share on other sites More sharing options...
akoK Posted July 21, 2008 Report Share Posted July 21, 2008 (edited) Удалим сервис Bonjour. Пуск/Выполнить там набрать cmd и нажать Enter, появится чёрное окно командной строки. Перейти в папку где находится файл mDNSResponder.exe, для этого надо выполнить команду cd c:\program files\bonjour (набрать это ручками в командной строке), затем Enter. Потом выполнить 2 команды "type mDNSResponder.exe -remove" и "rename mdsnNSP.dll mdsnNSP.bak". После этого перезагрузить компьютер и удалите дирректорию c:\program files\bonjour.или Для начала создайте CMD-файл (в любом текстовом редакторе, с любым именем файла, но с расширением CMD) со следующим содержанием: cd c:\program files\bonjour type mDNSResponder.exe -remove rename mdsnNSP.dll mdsnNSP.bak и запустите его. Перезагрузите компьютер и удалите дирректорию c:\program files\bonjour. Какие проблемы остались? Edited July 21, 2008 by akoK Link to comment Share on other sites More sharing options...
Рубцов Posted July 22, 2008 Author Report Share Posted July 22, 2008 Уважаемый akok. Конкретных проблем уже нет. Вы их решили, за что Вам большое спасибо. Сейчас меня терзает банальное любопытство. В моей оперативке есть приложения, происхождения которых я не знаю, и в автозагрузках их нет. ПОДСКАЖИТЕ, где хороший справочник по процессам и службам. В интернете поискал - нашел половину, разобрался, остальные - нет или не очень разобрался. Вот они: nhksrv.exe alg.exe osd.exe Traymon.exe PnkBstrA.exe nvsvc32.exe NBservice.exe SDMCP.exe ekrn.exe Меня лично смущает процесс PnkBstrA.exe Link to comment Share on other sites More sharing options...
Alidark Posted November 20, 2008 Report Share Posted November 20, 2008 Процессы pnkbstra.exe, pnkbstrb.exe и PnkBstrK.exe отвечают за работу PunkBuster - системы обнаружения нечестных игроков в онлайн-играх. Система анти-спам бот :bye1: Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now