Рубцов Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 У меня следующий вопрос. В фоновом режиме запускается файл IEXPLORE.exe (что характерно не iexplorer.exe) , повисев 3 секунды файл отключается. Это происходит с частотой 1 раз в 5-6 секунд. Сам браузер при этом не открывается, а любое активное окно (почтовый клиент, Word и т. д.) на время запуска файла iexplore.exe становиться неактивным. Очень раздражает . В ветках автозапуска реестра смотрел - нет iexplore.exe. Все сделал как в Вашем лечении. Вроде помогло, заранее Вам благодарен. Но все же интересно, что это был за вирус такой, и почему мой ESET Smart Security за 1080 рублей ничего с ним не смог сделать, а Ваши маленькие программульки его "снесли". :no: avz_sysinfo.htmavz_sysinfo.htmhijackthis.log avz_sysinfo.htm avz_sysinfo.htm hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 (изменено) Ох какой зоопарк. Если вам не знаком файл Msissdk2.sys, выполните скрипт(если знаком не выполняйте первый скрипт): AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Msissdk2', 4);QuarantineFile('Msissdk2.sys','');DeleteFile('Msissdk2.sys');DeleteService('Msissdk2');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится Потом AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('hpdj', 4);QuarantineFile('C:\WINDOWS\system32\srGPGgmY.exe','');QuarantineFile('C:\WINDOWS\system32\OefSO1r8.exe','');QuarantineFile('C:\WINDOWS\inetloader.dll','');QuarantineFile('C:\Windows\AutoUpdateWin31.dll','');QuarantineFile('C:\WINDOWS\Mstray.exe','');QuarantineFile('C:\Documents and Settings\Максим\Рабочий стол\X360 Backup & Firmware ToolBox (02-2008)\Firmware Tools\DosFlash v1.4 Beta\DosFlash32\giveio.sys','');QuarantineFile('Msissdk2.sys','');QuarantineFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\hpdj.exe','');QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');DeleteFile('C:\DOCUME~1\МАКСИМ\LOCALS~1\Temp\hpdj.exe');DeleteFile('C:\WINDOWS\Mstray.exe');DeleteFile('C:\Windows\AutoUpdateWin31.dll');DeleteFile('C:\WINDOWS\inetloader.dll');DeleteFile('C:\WINDOWS\system32\OefSO1r8.exe');DeleteFile('C:\WINDOWS\system32\srGPGgmY.exe');SysCleanAddFile('C:\WINDOWS\Mstray.exe');DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');DelBHO('{f015f320-ab08-11db-abbd-0800200c9a66}');DelBHO('{A75E294E-C047-4D29-B07E-37B792881BEF}');DeleteService('hpdj');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Изменено 21 июля, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SkyBon Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 iexplorer.exe - это как-раз таки и есть Internet Explorer. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 Обновите базы AVZ и повторите логи. iexplorer.exe - это как-раз таки и есть Internet Explorer. IE Вы запускали когда готовили логи? P>S> Посмотрим на втором проходе. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рубцов Опубликовано 21 июля, 2008 Автор Жалоба Поделиться Опубликовано 21 июля, 2008 Да, он был iexplorer.ru в диспетчере задач, а что нужно еще сам браузер в панели задач запускать? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рубцов Опубликовано 21 июля, 2008 Автор Жалоба Поделиться Опубликовано 21 июля, 2008 Уважаемый akok. Представляю обновленные логи, как вы мне и сказали. avz_sysinfo.htmavz_sysinfo.htmhijackthis.log И еще один вопрос. Сидит у меня в оперативке файл mDNSResponder.exe, а находится по адресу Program Files\Bonjour\mDNSResponder.exe и там еще один файлик mdnsNSP.dll. Эта папка удалятся не хочет, в безопасном режиме тоже. avz_sysinfo.htm avz_sysinfo.htm hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4. Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера. Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft. Карантин продублируйте мне akok<at>pisem.net с указанной ссылкой на тему. (at=@) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 Относительно логов....мне нужен тоже карантин. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рубцов Опубликовано 21 июля, 2008 Автор Жалоба Поделиться Опубликовано 21 июля, 2008 Так я Вам отправил Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 windrvNT.sys - сообщите, что Вам ответил вирлаб. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рубцов Опубликовано 21 июля, 2008 Автор Жалоба Поделиться Опубликовано 21 июля, 2008 Цитирую, что было в письме: "nvshell.dll, windrvNT.sys - вредоносный код в файлах не обнаружен." Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 июля, 2008 Жалоба Поделиться Опубликовано 21 июля, 2008 (изменено) Удалим сервис Bonjour. Пуск/Выполнить там набрать cmd и нажать Enter, появится чёрное окно командной строки. Перейти в папку где находится файл mDNSResponder.exe, для этого надо выполнить команду cd c:\program files\bonjour (набрать это ручками в командной строке), затем Enter. Потом выполнить 2 команды "type mDNSResponder.exe -remove" и "rename mdsnNSP.dll mdsnNSP.bak". После этого перезагрузить компьютер и удалите дирректорию c:\program files\bonjour.или Для начала создайте CMD-файл (в любом текстовом редакторе, с любым именем файла, но с расширением CMD) со следующим содержанием: cd c:\program files\bonjour type mDNSResponder.exe -remove rename mdsnNSP.dll mdsnNSP.bak и запустите его. Перезагрузите компьютер и удалите дирректорию c:\program files\bonjour. Какие проблемы остались? Изменено 21 июля, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рубцов Опубликовано 22 июля, 2008 Автор Жалоба Поделиться Опубликовано 22 июля, 2008 Уважаемый akok. Конкретных проблем уже нет. Вы их решили, за что Вам большое спасибо. Сейчас меня терзает банальное любопытство. В моей оперативке есть приложения, происхождения которых я не знаю, и в автозагрузках их нет. ПОДСКАЖИТЕ, где хороший справочник по процессам и службам. В интернете поискал - нашел половину, разобрался, остальные - нет или не очень разобрался. Вот они: nhksrv.exe alg.exe osd.exe Traymon.exe PnkBstrA.exe nvsvc32.exe NBservice.exe SDMCP.exe ekrn.exe Меня лично смущает процесс PnkBstrA.exe Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alidark Опубликовано 20 ноября, 2008 Жалоба Поделиться Опубликовано 20 ноября, 2008 Процессы pnkbstra.exe, pnkbstrb.exe и PnkBstrK.exe отвечают за работу PunkBuster - системы обнаружения нечестных игроков в онлайн-играх. Система анти-спам бот :bye1: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.