Jump to content
СофтФорум - всё о компьютерах и не только

Самопроизвольные процессы iexplore.exe


Recommended Posts

Вчера началась такая фигня: через некоторое время после подключения к интеренту в диспетчере задач начинают появляться на непродолжительное время и исчезать процесс iexplorer.exe ( в приложениях он тоже отображается со значком EI и плюс написан всякий бред типо пластиковых труб, туров в Китай и лечения от паразитов и т д) при появлении процесса сворачиваются другие действующие в данный момент приложения что очень бесит т к происходит это достатно чтосто (иногода каждые 10 секунд) хотя и живет процесс не более 3-5 секунд. Сам браузер при этом не открывается и приложение это не возможно открыть. Сканировал диски различными анивирусами (nod 32/ doctorweb/ spyware/ cureit) - нифига не видят.

Помогите чем можете.

Link to comment
Share on other sites

>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные

>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса

>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX

>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

Вот это всё и может привести к тому результату который у вас.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);QuarantineFile('c:\windows\system32\winagent.exe','');DeleteFile('c:\windows\system32\winagent.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Повторите логи.

Link to comment
Share on other sites

после выполнения первого скрипта в ''моем компьютере'' вместо оназвания директорий на верхней синей полоске вопросительные знаки либо только первая буква от названия.

Тоже самое в диспетчере задач - название приложений либо ввиде вопросиков, либо только первая буква.

Link to comment
Share on other sites

кстати сегодня утром при сканировании антивиркс обнаружил

Threat Files

<Trojan.Downloader.Agent.aunm.1> [Microsoft Corporation] : C:\WINDOWS\system32\~.exe

до этого почему-то не обнаруживал...

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Eraser\eraser.exe','');QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesE:\Shell\CB.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Link to comment
Share on other sites

Удаляет подозрительный файл и запись в реестре на автозапуск вредоносного файла.

(кстати про первоначальную проблему - что это было все-таки?)

Какой-то вредонос, разрешил исполнение

>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные

>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса

>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX

>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

Понятно, что на многих сайтах стоят IFRAME, вот вы зашли сработал IFRAME и пошло соединение с другим сайтом. Скриптом это всё закрыли.

Link to comment
Share on other sites

а еще вопрос был вы не отвеитили -

Дата 16.02.2009, 14:28

после выполнения первого скрипта в ''моем компьютере'' вместо оназвания директорий на верхней синей полоске вопросительные знаки либо только первая буква от названия.

Тоже самое в диспетчере задач - название приложений либо ввиде вопросиков, либо только первая буква.

Link to comment
Share on other sites

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File move failed. E:\Shell\CB.exe scheduled to be moved on reboot.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E\\ deleted successfully.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02192009_143137

Files moved on Reboot...

File move failed. E:\Shell\CB.exe scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

Link to comment
Share on other sites

а еще вопрос был вы не отвеитили -

Дата 16.02.2009, 14:28

после выполнения первого скрипта в ''моем компьютере'' вместо оназвания директорий на верхней синей полоске вопросительные знаки либо только первая буква от названия.

Тоже самое в диспетчере задач - название приложений либо ввиде вопросиков, либо только первая буква.

c:\windows\system32\winagent.exe - Trojan.Win32.Agent.bqsh Кроме файла, были только исправлены проблемы с ИЕ. больше ничего не делалось. Хотите восстановите врага.

Edited by wise-wistful
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...