Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Много процессов IEXPLORE и OPERA (http://forum.oszone.net/showthread.php?t=166071)

LonelyUA 03-02-2010 01:43 1337495
Много процессов IEXPLORE и OPERA
 
Вложений: 1
Вчера начал замечать стандартный звук ошибки Винды (без каких либо окошечек и уведомлений, просто звук) после которого в диспетчере нарисовывается процесс IEXPLORE.EXE (именно большими буквами) и активно размножается (доходил до 3). Потом я заметил что и Opera так же начала множить процессы (доходило до 5). В принципе оперативы не сильно много жрут (кроме основного процесса оперы - я сижу исключительно с неё, а инэтоэксплорер не запускаю никогда) но напрягает их появление. Ещё заметил что процесс System после загрузки скачкообразно подвисал до 40% но быстро сам отходил. Раннее ничего подобного небыло, из ПО ставил за последнее время (дня три ещё назад) Neospy - утилита для контроля компа, её AVZ в карантин прибрал.
Блокировка обновления Винды - эту хрень заметил позжее в AVZ, исправил. Эффекта Ноль.
з.ы. Файлы ИЕ сносил нафиг и влил с абсолютно чистой системы. Непомогло, хотя они хоть не так быстро плодится помоему стали.
з.ы.2 Запускает эти процессы кажется винлогон. именно он не давал обновить файлы ие.

LonelyUA 03-02-2010 01:53 1337498
з.ы.3 Да и ещё вот - снес нафиг все что было в папке ИЕ. Теперь с таким же звуком ошибки вылазиет второй процесс оперы...

sanek_freeman 03-02-2010 09:37 1337633
LonelyUA, здравствуйте.
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('StarWindServiceAE.sys','');
 DeleteFile('StarWindServiceAE.sys');
 DeleteService('StarWindServiceAE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(13);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Если ваш провайдер не Ukrainian Mobile Communications или вам не знакомы данные DNS-адреса (80.255.64.23; 80.255.64.24), то:

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A3724B4-686C-4B81-A242-5EBACE3AF9CC}: NameServer = 80.255.64.23 80.255.64.24
Плюс к этому сделайте:
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Проблемы остались?

LonelyUA 03-02-2010 20:36 1338217
Большое спасибо за советы!
1) Скрипты в AVZ выполнил, UMS - мой провайдер поэтому хайджек не трогал.
2) В карантине AVZ было пару файликов .ini, я их отправил касперским, но сомневаюсь что это совсем то (разве там не предполагаемый вир должен быть?)
3) MBAM Установил, обновил, просканировал, нашел пару ключей реестра и 4 файлика, почистил.

В общем вроде бы ничего левого не запускается но иногда без всякой причины подвисает процесс System.exe до 40-50%, безсистематично так сам же и отвисает. Может это изза Доктора Веба+Оутпост+МВАМ? Я вроде бы оставил только Оутпсот включенным... Тем более что раньше оутпост и док вроде бы работали благополучно.

sanek_freeman 03-02-2010 21:12 1338243
Цитата:
Цитата LonelyUA
В карантине AVZ было пару файликов .ini, я их отправил касперским, но сомневаюсь что это совсем то (разве там не предполагаемый вир должен быть?) »
AVZ переименовывает файлы карантина в файлы с расширением *.ini. Так и должно быть. Подождем ответа из ЛК.
Цитата:
Цитата LonelyUA
MBAM Установил, обновил, просканировал, нашел пару ключей реестра и 4 файлика, почистил. »
Почему лог не выложили?
Цитата:
Цитата sanek_freeman
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
Цитата:
Цитата LonelyUA
В общем вроде бы ничего левого не запускается но иногда без всякой причины подвисает процесс System.exe до 40-50%, безсистематично так сам же и отвисает. Может это изза Доктора Веба+Оутпост+МВАМ? Я вроде бы оставил только Оутпсот включенным... Тем более что раньше оутпост и док вроде бы работали благополучно. »
Быть может... Повторите логи AVZ и HijackThis.

LonelyUA 03-02-2010 22:29 1338309
Вложений: 2
Вот выкладываю логи.
Про МВАМовский лог забыл, простите, не дочитал. Вот он. Правда реестр и три файла я удалял со второго раза.
А ответа от касперских все нет. Все же боюсь в архиве не совсем то что надо. два .ини файла по 128 байт...ну вам виднее

LonelyUA 03-02-2010 22:33 1338310
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3683
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.02.2010 16:48:00
mbam-log-2010-02-03 (16-48-00).txt

Тип проверки: Полная (D:\|E:\|)
Проверено объектов: 184078
Прошло времени: 24 minute(s), 38 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 4

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Not selected for removal.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
D:\Documents and Settings\Lonely\Рабочий стол\NET\#Download NET#\Программы\portable_necessary\Portable NS.exe (Trojan.Downloader) -> Not selected for removal.
D:\Program Files\Total commander XCV Edition\Plugins\exe\SFX Tool\Upack.exe (Malware.Packer) -> Not selected for removal.
D:\Program Files\DrWeb\infected.!!!\vozacka.exe.618A5E33 (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{CFE68BE3-E689-4A4D-B3C4-798A5D3141FF}\RP2\A0000080.exe (Backdoor.Agent) -> Not selected for removal.

sanek_freeman 04-02-2010 09:20 1338560
Цитата:
Цитата LonelyUA
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Not selected for removal. »
Цитата:
Цитата LonelyUA
Заражено файлов:
D:\System Volume Information\_restore{CFE68BE3-E689-4A4D-B3C4-798A5D3141FF}\RP2\A0000080.exe (Backdoor.Agent) -> Not selected for removal. »
Почему не удалили эти ключи и файл с помощью МВАМ? Обязательно сделайте это.

А так по логам чисто. Проблемы наблюдаются?

LonelyUA 04-02-2010 12:16 1338710
Цитата:
Цитата LonelyUA
Правда реестр и три файла я удалял со второго раза. »
Просто это самый первый лог, я решил по одному файлу сносить а те проверить пока, а МВАМ взял да и закрыл список угроз после первого удаления одного файла... Короче я второй раз просканировал, выискал этих зловредов и снес нафиг.
Проблем уже пожалуй нет. Вчера system.exe успешно повесил систему, и я снёс нафиг Доктора вэба. Вроде перестал виснуть, наверно и правду Док с МВАМ несдружился.. ну и фиг с ним. Процессы браузеров не вылазиют и не размножаются.

СПАСИБО БОЛЬШОЕ!


Время: 11:30.

Время: 11:30.
© OSzone.net 2001-