Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Борьба с процессом IExplorer.exe (http://forum.oszone.net/showthread.php?t=90760)

dotuser 23-09-2007 21:15 648199
Борьба с процессом IExplorer.exe
 
Всем доброго времени суток. Столкнулся с проблемой:

Ставил на компьютер фотошоп. Программа установки написала, что следует закрыть приложение Internet Explorer, но он у меня был закрыт. В процессах нашел IExplorer.exe

Пытался просто его убить, но, пропадая на мгновение, он снова появляется. По совету друга пытался убить с помощью ProcessExplorerNt. Тот же результат. На форуме Касперского вычитал, что он заражен. Проверил всё антивирусом (Nod32)... убрал все найденные вирусы, но процесс так и не убрался.

Посоветуйте кто что может... Не хочется всё сводить к банальной переустановки винды...

Severny 23-09-2007 21:24 648202
http://www.trendsecure.com/portal/en...ackThis_v2.exe

Скачай утилиту и выкладывай лог сюда.
Процесс IE -- это iexplore.exe (не IExplorer.exe)

dotuser 23-09-2007 21:52 648216
Цитата:
Скачай утилиту и выкладывай лог сюда.
Компьютер находится на работе... Постараюсь завтра лог выложить.

Цитата:
Процесс IE -- это iexplore.exe (не IExplorer.exe)
Виноват... именно IExplore.exe (иначе она бы не мешала фотошопу).

Цитата:
en...ackThis_v2.exe
Если не сложно - в кратце что за программа...?

Severny 23-09-2007 21:57 648222
Цитата:
Цитата dotuser
Виноват... именно IExplore.exe (иначе она бы не мешала фотошопу). »
Вполне возможно, что у тебя их даже два.
Я думаю, что что-то похожее http://forum.oszone.net/post-644414.html#post644414
Только сам не предпринимай пока никаких действий лучше.
Цитата:
Цитата dotuser
Если не сложно - в кратце что за программа...? »
Утилита анализирует автозагрузку, процессы, сервисы, BHO и т.п. и выдает в виде текстового файла.
Удобно смотреть, что творится у удаленного пользователя на компьютере.

dotuser 23-09-2007 22:55 648243
Severny, спасибо. Буду на неделе разбираться...

dotuser 24-09-2007 11:01 648405
Лог:

читать дальше »
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:58:08, on 24.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\Program Files\jmesoft\hotkey.exe
C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\jmesoft\OSD.exe
C:\Program Files\PhotosightMessenger\PhotosightMessenger.exe
C:\Program Files\UserGate\UserGate.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\user.A1\Рабочий стол\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [jmekey] C:\Program Files\jmesoft\hotkey.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PhotosightMessenger.lnk = C:\Program Files\PhotosightMessenger\PhotosightMessenger.exe
O4 - Startup: UserGate.lnk = C:\Program Files\UserGate\UserGate.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/SEARCH.HTM
O8 - Extra context menu item: Словари@Mail.Ru - res://C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/TRANSLATE.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAC5DE2-BFC4-4290-9CDA-994842965C89}: NameServer = 212.188.4.10 195.34.32.116
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bn.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8234 bytes


Ваши мнения?

Severny 24-09-2007 11:25 648423
Цитата:
Цитата dotuser
Ваши мнения? »
Мнение однозначно, ты протроянен.

Поставь галочки перед этими значениями в Hijack. Нажми Fix checked.

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bn.dll



Скачай утилиту AVZ http://z-oleg.com/avz4.zip
Обнови базы.
Перейди Файл -- Восстановление системы -- выполни пункты 2, 6, 7 и пока все. Выполнить.



После всего перегрузи и сделай новый лог.
Если симптомы останутся, лечить придется с помощью AVZ более углубленно.

Скачай утилиту ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и запусти ее в безопасном режиме, просканировав весь системный диск. Лучше запускать ее записанную на болванку.

dotuser 24-09-2007 18:16 648723
Проблема решена))

Severny, большое спасибо за помощь. К сожалению не успел проверить твой метод борьбы... сделал по совету друга следующее:

Скачал бесплатную программу removeit_pro. В ней запустил углубленное сканирование системы. Программа нашла несколько вирусов (не помню троянов или нет... суть в том, что что-то нашла) и что могла сама вылечила, а что сама не сумела - показала какие файлы надо удалить (несколько хорошо скрытых dll, которые удалось найти только в Total Commandor).

Затем скачал программу Unlocker, которая нужна чтобы получить доступ к dll (иначе пишет, что библеотека занята процессом). После того как воспользовался анлокером, благополучно удалил все "плохие" файлы. После рестарта всё было нормально.

Severny 24-09-2007 20:34 648795
Главное -- результат.
Total Commander более не покажет, чем проводник с опцией показа скрытых и системных файлов.

C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bn.dll

Это было в списке к удалению, не помнишь?

dotuser 25-09-2007 11:37 649080
Цитата:
Total Commander более не покажет, чем проводник с опцией показа скрытых и системных файлов.
Ну не знаю... Открывал я в проводнике с опцией показа - он не видел папку "Документы". В тотале, после того как также включил показ скрытых и системных, отобразилось.

Цитата:
Это было в списке к удалению, не помнишь?
Ага. Именно он. Слушай... я думаю многим это будет интересно - как по логу ты определил, что именно он является первопричиной?

Firiel 25-09-2007 21:09 649410
да обычно это определяется. нужно знать назначения процессов и иметь представление о реестре.
ну если на форуме касперского его объявили как я поняла руткитом, то сканирование на код без анализатора(как у касперского например) не поможет. нод может и выудит что-то, но вот с активными заражениями лучше каспера всё же

Max Temirtau 27-11-2010 00:35 1552451
Я тоже столкнутся с похожей проблемой!(((Вот борюсь вашими методами!


Время: 13:34.

Время: 13:34.
© OSzone.net 2001-