В диспетчере задач появляется много процессов iexplore.exe от имени пользователя
В диспетчере задач появляется много процессов iexplore.exe от имени пользователя
Уважаемый(ая) Андрей297, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В общем случае, для последних версий IE, это нормально.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
WBR,
Vadim
Ничего подозрительного.
Установите все важные обновления для системы и IE - в этом месяце было как раз критическое для Internet Explorer.
WBR,
Vadim
Установил обновления по Вашей рекомендации. Как итог - синий экран на этапе загрузки винды Stop: c0000145 {application error} the application was unnable to start correctly (0xc0000005). click to close the application. Помогло только восстановление. Процессы плодятся, проблема ещё актуальна.
Понятно, сборка с патченым файлом XNTKRNL.EXE. объяснение проблемы. Установите все обновления, кроме KB2882822, KB2859537 KB2872339.
Я уже объяснял: в IE, начиная с 9-й версии, как и в большинстве современных браузеров, используется несколько процессов, в частности, для того, чтобы сбой в одной вкладке не влиял на работу в других. Так что это нормально.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Беру свои слова обратно, действительно, ненормальная картина, похоже, ситуация, описана здесь.
Это ноутбук? Система защиты Computrace установлена?
Выполните скрипт в AVZ:В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin TerminateProcessByName('c:\windows\system32\rpcnetp.exe'); TerminateProcessByName('c:\windows\system32\rpcnet.exe'); TerminateProcessByName('c:\Program Files\Internet Explorer\iexplore.exe'); QuarantineFile('c:\windows\system32\rpcnet.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\AUTOCHK.EXE',''); QuarantineFile('C:\Windows\System32\rpcnetp.dll',''); QuarantineFile('c:\windows\system32\rpcnetp.exe',''); QuarantineFile('C:\Windows\SysWOW64\wceprv.dll',''); QuarantineFile('C:\Windows\SysWOW64\rpcnet.exe',''); QuarantineFile('C:\Windows\SysWOW64\Upgrd.exe',''); QuarantineFile('C:\Windows\SysWOW64\rpcnet.dll',''); QuarantineFile('c:\windows\system32\rpcnet.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Последите, не исчезнут ли процессы iexplore.exe после выполнения скрипта (перезагрузки не будет).
WBR,
Vadim
Видимо, Computrace скрыто установлен всё же. Выковыривать его из биоса безнадёжно, по крайней мере, не готов пока, поищу информацию. Прверьте, есть ли свежий биос к этой модели ноутбука. Есть шанс, что перепрошивка поможет.
Попробуем закарантинить файлы ещё из uVS, они, маскируются. Выполните скрипт в uVS:uVS закроется, в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %Sys32%\RPCNETP.EXE zoo %SystemRoot%\SYSWOW64\RPCNETP.DLL zoo %Sys32%\AUTOCHK.EXE zoo %Sys32%\AUTOCHK.BAK czoo quit
Пока для нейтрализации процессов IE и инициирующих их можете воспользоваться таким скриптом для AVZ:Код:begin TerminateProcessByName('c:\windows\system32\rpcnetp.exe'); TerminateProcessByName('c:\windows\system32\rpcnet.exe'); TerminateProcessByName('c:\Program Files\Internet Explorer\iexplore.exe'); ExitAVZ; end.
WBR,
Vadim
отправил
Да, сомнений нет, это именно Computrace. Пытаться удалить его безыдейно, попробуем аккуратно заблокировать.
Выполните скрипт в uVS:После перезагрузки сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.Код:;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 ; C:\WINDOWS\SYSWOW64\RPCNETP.EXE bl F4402AFE7F512904D05D657FE16F8BE0 17920 ; C:\WINDOWS\SYSTEM32\RPCNETP.EXE bl 0036FF1838951639C6B7EE13218C0A21 17920 restart
WBR,
Vadim
http://rghost.ru/55108487 Готово
Фокус не удался Могу лишь посоветовать обратиться в фирменный сервис Toshiba, а пока пользоваться скриптом для AVZ, который я давал в сообщении #11.
WBR,
Vadim
Последите, судя по последнему логу, Computrace никуда не делся. А что, кстати, система неродная на ноуте?
WBR,
Vadim
Уважаемый(ая) Андрей297, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.