Показано с 1 по 20 из 20.

Маскируется IEXPLORE.EXE, ругается svchost.exe (заявка № 16202)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33

    Exclamation Маскируется IEXPLORE.EXE, ругается svchost.exe

    При запуске системы svchost.exe выдаёт подряд 3 ошибки примерно одинакового содержания: "The instruction at "0x13141d0e" referenced memory at "0x13141d0e". The memory could not be "written". В Application Error Log соответственно пишется 3 ошибки
    "Faulting application svchost.exe, version 5.1.2600.2180, faulting module svchost.exe, version 5.1.2600.2180, fault address 0x000016b0".

    После запуска в Task Manager имеется IEXPLORE.EXE. Его можно "прибить". Но при реальном запуске эксплорера, этот процесс в Task Manager не появляется. (Или если после запуска открыть эксплорер и "прибить" процесс IEXPLORE.EXE, то эксплорер продолжает работать как ни в чём не бывало.)

    Утилита AVZ не обнаруживает процесс IEXPLORE.EXE (при запущеном эксплорере), как скрытый даже при загруженном AVZPM.
    [/SIZE]
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Tbi07');
     StopService('Jqx64');
     SetServiceStart('Tbi07', 4);
     SetServiceStart('Jqx64', 4);
     QuarantineFile('C:\WINDOWS\system32\poof','');
     QuarantineFile('C:\WINDOWS\system32\kprof','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tbi07.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx64.sys','');
     QuarantineFile('C:\WINDOWS\Jqx64.sys','');
     DeleteFile('C:\WINDOWS\Jqx64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jqx64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tbi07.sys');
     DeleteFile('C:\WINDOWS\system32\kprof');
     DeleteFile('C:\WINDOWS\system32\poof');
    BC_ImportALL;
    BC_DeleteSvc('Jqx64');
    BC_DeleteSvc('Tbi07');
    BC_DeleteSvc('kprof');
    BC_DeleteSvc('poof');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    При загрузке системы ошибок не выдаётся.

    IEXPLORE.EXE в TackManager по прежнему не отображается. (Все логи снимались при запущеном эксплорере).
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах чисто.
    exe-шник в windows\temp со случайным именем если не ошибаюсь от TrendMicro.
    Можете пофиксить для порядка это:
    Код:
    O20 - AppInit_DLLs: ,
    Добавлено через 3 минуты

    Для справки: В карантин попали
    Tbi07.sys - Trojan-Downloader.Win32.Agent.hbs
    Jqx64.sys - Trojan-Downloader.Win32.Agent.ggt
    Последний раз редактировалось Bratez; 10.01.2008 в 17:46. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    Да, exeшник в Windows/Temp это TrandMicroSystems (каюсь, не выгрузил).

    Пофиксил. Новый лог:
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Жалобы остались?
    Что из этого не нужно?
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Alerter (Alerter)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    При запуске интернет эксплорера в Tack Manager процесс IEXPLORE.EXE не отображается. Запускать пробовал непосредственно из C:\Program Files\Internet Explorer. AVZ не видит его как скрытый процесс тоже.

    Из перечисленного необходим только административный доступ к дискам C$ и D$.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Andrey Golubev Посмотреть сообщение
    Internet Explorer. AVZ не видит его как скрытый процесс тоже.
    в смысле не видит ... просто не отображает ... так как он проходит по базе безопасных ...
    Цитата Сообщение от Andrey Golubev Посмотреть сообщение
    Из перечисленного необходим только административный доступ к дискам C$ и D$.
    если это дейсвительно так ....
    то такой скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    Интернет эксплорер запускается и работает, но как "запущеный процесс" нигде не отображается.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вы логи делали с запущенным IE ? ... похоже нет ... (тогда сделайте с запущенным как написано в правилах )

  12. #11
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    Интернет эксплорер был запущен. Повторил проверку (в интернет эксплорере всегда была открыта эта страница форума!)
    Новые логи.
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пришлите iexplore.exe ... согласно приложения 3 правил ...

  14. #13
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    AVZ почему-то в карантин помещать отказывается. (нахожу через Поиск файлов на диске, отмечаю галочкой нажимаю Поместить в карантин. Захожу в карантин - пусто). Я скопировал через проводник и заархивировал с паролем virus.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    присланный файлик чистый ...(авз его отказывается карантинить- так как он проходит по базе безопасных )

    Добавлено через 2 минуты

    выполните скрипт...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Последний раз редактировалось V_Bond; 10.01.2008 в 20:49. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    Выполнил, ничего не изменилось.

    С появлением этой проблемы ещё заметил следующее: обычный проводник (explorer.exe) перестал запоминать размер окна и открывается всегда доволно-таки большим окном. Раньше этого не было.

    Также обнаружил, что если раньше, когда закрываешь все оена IE, то при следующем открытии IE, пути (например, Save Picture As...) сбрасывались по умолчанию. Сейчас сохраняется путь, который использовался в последний раз (как будто процесс IEXPLORE.EXE не завершался).

    При этом если закрыть IE, "прибить" процесс explorer.exe и запустить его вновь, то при открытии IE пути устанавливаются по умолчанию (т.е. остановка explorer.exe останавливает и "невидимый" IEXPLORE.EXE ).
    Последний раз редактировалось Andrey Golubev; 10.01.2008 в 21:24. Причина: Добавлено

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    авз - диспетчер процессов ... explorer.exe сделайте протокол используемых dll

  18. #17
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    Сделал.
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  19. #18
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    Никаких новых соображений нет?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    comdlg32.dll и sdshext.dll пришлите по правилам ....

  21. #20
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    50
    Вес репутации
    33
    comdlg32.dll у меня "патченый" (увеличены размеры окон по умолчанию и формат отображения сменён на Details).

  • Уважаемый(ая) Andrey Golubev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Avast ругается на svchost
      От twelve в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.01.2012, 21:25
    2. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.09.2011, 03:00
    3. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 30.09.2011, 00:00
    4. кий ругается на svchost
      От bo4karev в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 30.06.2010, 17:40
    5. Изменились svchost.exe и iexplore.exe
      От Саша11111 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.02.2009, 00:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00130 seconds with 21 queries