Показано с 1 по 20 из 20.

Маскируется IEXPLORE.EXE, ругается svchost.exe (заявка № 16202)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60

    Exclamation Маскируется IEXPLORE.EXE, ругается svchost.exe

    При запуске системы svchost.exe выдаёт подряд 3 ошибки примерно одинакового содержания: "The instruction at "0x13141d0e" referenced memory at "0x13141d0e". The memory could not be "written". В Application Error Log соответственно пишется 3 ошибки
    "Faulting application svchost.exe, version 5.1.2600.2180, faulting module svchost.exe, version 5.1.2600.2180, fault address 0x000016b0".

    После запуска в Task Manager имеется IEXPLORE.EXE. Его можно "прибить". Но при реальном запуске эксплорера, этот процесс в Task Manager не появляется. (Или если после запуска открыть эксплорер и "прибить" процесс IEXPLORE.EXE, то эксплорер продолжает работать как ни в чём не бывало.)

    Утилита AVZ не обнаруживает процесс IEXPLORE.EXE (при запущеном эксплорере), как скрытый даже при загруженном AVZPM.
    [/SIZE]
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Tbi07');
     StopService('Jqx64');
     SetServiceStart('Tbi07', 4);
     SetServiceStart('Jqx64', 4);
     QuarantineFile('C:\WINDOWS\system32\poof','');
     QuarantineFile('C:\WINDOWS\system32\kprof','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tbi07.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx64.sys','');
     QuarantineFile('C:\WINDOWS\Jqx64.sys','');
     DeleteFile('C:\WINDOWS\Jqx64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jqx64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tbi07.sys');
     DeleteFile('C:\WINDOWS\system32\kprof');
     DeleteFile('C:\WINDOWS\system32\poof');
    BC_ImportALL;
    BC_DeleteSvc('Jqx64');
    BC_DeleteSvc('Tbi07');
    BC_DeleteSvc('kprof');
    BC_DeleteSvc('poof');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    При загрузке системы ошибок не выдаётся.

    IEXPLORE.EXE в TackManager по прежнему не отображается. (Все логи снимались при запущеном эксплорере).
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах чисто.
    exe-шник в windows\temp со случайным именем если не ошибаюсь от TrendMicro.
    Можете пофиксить для порядка это:
    Код:
    O20 - AppInit_DLLs: ,
    Добавлено через 3 минуты

    Для справки: В карантин попали
    Tbi07.sys - Trojan-Downloader.Win32.Agent.hbs
    Jqx64.sys - Trojan-Downloader.Win32.Agent.ggt
    Последний раз редактировалось Bratez; 10.01.2008 в 17:46. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    Да, exeшник в Windows/Temp это TrandMicroSystems (каюсь, не выгрузил).

    Пофиксил. Новый лог:
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Жалобы остались?
    Что из этого не нужно?
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Alerter (Alerter)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    При запуске интернет эксплорера в Tack Manager процесс IEXPLORE.EXE не отображается. Запускать пробовал непосредственно из C:\Program Files\Internet Explorer. AVZ не видит его как скрытый процесс тоже.

    Из перечисленного необходим только административный доступ к дискам C$ и D$.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Andrey Golubev Посмотреть сообщение
    Internet Explorer. AVZ не видит его как скрытый процесс тоже.
    в смысле не видит ... просто не отображает ... так как он проходит по базе безопасных ...
    Цитата Сообщение от Andrey Golubev Посмотреть сообщение
    Из перечисленного необходим только административный доступ к дискам C$ и D$.
    если это дейсвительно так ....
    то такой скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    Интернет эксплорер запускается и работает, но как "запущеный процесс" нигде не отображается.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    вы логи делали с запущенным IE ? ... похоже нет ... (тогда сделайте с запущенным как написано в правилах )

  12. #11
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    Интернет эксплорер был запущен. Повторил проверку (в интернет эксплорере всегда была открыта эта страница форума!)
    Новые логи.
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пришлите iexplore.exe ... согласно приложения 3 правил ...

  14. #13
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    AVZ почему-то в карантин помещать отказывается. (нахожу через Поиск файлов на диске, отмечаю галочкой нажимаю Поместить в карантин. Захожу в карантин - пусто). Я скопировал через проводник и заархивировал с паролем virus.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    присланный файлик чистый ...(авз его отказывается карантинить- так как он проходит по базе безопасных )

    Добавлено через 2 минуты

    выполните скрипт...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Последний раз редактировалось V_Bond; 10.01.2008 в 20:49. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    Выполнил, ничего не изменилось.

    С появлением этой проблемы ещё заметил следующее: обычный проводник (explorer.exe) перестал запоминать размер окна и открывается всегда доволно-таки большим окном. Раньше этого не было.

    Также обнаружил, что если раньше, когда закрываешь все оена IE, то при следующем открытии IE, пути (например, Save Picture As...) сбрасывались по умолчанию. Сейчас сохраняется путь, который использовался в последний раз (как будто процесс IEXPLORE.EXE не завершался).

    При этом если закрыть IE, "прибить" процесс explorer.exe и запустить его вновь, то при открытии IE пути устанавливаются по умолчанию (т.е. остановка explorer.exe останавливает и "невидимый" IEXPLORE.EXE ).
    Последний раз редактировалось Andrey Golubev; 10.01.2008 в 21:24. Причина: Добавлено

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    авз - диспетчер процессов ... explorer.exe сделайте протокол используемых dll

  18. #17
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    Сделал.
    Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.

  19. #18
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    Никаких новых соображений нет?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    comdlg32.dll и sdshext.dll пришлите по правилам ....

  21. #20
    Junior Member Репутация
    Регистрация
    10.01.2008
    Адрес
    Москва
    Сообщений
    57
    Вес репутации
    60
    comdlg32.dll у меня "патченый" (увеличены размеры окон по умолчанию и формат отображения сменён на Details).

  • Уважаемый(ая) Andrey Golubev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Avast ругается на svchost
      От twelve в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.01.2012, 21:25
    2. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.09.2011, 03:00
    3. вирус маскируется под svchost (заявка №112102)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 30.09.2011, 00:00
    4. кий ругается на svchost
      От bo4karev в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 30.06.2010, 17:40
    5. Изменились svchost.exe и iexplore.exe
      От Саша11111 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.02.2009, 00:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01199 seconds with 19 queries