explorer.exe: подозреваю вирус, KIS 2009 ничего не находит.
Добрый день. Не так давно(месяц назад) обнаружил, что некоторые скачанные на рабочий стол(и не только) из интернета файлы невозможно переместить/удалить или же выполнить какое-либо другое действие, процесс, занимающий их - explorer.exe(узнал с помощью unlocker). Но не придавал этому значения. Потом стало появляться окно с рекламой футболок, название этой рекламной штуковины было AdSubscribe, причем касперский хоть и написал, что найдена нежелательная рекламная программа, ничего с ней не сделал. В общем, AdSubscribe и fieryads я удалил с помощью программы unlocker(стыд и позор касперскому), почистил от них реестр. Но файлы на раб. столе все-равно чем-то используются, процесс по-прежнему explorer, причем блокирующих дескрипторов может быть и 6 штук, все относятся к explorer.exe. Помогите разобраться. Прилагаю требуемые логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Настройки DNS проверьте.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Скрипт выполнил, компьютер перезагрузился. Файлы из карантина прислать не могу, т.к. их там просто-напросто нет. (В папке с карантином ничего нет, кроме пустой папки с сегодняшней датой "2009-07-05". В AVZ, в просмотре карантина, тоже ничего нет, кроме этой пустой папки). Настройки DNS не понял что именно нужно проверять, посмотрел на то, что прописано в подключениях: во всех подключениях, кроме основного, с которого я сейчас сижу(в нем все получается автоматически), был прописан какой-то днс, который я не указывал. На всякий случай удалил VMware, чтобы исчезли его два подключения, в оставшихся двух удалил днс. Новый лог из п.2 прилагаю.
Скрипт выполнил. Теперь в карантине что-то появилось. Высылаю новый лог из п.2 и файлы карантина(только куда он тут выслался я не понял, в теме не видно, хотя все сделал по инструкции).
http://imageshost.ru/links/9390945a1...f136b36e48a2ac
Вот скриншот... И так почти с каждым exe-шником и большинством других типов файлов, оказавшимися на раб. столе... Может есть где-нибудь список dll-ов, которые использует експлорер на чистой винде? Я бы тогда просто посмотрел в Process Explorer какие dll он юзает и удалил бы все те, которые в этот список не входят.
Выслал. Но это лишь доп. архиватор, интегрированный в оболочку, как winrar.
PS Причем, с определенным интервалом времени в блокированные файлы добавляется по одному блокирующему дескриптору, что, наверно, является багом вируса: http://imageshost.ru/links/50777a914...944856b8ad8273
Отключил все не зеленые, перезапустил explorer.exe. Ничего не изменилось. Думаю, что теперь надо потыкать на зеленые. В каком еще направлении можно копать?
Выполнил скрипт. Мда... Я только что увидел нечто фантастическое: после перезагрузки я попробовал засунуть файл в корзину... и он был перемещен! Но я обнаружил, что если кликнуть по файлу на раб. столе правой кнопкой мыши, т.е. вызвать меню проводника, то explorer снова жрет файл. Причем при каждом клике правой кнопкой на файле добавляется блок. дескриптор. А если правой кнопкой не кликать, то с файлами на раб. столе можно делать что угодно. Посмотрев на сию фантастику, я решил вырубить все, что есть в шелл-меню, а именно: winrar, 7-zip, kgb, winuha, winamp, xnview... Вырубал через сами проги. Но почему-то ничего из перечисленного из менюшки не исчезло, но теперь файлы на раб. столе при клике правой кнопкой никаким explorer'ом не блокируются. Т.е. теперь все нормально... Скажите мне, это чудо?..
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: