Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

"Глючит" Explore.exe... (заявка № 9086)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36

    Thumbs up "Глючит" Explore.exe...

    Здравствуйте! Суть проблемы заключается в том, что приложение explorer.exe ведет себя крайне странно, а имено "кушает" память от 18000 до 55000 КБ (в таск менеджере смотрел), затем переодически циклично перезагружается (на 1 - 3 сек исчезает весь рабочий стол, остаётся лишь фон с последующей загрузкой в исходное положение), но самое противное, из-за этого гнусного эксплорера почему-то падает IE, а вместе с ним и моё VPN-соединение, причем при повторном коннекте в впн соединении выдается ошибка, пока вручную не перезагрузишь explorer.exe, чудеса да и только!

    У меня стоит Panda Platinum 7.07.01 со свежими базами, она ничего не находит))
    Также установлен Ad-Aware SE Professional 1.06e, но он каждый раз отыскивает одни и те же незначительные угрозы)))
    На всякий случай сделал проверку прогой SDFix, она помойму что-то нашла (поэтому прикрепляю от неё репорт, может поможет Report.txt)
    И, наконец, проверил подозрительный файл C:\cp1467.nls на сайте касперского, там мне вадал их сканер, что cp1467.nls - инфицирован SpamTool.Win32.Agent.u может всё из-за него?
    Еще забыл сказать, что трафик тоже как то непонятно себя ведет - сижу на одной странице, а он все растет и растет (в обоих направлениях)
    Кароче ппц какой-то... Помогите пожалуйста, а то систему не охота грохать!
    Вложения Вложения
    Последний раз редактировалось LectRo; 18.04.2007 в 02:52.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    1. Скачайте http://www.cexx.org/lspfix.htm
    если после 2-х скриптов интернет не восстановится, то запустите.
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('System32\Drivers\GEARAspiWDM.sys','');
     QuarantineFile('\SystemRoot\SYSTEM32\Drivers\wg3n.sys','');
     QuarantineFile('NDIS.sys','');
     QuarantineFile('C:\WINDOWS\system32\gearsec.exe','');
     QuarantineFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll','');
     QuarantineFile('C:\PROGRA~1\hkSFV\hkshlex.dll','');
     QuarantineFile('c:\cp1041.nls','');
     DeleteFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Система перезагрузится. Может пропасть интернет. Если пропадет выполните скрипт:
    Код:
    begin
     ExecuteRepair(14);
     RebootWindows(true);
     end.
    Система перезагрузится. Eсли интет не появиться , то выполните скрипт:
    Код:
    begin
     ExecuteRepair(15);
     RebootWindows(true);
     end.
    3. Отправьте карантин по правилам.
    Последний раз редактировалось drongo; 18.04.2007 в 09:20.

  4. #3
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Результат загрузки
    Файл сохранён как 070418_200808_virus_4626426875a46.zip
    Размер файла 1142538

  5. #4
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Еще такой вопрос, не может ли это быть конфликт exploera и недавно установленного мною MS Office 2007 или XP плохо работает с IE 7.0.5730.11?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    SpamTool.Win32.Agent.u
    Trojan.Win32.Agent.afg
    Trojan-Proxy.Win32.Dlena.cn

    По касперскому

    выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('NDIS.sys');
     DeleteFile('c:\cp1041.nls');
     BC_DeleteFile('c:\cp1041.nls');
     BC_DeleteFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll');
     BC_DeleteFile('NDIS.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите новые логи.
    Последний раз редактировалось Alex_Goodwin; 19.04.2007 в 02:21.

  7. #6
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Выполнил этот скрипт, затем система ушла на перезагрузку и... синий экран! Причем система не грузилась даже в безопасном режиме! Пришлось загружаться с последней рабочей конфигурации!!!
    Сделал проверку avz 4.25 со свежими базами, он опять написал:

    Ошибка карантина файла "C:\WINDOWS\system32\drivers\ndis.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ОК
    Файл "C:\WINDOWS\system32\drivers\ndis.sys" успешно помещен в карантин
    >>>Для удаления файла C:\WINDOWS\system32\drivers\ndis.sys необходима перезагрузка
    C:\WINDOWS\system32\drivers\ndis.sys >>>>> SpamTool.Win32.Agent.u ошибка удаления
    C:\WINDOWS\system32\drivers\ndis.sys Cannot open file "C:\WINDOWS\system32\drivers\ndis.sys". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом

    Вообщем, я так понимаю что проблема с файлом ndis.sys, но после вышеуказанного скрипта система не грузиться (синий экран). Подскажите пожалуйста, как правильно удалить и заменить зараженный ndis.sys на незараженный?
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Файл сохранён как 070424_012743_virus_462d24cfab322.zip
    Размер файла 197509
    MD5 f8bd24b2aaf46575c33db35d1583ce7a

    На всякий случай шлю вам содержание карантина (C:\avz4\Infected)

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Скачайте утилиту Winsocksxpfix:
    http://www.softpedia.com/get/Tweak/N...nSockFix.shtml
    2. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('NDIS');
     DelSPIByFileName('qkbxgal.dll',true);
     AutofixSPI;
     BC_DeleteSvc('NDIS');
     BC_DeleteFile('C:\WINDOWS\system32\qkbxgal.dll');
     BC_DeleteFile('c:\cp1041.nls');
    BC_Activate;
    RebootWindows(true);
    end.
    IMHO, так должно удалиться корректно. Система перезагрузится.
    Если пропадет интернет - используйте скачанную утилиту.
    Последний раз редактировалось Bratez; 24.04.2007 в 03:25.

  10. #9
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Скрипт выполнил, но увы, всё по новой (BSOD с ошибкой NDIS.SYS). Пришлось опять выбирать опцию: "Восстановить последнюю рабочюю конфигурацию". Кто-нибудь подскажите пожалуйста, как вручную удалить этот NDIS.SYS и поменять его на незараженный, чтобы работала сеть и инет!

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Попробуйте удалить через Сервис - Диспетчер служб и драйверов - Сервисы (по анализу реестра). Эта операция выпишет файл из реестра, не удаляя сам файл. Если не получится - сделайте в безопасном режиме.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  12. #11
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Не обнаруживает этот процесс по анализу реестра!
    NDIS.SYS обнаруживает только по данным API:
    Служба: NDIS
    Описание: Системный драйвер NDIS
    Статус: Работает
    Файл: NDIS.sys
    Группа: NDIS Wrapper

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Я понял ошибку: удалять ndis.sys совсем нельзя, т.к. это необходимый системный драйвер, но он подменен вирусом. Похоже выход только один - загрузиться с Live CD либо воспользоваться консолью восстановления и заменить файл c:\windows\system32\drivers\ndis.sys из дистрибутива Windows + удалить все 'c:\cp####.nls'. После этого сделать новые логи для зачистки того, что останется.
    Последний раз редактировалось Bratez; 27.04.2007 в 06:54.

  14. #13
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Загрузился с Live CD, потом удалил вручную этот NDIS.sys и заменил его на "родной" с дистрибутива. Теперь вроде всё впорядке, т.е. новые файлы cp####.nls больше не регенирируются. Шлю вам новые логи. Всем, кто пытался мне помочь, выражаю благодарность и уважение!
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Как минимум, один зловред еще остался. Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\uxnojrcdjep.dll','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам.
    Вот это можно пофиксить (как фиксить О23, см. FAQ):
    Код:
    O2 - BHO: VMNTOOLBAR - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
    O3 - Toolbar: VMNTOOLBAR - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
    Две последних - кряк XP SP1, у вас не работает, т.к. SP2.
    Остальное - просто "мусор".
    Последний раз редактировалось Bratez; 03.05.2007 в 10:06.

  16. #15
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Выполнил скрипт, пофиксил строки и прислал карантин по правилам.

    Файл сохранён как 070503_192412_virus_4639fe9cbad7e.zip
    Размер файла 920966
    MD5 28fdd882560ca83c6c240f693b8b6a22
    Последний раз редактировалось LectRo; 03.05.2007 в 19:29.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    троянская программа ( лаб K ) Trojan.Win32.Agent.afg Файл: uxnojrcdjep.dll
    winlogon.exe - http://www.virustotal.com/vt/en/resu...0a6604bbb0b378
    Только один его знает, ждём ответа от лаб касперского.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Пришёл ответ от касперского :

    Код:
    Hello,
    
    avz00001.dta, bcqr00001.dat, bcqr00002.dat - Trojan.Win32.Agent.afg
    
    These files are already detected. Please update your antivirus bases.
     
    avz00002.dta, bcqr00003.dat, bcqr00004.dat
    
    No malicious code were found in these files.
    Winlogon- оказался чистым .
    Последний раз редактировалось drongo; 04.05.2007 в 14:23.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelSPIByFileName('uxnojrcdjep.dll',true);
      BC_DeleteFile('C:\WINDOWS\system32\uxnojrcdjep.dll ');
      BC_Activate;
     AutoFixSPI;
    RebootWindows(true);
    end.
    Система перезагрузится. Возможно, нарушится связь с интернетом, тогда используйте утилиту Winsocksxpfix, которую вы уже скачивали.
    Повторите логи п.10 и 12 правил.
    Последний раз редактировалось drongo; 04.05.2007 в 14:33.

  20. #19
    Junior Member Репутация
    Регистрация
    18.04.2007
    Адрес
    Москва
    Сообщений
    13
    Вес репутации
    36
    Скрипт выполнил, потом пофиксил соединение с интернетом с помощью winsockfix. Высылаю запрашиваемые логи.
    Вложения Вложения

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Теперь все в порядке.

  • Уважаемый(ая) LectRo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. "Explore" in all right-click menu of all folders?
      От ukptyqunmfqr в разделе Malware Removal Service
      Ответов: 4
      Последнее сообщение: 05.11.2009, 19:52
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01069 seconds with 23 queries