В диспетчере задач появляется много процессов iexplore.exe от имени пользователя
Printable View
В диспетчере задач появляется много процессов iexplore.exe от имени пользователя
Уважаемый(ая) [B]Андрей297[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
В общем случае, для последних версий IE, это нормально.
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url], только программу скачайте [URL="http://yadi.sk/d/3KwxKzRHJMq4U"]отсюда[/URL].
[QUOTE=Vvvyg;1113467]В общем случае, для последних версий IE, это нормально.
[URL="http://virusinfo.info/showthread.php?t=121767"]Сделайте полный образ автозапуска uVS[/URL], только программу скачайте [URL="http://yadi.sk/d/3KwxKzRHJMq4U"]отсюда[/URL].[/QUOTE]
готово
Ничего подозрительного.
Установите все важные обновления для системы и IE - в этом месяце было как раз критическое для Internet Explorer.
Установил обновления по Вашей рекомендации. Как итог - синий экран на этапе загрузки винды Stop: c0000145 {application error} the application was unnable to start correctly (0xc0000005). click to close the application. Помогло только восстановление. Процессы плодятся, проблема ещё актуальна.
[QUOTE=Андрей297;1113778]Установил обновления по Вашей рекомендации. Как итог - синий экран на этапе загрузки винды Stop: c0000145 {application error} the application was unnable to start correctly (0xc0000005). click to close the application. Помогло только восстановление.[/QUOTE]
Понятно, сборка с патченым файлом XNTKRNL.EXE. [URL="http://www.outsidethebox.ms/15229/"]объяснение проблемы[/URL]. Установите все обновления, кроме KB2882822, KB2859537 KB2872339.
[QUOTE=Андрей297;1113778]Процессы плодятся, проблема ещё актуальна.[/QUOTE]
Я уже объяснял: в IE, начиная с 9-й версии, как и в большинстве современных браузеров, используется несколько процессов, в частности, для того, чтобы сбой в одной вкладке не влиял на работу в других. Так что это нормально.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
[QUOTE=Vvvyg;1113795]
Я уже объяснял: в IE, начиная с 9-й версии, как и в большинстве современных браузеров, используется несколько процессов, в частности, для того, чтобы сбой в одной вкладке не влиял на работу в других. Так что это нормально.[/QUOTE]
Что вы понимаете под словом "несколько"? У меня их открывается 50+, причем я ВООБЩЕ не пользуюсь IE, у меня стоит мозила.
Беру свои слова обратно, действительно, ненормальная картина, похоже, ситуация, описана [URL="https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS"]здесь[/URL].
Это ноутбук? Система защиты Computrace установлена?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\system32\rpcnetp.exe');
TerminateProcessByName('c:\windows\system32\rpcnet.exe');
TerminateProcessByName('c:\Program Files\Internet Explorer\iexplore.exe');
QuarantineFile('c:\windows\system32\rpcnet.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\AUTOCHK.EXE','');
QuarantineFile('C:\Windows\System32\rpcnetp.dll','');
QuarantineFile('c:\windows\system32\rpcnetp.exe','');
QuarantineFile('C:\Windows\SysWOW64\wceprv.dll','');
QuarantineFile('C:\Windows\SysWOW64\rpcnet.exe','');
QuarantineFile('C:\Windows\SysWOW64\Upgrd.exe','');
QuarantineFile('C:\Windows\SysWOW64\rpcnet.dll','');
QuarantineFile('c:\windows\system32\rpcnet.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/code]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Последите, не исчезнут ли процессы iexplore.exe после выполнения скрипта (перезагрузки не будет).
[QUOTE=Vvvyg;1114026]Беру свои слова обратно, действительно, ненормальная картина, похоже, ситуация, описана [URL="https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS"]здесь[/URL].
Это ноутбук? Система защиты Computrace установлена?
Последите, не исчезнут ли процессы iexplore.exe после выполнения скрипта (перезагрузки не будет).[/QUOTE]
Да это ноут Toshiba, Computrace не стоит вроде как. Процессы исчезли после выполнения скрипта, Архив карантина отправил.
Видимо, Computrace скрыто установлен всё же. Выковыривать его из биоса безнадёжно, по крайней мере, не готов пока, поищу информацию. Прверьте, есть ли свежий биос к этой модели ноутбука. Есть шанс, что перепрошивка поможет.
Попробуем закарантинить файлы ещё из uVS, они, маскируются. [url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %Sys32%\RPCNETP.EXE
zoo %SystemRoot%\SYSWOW64\RPCNETP.DLL
zoo %Sys32%\AUTOCHK.EXE
zoo %Sys32%\AUTOCHK.BAK
czoo
quit[/code]uVS закроется, в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Пока для нейтрализации процессов IE и инициирующих их можете воспользоваться таким скриптом для AVZ:[CODE]begin
TerminateProcessByName('c:\windows\system32\rpcnetp.exe');
TerminateProcessByName('c:\windows\system32\rpcnet.exe');
TerminateProcessByName('c:\Program Files\Internet Explorer\iexplore.exe');
ExitAVZ;
end.[/CODE]
[QUOTE=Vvvyg;1114349]Видимо, Computrace скрыто установлен всё же. Выковыривать его из биоса безнадёжно, по крайней мере, не готов пока, поищу информацию. Прверьте, есть ли свежий биос к этой модели ноутбука. Есть шанс, что перепрошивка поможет.
Попробуем закарантинить файлы ещё из uVS, они, маскируются. [url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %Sys32%\RPCNETP.EXE
zoo %SystemRoot%\SYSWOW64\RPCNETP.DLL
zoo %Sys32%\AUTOCHK.EXE
zoo %Sys32%\AUTOCHK.BAK
czoo
quit[/code]uVS закроется, в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[/QUOTE]
При выполнении скрипта запаковалось в rar-архив, пришлось упаковать его еще и в zip:) Выслал.
отправил
Да, сомнений нет, это именно Computrace. Пытаться удалить его безыдейно, попробуем аккуратно заблокировать.
Выполните скрипт в uVS:[CODE];uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
; C:\WINDOWS\SYSWOW64\RPCNETP.EXE
bl F4402AFE7F512904D05D657FE16F8BE0 17920
; C:\WINDOWS\SYSTEM32\RPCNETP.EXE
bl 0036FF1838951639C6B7EE13218C0A21 17920
restart[/CODE]После перезагрузки сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
[QUOTE=Vvvyg;1115211]После перезагрузки сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.[/QUOTE]
[url]http://rghost.ru/55108487[/url] Готово
Фокус не удался :( Могу лишь посоветовать обратиться в фирменный сервис Toshiba, а пока пользоваться скриптом для AVZ, который я давал в сообщении #11.
[QUOTE=Vvvyg;1115490]Фокус не удался :( Могу лишь посоветовать обратиться в фирменный сервис Toshiba, а пока пользоваться скриптом для AVZ, который я давал в сообщении #11.[/QUOTE]
ну так самое интересное это то что процессы стали появляться после переустановки винды, до этого таких проблем не было
Последите, судя по последнему логу, Computrace никуда не делся. А что, кстати, система неродная на ноуте?
[QUOTE=Vvvyg;1115490]Фокус не удался :( Могу лишь посоветовать обратиться в фирменный сервис Toshiba, а пока пользоваться скриптом для AVZ, который я давал в сообщении #11.[/QUOTE]
ну так самое интересное это то что процессы стали появляться после переустановки винды, до этого таких проблем не было
[QUOTE=Vvvyg;1115511]Последите, судя по последнему логу, Computrace никуда не делся. А что, кстати, система неродная на ноуте?[/QUOTE]
Он родной шел чистый.