не удаляется прцесс iexplorer*32.exe

[behemothus]

Добрый вечер.

У меня абсолютно та же ситуация, что и у товарища по несчастью.
http://virusinfo.info/showthread.php?t=209145

После случайного запуска левого экзешника установились всяческие мэйл.ру, которые я легко вычистил.
Но в диспетчере остался неубиваемый iexplorer*32.exe.


Логи сделал.

[Info_bot]

Уважаемый(ая) behemothus, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('E:\autorun.inf', '');
 QuarantineFile('C:\Users\behempthus\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Users\behempthus\Favorites\Links\Интернет.url');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 ClearHostsFile;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


3) Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

4) Деинсталируйте SpyHunter и Stronghold AntiMalware.

5) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

6) - Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

7)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[behemothus]

1) сделал

MD5 карантина: EDA022763A62F3ADF49FE4EFE6A7B63A
Размер файла: 41360903 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

http://virusinfo.info/virusdetector/...9FE4EFE6A7B63A
http://virusinfo.info/showthread.php?t=209181

2) сделал

3) сделал

Файл сохранён как 170209_152811_quarantine_589c605b5331e.zip
Размер файла 1399
MD5 f2e01260b432af94946fb1489750d393

Зловреда C:\Windows\System32\ihctrl32.dll в этой папке папке не обнаружено.
Помнится, я его видел в SysWOW64, но сейчас и там его нету.

4) сделал
Stronghold AntiMalware - деинсталировал
Spy Hunter - удалил руками, он не был инсталирован.

5) сделал
Check_Browsers_LNK.log

6) сделал
CollectionLog-2017.02.09-16.14.zip

7) сделал
(вредоносных программ не обнаружено)
AdwCleaner[S0].txt

//=====================================

На данный момент имеем следующее.
1. непонятный iexplorer*32 убит

2. Вместо него при загрузке и периодически во время работы выскакивают два процесса
google crash handler
и
google crash handler *32
Удаляются через диспетчер, но потом снова возникают.

3. Файлы типа .msс не сопоставляются с mmc.exe. (до лечения такого не было)
При попытке задать соответствие вручную долго думает, потом говорит файлы данного типа невозможно сопоставить с данным приложением, выберите другое.

4. Линки, убитые ClearLNK не восстановить уже? Я не догадался сохранить... Я просто временно переписал несколько мощных папок на другой носитель, а линки на них оставил как есть. Ну ладно, это не смертельно.

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

В 5-м пункте у меня подразумевался лог работы ClearLNK, но уже не нужен.
По удалённым ярлыкам там сначала пытается восстановить цель на случай если перенесли в соседнюю папку и т.д., если цели не находит, то да удаляет. Там в логе есть какое имя было и куда ссылался, при необходимости можно ручками пересоздать (хотя при вашем кол-ве это конечно долго).

По этим логам уже чисто, но давайте сделаем дополнительно пару проверок.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

- Сделайте лог полного сканирования MBAM.

[behemothus]

[LIST][*]
В 5-м пункте у меня подразумевался лог работы ClearLNK, но уже не нужен.

Ох, простите... Отвлекся. Этот?
ClearLNK-09.02.2017_15-50.log

Ну коли не нужен, тем лучше.

Остальное - в процессе.

- - - - -Добавлено - - - - -

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Сделал.


- - - - -Добавлено - - - - -

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Если правильно понял, то вот.
GAH81MS181_2017-02-09_20-45-47.7z
https://yadi.sk/d/CUcMdGJ_3DhmtG
Прикрепить не могу, очень длинный

- Сделайте лог полного сканирования MBAM.

Сделал
mb3-170109-2140-log.txt

[regist]

Поместите в карантин MBAM всё найденное.

Лог uVS пока смотрю.

- - - - -Добавлено - - - - -

Выполните скрипт в uVS

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v388c
BREG
delref %SystemDrive%\USERS\BEHEMPTHUS\APPDATA\LOCAL\TEMP\SPEEDPC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
restart

что с проблемой?

[behemothus]

Поместите в карантин MBAM всё найденное.

Не уверен, что правильно понял.
Я выполнил скипт в АВЗ - он сформировал архив из того, что уже было в карантине, так?

Файл сохранён как 170209_235156_mbam_quarantine_589cd66cd0fe0.zip
Размер файла 1399
MD5 455f0b8ff60e2656d7b54d76785c83fb

Или я должен был как-то целенаправленно карантин создать?

Выполните скрипт в uVS

сделал.

что с проблемой?

Да пока все как писал выше.

1. непонятный iexplorer*32 убит

2. Вместо него при загрузке и периодически во время работы выскакивают два процесса
google crash handler
и
google crash handler *32
Удаляются через диспетчер, но потом снова возникают.

3. Файлы типа .msс не сопоставляются с mmc.exe. (до лечения такого не было)
Вручную соответствие задать не могу.

[regist]

1)

Не уверен, что правильно понял.

Повторите сканирование MBAM и удалите всё найденное.

2)

2. Вместо него при загрузке и периодически во время работы выскакивают два процесса

Проверьте в безопасном режиме эта проблема наблюдается?

3)

3. Файлы типа .msс не сопоставляются с mmc.exe. (до лечения такого не было)

Вирь переписал ассоциацию на себя - вирус удалён вот и вылезла проблема. Попробуйте с помощью FileTypesMan переназначить её.

[behemothus]

Повторите сканирование MBAM и удалите всё найденное.

Сделал

Проверьте в безопасном режиме эта проблема наблюдается?

Нет. В безопасном режиме все ОК, непонятных фоновых процессов не наблюдается.

Попробуйте с помощью FileTypesMan переназначить её.

Получилось проще - переназначил штатными методами в безопасном режиме.
-------------
На данный момент осталось разобраться с непонятными google crash handler и google crash handler *32.

- - - - -Добавлено - - - - -

Ой...
появилась вирусная реклама.
Проявляется следующим образом. При нажатии на кнопку (любую, судя по всему, вплоть до кнопки воспроизведения видео) открывается рекламный сайт - иногда в том же окне, иногда в новой вкладке. При втором нажатии на туже кнопку обработка корректная, без рекламы.

[regist]

На данный момент осталось разобраться с непонятными google crash handler и google crash handler *32.

Давайте пока попробуем так:

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

появилась вирусная реклама.

Насчёт этого не совсем понял. Кнопка нажатия видео подразумевается в браузере?


скачайте отсюда Оперу и проверьте проблему в ней.

+ сайты

Код:

HTTPS://WWW.GLADIATORS.RU/
HTTP://MYGLADIATORS.COM/

Вам знакомы?

- - - - -Добавлено - - - - -

+ Выполните скрипт в uVS

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v388c
BREG
delall %SystemDrive%\USERS\BEHEMPTHUS\APPDATA\LOCAL\TEMP\CHROME_BITS_5308_7336\14.83.3_WIN_SOFTWAREREPORTER.CRX
delall %SystemDrive%\USERS\BEHEMPTHUS\APPDATA\LOCAL\TEMP\CHROME_BITS_3548_8084\4_ALL_EASYLIST.CRX
restart

отпишите какие проблемы остались.

PS. советую этот скрипт выполнить первым делом и проверить уйдёт ли после него ошибка "google crash handler".

[behemothus]

Насчёт этого не совсем понял. Кнопка нажатия видео подразумевается в браузере?

ну да. В окошке с ютюба. Треугольник вершиной направо. Или по ссылке перехода на другой URL. Вообще по любому клику на вночь открытой вкладке.

Вам знакомы?

Да, игрушки давнишние. Там все чисто должно быть.

Выполните загрузку в безопасном режиме. Если проблема не наблюдается,

Я уже делал по вашей же команде.
Нет. В безопасном режиме все ОК, непонятных фоновых процессов не наблюдается.

Далее действуйте методом "половинного деления".

Понял, я знаком с "методом".

Выполните скрипт в uVS

Код:

delall %SystemDrive%\USERS\BEHEMPTHUS\APPDATA\LOCAL\TEMP\CHROME_BITS_5308_7336\14.83.3_WIN_SOFTWAREREPORTER.CRX
delall %SystemDrive%\USERS\BEHEMPTHUS\APPDATA\LOCAL\TEMP\CHROME_BITS_3548_8084\4_ALL_EASYLIST.CRX

Я прошу прощения, но у меня нет папок с такими именами. И я не помню, чтобы сам удалял.
Скрипт-то я выполнил, но он ничего, естественно, не удалил. Проблема осталась.

Остальное сделаю - через час-другой.

- - - - -Добавлено - - - - -

//===============================
Докладываю.
Полный мрак. Я отключил все службы, включая MS (кроме критических). Странные процессы сидят. В безопасном режиме, как сказал, их нет.
Хочется уже плюнуть, все равно хотел к лету десятку на этот комп поставить...

Вот единственное. Чего-то я все-таки недопонимаю. При загрузке с полностью отключенными службами и автозагрузкой кое-что все равно загружается... Служба мегафона, например.

- - - - -Добавлено - - - - -

Так. Вопрос решен. Я сильно протупил - и напрасно вас грузил.
Надо было просто погуглить. Эти процессы штатные, возникают именно при загрузке, если в системе установлен Хром, а в нем выбрана опция "отправлять отчеты о сбоях". Каким образом уж она минует отключение всех служб при запуске - не знаю.
Короче, отключил настройки в хроме - перестало мозолить глаза.

Реклама осталась, но меня не сильно утомляет (она у меня и раньше периодически всплывала, вылечить не смогли).

Так что спасибо, низко вам кланяюсь.

[regist]

Реклама осталась, но меня не сильно утомляет (она у меня и раньше периодически всплывала, вылечить не смогли).

По рекламе всё-таки сравните на тех же сайтах в этой портативной Опере, что вам дал она выскакивает?

[behemothus]

По рекламе всё-таки сравните на тех же сайтах в этой портативной Опере, что вам дал она выскакивает?

Да пока нет. Но у меня же и в FF она не каждый раз выскакивала. Надо интенсивно полазить по сайта часа два-три, чтобы что-то сказать определенно. Так что, это к понедельнику, наверное.

[regist]

Ок. Если в ней рекламы не будет, то отключайте в проблемном браузере все расширения и проверяйте проблему.

MBAM деинсталируйте.

[behemothus]

Ок. Если в ней рекламы не будет, то отключайте в проблемном браузере все расширения и проверяйте проблему.

Я это уже делал. Расширения в Лисе у меня давно отключены. Еще с прошлого раза, месяца три назад, могу даже тему тут свою найти.
Остались только родной видеокодек от мозиллы и флэш от адобы.

Но в принципе - повторю. Не вопрос.

MBAM деинсталируйте.

Сделаю.

[regist]

Остались только родной видеокодек от мозиллы и флэш от адобы.

Для теста лучше и их отключить, с мозиллой пока вроде не было, а вот в Хроме часто подменяются легальные расширения вирусные.
+ Если не поможет, то можно попробовать снести её полностью (с зачисткой профиля) и поставить заново. Возможно в профиле, что от вируса осталось.

могу даже тему тут свою найти.

сам нашёл http://virusinfo.info/showthread.php?t=205003

И в подтверждение того, что стоит попробовать зачистить профиль

Код:

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\371399084.js [2016-10-17] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\371399084.cfg [2016-10-17] <==== ATTENTION

Это как раз говорит, что вирус менял вам настройки на свои. Так что для чистоты эксперимента стоит

снести её полностью (с зачисткой профиля) и поставить заново.

и в завершение

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[behemothus]

Для теста лучше и их отключить, с мозиллой пока вроде не было, а вот в Хроме часто подменяются легальные расширения вирусные.

Не вопрос, я их тоже отключал, потом включил.

+ Если не поможет, то можно попробовать снести её полностью (с зачисткой профиля) и поставить заново. Возможно в профиле, что от вируса осталось.

Ну придется, если вы так настоятельно советуете.
Меня, собственно, только одно удерживает, там архив закладок огромный. И не только мой, общественное достояние. Я только ради этого архива и сделал фокс основным браузером. Вот если я сами закладки - только их! - экспортирую куда-то (в ТОР, что ли?!) и потом обратно уже в новый профиль волью, есть шанс, что я заразу в чистый профиль внесу?!

Выполните скрипт в AVZ при наличии доступа в интернет:

Наверное, это имеет смысл сделать после переустановки мозиллы? Нет?

Знаете, я, наверное, все-таки посмотрю завтра-послезавтра, активизируется ли эта реклама (сейчас пока её нет - ни в опере, ни в "проблемном" фоксе), потом уже буду этим заниматься.

[regist]

Вот если я сами закладки - только их! - экспортирую куда-то (в ТОР, что ли?!) и потом обратно уже в новый профиль волью, есть шанс, что я заразу в чистый профиль внесу?!

Нет, можете не бояться. И не обязательно их куда-то вливать, достачно сделать экспорт https://support.mozilla.org/t5/How-T...файл/ta-p/9060
Заодно будет бэкап на случай чего, раз они так ценны .

Наверное, это имеет смысл сделать после переустановки мозиллы? Нет?

Не имеет значение.

[behemothus]

Нет, можете не бояться. И не обязательно их куда-то вливать, достачно сделать экспорт https://support.mozilla.org/t5/How-T...файл/ta-p/9060
Заодно будет бэкап на случай чего, раз они так ценны .

Понял. Спасибо.

Не имеет значение.

ОК, сделаю.

По сути.
Вот на этом УРЛе поймал всё ту же рекламу в мобильной Опере. http://2streamking.co/supersport4
Может она и не вирусная?!