Показано с 1 по 13 из 13.

Процесс Explorer.exe выгружается (ошибка: Инструкция по адресу "0x7c9118d0" и тд.) (заявка № 12736)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38

    Thumbs up Процесс Explorer.exe выгружается (ошибка: Инструкция по адресу "0x7c9118d0" и тд.)

    Здравствуйте, своими силами не удаётся пока справится с ошибкой (вирусом), а так как компьютер в офисе используется как шлюз для доступа в инет, нет возможности на очень долго его вырубать. Проблема в следующем:
    вылетает процес Explorer.exe с системной ошибкой на экране : Инструкция по адресу "0x7c9118d0" обратилась к памяти по адресу "0x72656461". Память не может быть "written"

    Тем временем в журнале событий для приложений, приложение Winlogon пишет - Оболочка неожиданно завершила работу, и программа "Ехplorer.exe" была перезапущена.

    Перезапускается так Ехplorer.exe раз так 10, через какое то время перестаёт, потом опять много раз.



    Поискал новые файлы в системных папках, так совсем нет, но возможно просто прячутся или возможно подменили дату создания (теоретически такое возможно) ну или довольно давно вирус просто раньше не был активен. Хотя все эти раздумья просто не сильно проффесиональные.

    Прочитал на форуме что необходимо для того чтобы помогли мне, сейчас выкладываю логи прог HijackThis и AVZ.

    Есть рекомендации, но мне нужно чтобы работал MsSql Сервер и так же этот Пк работает как шлюз для доступа в интернет нашего малеького офиса, боюсь если отрублю то может не работать интернет и MSSQL 2000. Или можно отрубать эти службы?

    Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)
    Оптимизация - отключить службу TermService (Службы терминалов)
    Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)
    Оптимизация - отключить службу Alerter (Оповещатель)
    Оптимизация - безопасность - отключить автозапуск программ с CD
    Оптимизация - безопасность - отключить административный доступ к локальным дискам
    Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей



    Большущее, заранее спасибо за помощь, кто откликнется.
    Вложения Вложения
    Последний раз редактировалось Forester; 25.09.2007 в 16:35.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Логи не те. Внимательнее читай правила.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38

    сори исправлюсь щас. :)

    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи не те. Внимательнее читай правила.

    Щас исправлюсь, спасибо

    Добавлено через 3 часа 4 минуты

    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи не те. Внимательнее читай правила.
    Прикрепил логи, как написано в инструкции, только пароль на архив не делал ибо архивы делал AVZ и вроде в этом случаи не надо вставлять пароль.
    Помогите с вирем! Пожалуйста.
    Последний раз редактировалось Forester; 25.09.2007 в 16:38. Причина: Добавлено
    Не хорошо делать вирусы, люди страдают. :)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RemoteRegistry', 4);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\LINKINFO.dll','');
     DeleteFile('D:\WINDOWS\LINKINFO.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи, начиная с п.10 правил.

    P.S. Из потенциально опасных служб вам можно безболезненно выключить Alerter, SSDP и RemoteRegistry, что и сделано в скрипте.
    I am not young enough to know everything...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    корзину еще надо почистить. там тот еще рассадник.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    корзину еще надо почистить. там тот еще рассадник.
    Корзину почистил, там действительно валялись куски вирусов
    Не хорошо делать вирусы, люди страдают. :)

  8. #7
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38

    Спасибо вроде помогло.

    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RemoteRegistry', 4);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\LINKINFO.dll','');
     DeleteFile('D:\WINDOWS\LINKINFO.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Выполнил скрипт, после перезагрузки глюки с Explorer.exe пропали, то есть перестал выгружатся этот процесс.
    На ДР машине глюков нет, но были точно такие как на ПК, который мы сейчас лечим, но на ДР машине я проверил всё бесплатной утилитой от доктор веб, который подлечил машину, возможно просто грохнул антивирусник в реестре ссылки на D:\WINDOWS\LINKINFO.dll.
    ТО есть нужно грохнуть D:\WINDOWS\LINKINFO.dll файл на машине ДР, выполнив скрипт что Вы прислали?
    Размер файла такой же что и на зараженной машине был, тот же и он без подписи создателя файла.

    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи, начиная с п.10 правил.

    P.S. Из потенциально опасных служб вам можно безболезненно выключить Alerter, SSDP и RemoteRegistry, что и сделано в скрипте.

    Спасибо большое, вроде всё работает, процессы действительно оказались не нужны для стабильной работы системы.
    Логи программы прикрепляю, согласно инструкции.

    Ну и напоследок, посоветуйте какой выбрать фаервол для WIN xp, что используется как шлюз ADSL интернет и какой антивирус, анализатор инет трафика? Желательно бесплатные ну и чтобы настройка фаервола была средней сложности, я не полный лох в администрировании, но далеко не всё знаю.
    На форумах почитаешь так гнобят все антивири и все фаерволы, пользую NOD 32, но как показывает практика он совершенно не ловит троянов, а среди вирусов их как раз самое большое число.
    Понятно что AVZ и дир веба сканеры хороши, но только потом, когда уже заражены машины.
    Comodo не плохой вроде фаервол, но постоянное спрашивание действительно задалбывает, причём вопросы разрешения задают одни и теже проги, разрешаешь ставишь галку не спрашивать, всё равно спрашивает.
    Вложения Вложения
    Последний раз редактировалось Forester; 26.09.2007 в 13:26.
    Не хорошо делать вирусы, люди страдают. :)

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин сюда не слать НИКОГДА!!! Для этого есть ссылка вверху темы.

    Другая машина - другая тема. Не бывает одинаковых больных, каждый имеет какую-нибудь особенность.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    Карантин сюда не слать НИКОГДА!!! Для этого есть ссылка вверху темы.

    Другая машина - другая тема. Не бывает одинаковых больных, каждый имеет какую-нибудь особенность.
    Мне было чётко написано пользователем BrateZ выслать карантин, что я собственно и сделал.

    По поводу другой машины, согласен, но вроде работает, пускай работает, DR WEB вроде всё почистил.
    Не хорошо делать вирусы, люди страдают. :)

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не обижайся
    "Выслать" по понятиям этого форума "загрузить". Особенно то, что касается вирусов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    Не обижайся
    "Выслать" по понятиям этого форума "загрузить". Особенно то, что касается вирусов.
    Хех. Да я не обижаюсь
    Вирус в атаче грохнул.

    Большое спасибо что помог BrateZ, кстати он чё то не отписал, я выслал логи по всем инструкциям.
    Ну буду ждать.
    Не хорошо делать вирусы, люди страдают. :)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логах больше ничего подозрительного нет.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    7
    Вес репутации
    38
    Цитата Сообщение от Bratez Посмотреть сообщение
    В логах больше ничего подозрительного нет.
    Огромное спасибо, у меня есть друг по переписки из Владика Сергей, ну он там тоже жил, теперь в Москве, видимо не мало хороших людей там живёт.
    Ну я не педик просто уже женат и нет уже надобности совращать девушек из инета.

    Поставил фаервол Comodo, буду с ним по тихоньку жить.
    Успехов в выявлении вирусов тебе.
    Не хорошо делать вирусы, люди страдают. :)

  • Уважаемый(ая) Forester, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 06.01.2012, 10:46
    2. Ответов: 2
      Последнее сообщение: 20.12.2010, 17:18
    3. Ответов: 8
      Последнее сообщение: 26.09.2009, 17:06
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 06:42
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00097 seconds with 17 queries