Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 66.

iexplore.exe и еще много чего (заявка № 13876)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48

    Thumbs up iexplore.exe и еще много чего

    Всем привет. Я тут впервые, поэтому заранее прошу прощения за ошибки, если будут.
    1) Проблема такая: комп атаковала куча малвари сразу. Еле отбился, но остался один неубиваемые процесс iexplore.exe, который запущен (как показывает Process Explorer) из папки С:/Program Files/Internet Explorer/ . Как его прикончить? у меня винда стала в 2 раза дольше грузиться и инет тормозит по-страшному, даже когда я им не пользуюсь, видно что трафик идёт...
    2) Мой Каспер нашел скрытый процесс C:\WINDOWS\system32\koos.exe. Что это за перец такой?
    3) Насчет той атаки...у меня куча процессов было запущено, я их прикончил, вычистил, а сами ехе-шники себе на память оставил, кто-нить возьмётся их потрошить? я ассм не знаю пока, и дизассмом пользоваться не умею, тоже пока...мне ОЧЕНЬ интересно что они делают...
    4) После атаки я не могу войти в свойства Моего Компьютра, пишет что "операция отменена в следствие действующих на комп ограничений", хотя под админов сижу и никаких ограничений см не ставил.
    И еще пропала Панель Управления из Пуска...как будто её и не было, стандартный файрвол Виндоса тоже пропал
    5) при выполнении скрипта "лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" система вылетает в синий экран (2 раза пробовал), код STOP 0x0000007E (0xC0000005, 0x8057A6A9, 0xF7CB8854, 0xF7CB8550)
    Последний раз редактировалось Titanus; 05.11.2007 в 18:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\gkvlbd.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('C:\Program Files\BillP Studios\WinPatrol\PATROLPRO.DLL','');
     QuarantineFile('C:\WINDOWS\system32\koos.exe','');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
    BC_ImportAll;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    2. Поищите через AVZ файл Tihq44.sys и если найдете - закарантиньте.
    3. Пришлите карантин согласно приложению 3 Правил

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Сделайте ещё один лог как написано здесь.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    1. скрипт выполнить не удалось, система улетела в тот же самый STOP 0x0000007E (0xC0000005, 0x8057A6A9, 0xF7CB8854, 0xF7CB8550)
    2. файл Tihq44.sys AVZ не нашел, так же как и обычный поиск

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    уберите строки
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    и попробуйте выполнить скрипт ....

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    2 Maxim
    по вашей ссылке сделал лог

    2V_Bond
    после удаления строк скрипт выполнился без ошибок, процесс iexplore.exe пропал. Однако винда по-прежнему грузится долго, правда больше трафик не пропадает

    И еще подскажите, плиз, насчет пункта 2, 3 и 4 в моём первом посту
    Последний раз редактировалось Titanus; 05.11.2007 в 18:27.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Загрузите карантин-то...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tihq44', 'Start');
     RebootWindows(true); 
    end.
    после перезагрузки еще один ....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('Tihq44.sys','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
     QuarantineFile('\??\C:\WINDOWS\system32\kprof','');
     DeleteFile('\??\C:\WINDOWS\system32\kprof');
     DeleteFile('\??\C:\WINDOWS\system32\poof');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('System32\DRIVERS\Tihq44.sys');
     DeleteFile('Tihq44.sys');
     BC_DeleteSvc('Tihq44');
    BC_DeleteSvc('kprof'');
    BC_DeleteSvc('poof');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи....

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    пардон, вот...(там не все, а только основные подозрительные файлы, т.к. полный карантин весит более 3 мегов)

    и еще, я ошибся, трафик по-прежнему утекает...
    Последний раз редактировалось Titanus; 05.11.2007 в 18:27.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нужны новые логи.
    I am not young enough to know everything...

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    2 V_Bond
    исполнение вашего первого скрипта заканчивается полётом на тот же самый STOP 0x0000007E (0xC0000005, 0x8057A6A9, 0xF7CB8854, 0xF7CB8550), если же выполнить второй, то пишет что "Ошибка ')' expected в позиции 15:14"

    2 Bratez
    прошу 5 минут, чтоб собрать их заново

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\System Volume Information\_restore{2407B785-E19E-45AF-8AC2-FC57CDB79ECC}\RP19\A0010961.exe
    C:\System Volume Information\_restore{2407B785-E19E-45AF-8AC2-FC57CDB79ECC}\RP19\A0010958.exe
    Trojan-Dropper.Win32.Delf.uq
    C:\Documents and Settings\All Users\Документы\Settings\partnership.dll Troyan-Proxy.Win32.Xorpix.bt
    C:\WINDOWS\system32\drivers\ip6fw.sys Trojan-Downloader.Win32.Agent.acl
    C:\WINDOWS\system32\gkvlbd.dll -Backdoor.Win32.Agent.adr
    C:\WINDOWS\system32\sulimo.dat not-virus;Hoax.Win32.Renos.lq
    отключите Восстановление системы
    ждем новые логи...

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    новые логи...

    отключите Восстановление системы
    Легко сказать , мне закрыт доступ в свойства Моего Компа, пишет что "Операция отменена вследствие действующих на компьютер ограничений. Обратитесь к администратору сети".
    Последний раз редактировалось Titanus; 05.11.2007 в 18:27.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделайте полную проверку cureit.exe ... затем повторите логи ...

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    Ошибка в позиции 3:1

    с таким тормозным инетом я cureit.exe полчаса качать буду...

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    после проверки cureit.exe .сделайте так ..
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Извиняюсь за свою ошибку, совсем заработался... V_Bond меня поправил

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Предлагаю такой план.

    1. Пофиксить в HijackThis:
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\gkvlbd.dll
    O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\gkvlbd.dll
    2. Не перезагружаясь после фикса, выполнить скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Tihq44.sys');
     BC_DeleteFile('C:\WINDOWS\system32\gkvlbd.dll');
     BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('Tihq44');
    BC_Activate;
    RebootWindows(true);
    end.
    3. После перезагрузки выполнить еще один:
    Код:
    begin
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(13);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    А потом уж можно и логи делать.
    I am not young enough to know everything...

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.11.2007
    Сообщений
    106
    Вес репутации
    48
    проверял cureit.exe, система улетала туде же...ОДНАКО, после операций, предложеных Bratez, cureit запустился, щас ищет всякую гадость по полной программе. Инет стал нормальным...пока что...Винда грузится норм, Свойства Моего Компа и Панель управления появилась, , но пока не удается отобразить параметры Брандмауэра Windows в следствии неопределённой ошибки...
    Пока найдено 35 инфицированых файлов, все удалены, пока что 9% проверено...проверит всё - отпишусь о результатах.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    После окончания проверки повторите логи.

  • Уважаемый(ая) Titanus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Много процессов iexplore.exe
      От chief61 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.12.2011, 21:24
    2. Много процессов iexplore.exe*32
      От Amadeus1 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.01.2011, 01:10
    3. Много процессов iexplore.exe
      От Rossoneri в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.12.2010, 15:39
    4. iexplore.exe много процессов
      От 666869 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.01.2010, 12:54
    5. много процессов IEXPLORE.EXE
      От minicooper в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 09.12.2009, 20:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01227 seconds with 16 queries