-
Junior Member
- Вес репутации
- 60
Маскируется IEXPLORE.EXE, ругается svchost.exe
При запуске системы svchost.exe выдаёт подряд 3 ошибки примерно одинакового содержания: "The instruction at "0x13141d0e" referenced memory at "0x13141d0e". The memory could not be "written". В Application Error Log соответственно пишется 3 ошибки
"Faulting application svchost.exe, version 5.1.2600.2180, faulting module svchost.exe, version 5.1.2600.2180, fault address 0x000016b0".
После запуска в Task Manager имеется IEXPLORE.EXE. Его можно "прибить". Но при реальном запуске эксплорера, этот процесс в Task Manager не появляется. (Или если после запуска открыть эксплорер и "прибить" процесс IEXPLORE.EXE, то эксплорер продолжает работать как ни в чём не бывало.)
Утилита AVZ не обнаруживает процесс IEXPLORE.EXE (при запущеном эксплорере), как скрытый даже при загруженном AVZPM.
[/SIZE]
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Tbi07');
StopService('Jqx64');
SetServiceStart('Tbi07', 4);
SetServiceStart('Jqx64', 4);
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tbi07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx64.sys','');
QuarantineFile('C:\WINDOWS\Jqx64.sys','');
DeleteFile('C:\WINDOWS\Jqx64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqx64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbi07.sys');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
BC_ImportALL;
BC_DeleteSvc('Jqx64');
BC_DeleteSvc('Tbi07');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
При загрузке системы ошибок не выдаётся.
IEXPLORE.EXE в TackManager по прежнему не отображается. (Все логи снимались при запущеном эксплорере).
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.
-
В логах чисто.
exe-шник в windows\temp со случайным именем если не ошибаюсь от TrendMicro.
Можете пофиксить для порядка это:
Код:
O20 - AppInit_DLLs: ,
Добавлено через 3 минуты
Для справки: В карантин попали
Tbi07.sys - Trojan-Downloader.Win32.Agent.hbs
Jqx64.sys - Trojan-Downloader.Win32.Agent.ggt
Последний раз редактировалось Bratez; 10.01.2008 в 17:46.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Да, exeшник в Windows/Temp это TrandMicroSystems (каюсь, не выгрузил).
Пофиксил. Новый лог:
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.
-
Жалобы остались?
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 60
При запуске интернет эксплорера в Tack Manager процесс IEXPLORE.EXE не отображается. Запускать пробовал непосредственно из C:\Program Files\Internet Explorer. AVZ не видит его как скрытый процесс тоже.
Из перечисленного необходим только административный доступ к дискам C$ и D$.
-
Сообщение от
Andrey Golubev
Internet Explorer. AVZ не видит его как скрытый процесс тоже.
в смысле не видит ... просто не отображает ... так как он проходит по базе безопасных ...
Сообщение от
Andrey Golubev
Из перечисленного необходим только административный доступ к дискам C$ и D$.
если это дейсвительно так ....
то такой скрипт ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
Интернет эксплорер запускается и работает, но как "запущеный процесс" нигде не отображается.
-
вы логи делали с запущенным IE ? ... похоже нет ... (тогда сделайте с запущенным как написано в правилах )
-
-
Junior Member
- Вес репутации
- 60
Интернет эксплорер был запущен. Повторил проверку (в интернет эксплорере всегда была открыта эта страница форума!)
Новые логи.
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.
-
пришлите iexplore.exe ... согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
AVZ почему-то в карантин помещать отказывается. (нахожу через Поиск файлов на диске, отмечаю галочкой нажимаю Поместить в карантин. Захожу в карантин - пусто). Я скопировал через проводник и заархивировал с паролем virus.
-
присланный файлик чистый ...(авз его отказывается карантинить- так как он проходит по базе безопасных )
Добавлено через 2 минуты
выполните скрипт...
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось V_Bond; 10.01.2008 в 20:49.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
Выполнил, ничего не изменилось.
С появлением этой проблемы ещё заметил следующее: обычный проводник (explorer.exe) перестал запоминать размер окна и открывается всегда доволно-таки большим окном. Раньше этого не было.
Также обнаружил, что если раньше, когда закрываешь все оена IE, то при следующем открытии IE, пути (например, Save Picture As...) сбрасывались по умолчанию. Сейчас сохраняется путь, который использовался в последний раз (как будто процесс IEXPLORE.EXE не завершался).
При этом если закрыть IE, "прибить" процесс explorer.exe и запустить его вновь, то при открытии IE пути устанавливаются по умолчанию (т.е. остановка explorer.exe останавливает и "невидимый" IEXPLORE.EXE ).
Последний раз редактировалось Andrey Golubev; 10.01.2008 в 21:24.
Причина: Добавлено
-
авз - диспетчер процессов ... explorer.exe сделайте протокол используемых dll
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:49.
-
Junior Member
- Вес репутации
- 60
Никаких новых соображений нет?
-
comdlg32.dll и sdshext.dll пришлите по правилам ....
-
-
Junior Member
- Вес репутации
- 60
comdlg32.dll у меня "патченый" (увеличены размеры окон по умолчанию и формат отображения сменён на Details).