[решено] 2 процесса IEXPLORE.EXE в памяти - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] 2 процесса IEXPLORE.EXE в памяти (http://forum.oszone.net/showthread.php?t=121939)

DragonLove

04-11-2008 16:07 942768

2 процесса IEXPLORE.EXE в памяти

Вложений: 1

hijackthis.zip (3.40 KB, скачиваний: 19)

Проверял антивирями , оутпостом , ад-аваре - ничего не находит, но постоянно горит 2 иексплоре в памяти и то и дело включается окно с рекламой

Pili	05-11-2008 09:29 943371

Цитата:

Восстановление системы: включено

Отключите.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\docume~1\aed9~1\applic~1\grimmf~1\FLAW BUILD CORN.exe','');

 QuarantineFile('C:\WINDOWS\ASScrProlog.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe','');

 QuarantineFile('C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe','');

 QuarantineFile('C:\WINDOWS\system32\DSA.dll','');

 QuarantineFile('c:\program files\p4p\p4p.exe','');

 QuarantineFile('c:\windows\asscrpro.exe','');

 DeleteFile('C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe');

 DeleteFile('c:\docume~1\aed9~1\applic~1\grimmf~1\FLAW BUILD CORN.exe');

 DeleteFile('C:\WINDOWS\Tasks\A23C0A30907FB24C.job');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin        

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O

Код:

2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [2audio] C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe

O9 - Extra button: The Weather Channel - {2E5E800E-6AC0-411E-940A-369530A35E43} - (no file)

O9 - Extra 'Tools' menuitem: The Weather Channel - {2E5E800E-6AC0-411E-940A-369530A35E43} - (no file)

Повторите логи.

DragonLove

05-11-2008 13:45 943637

Вложений: 1

hijackthis.zip (3.30 KB, скачиваний: 14)

Новые логи .... проблема осталась

Pili	05-11-2008 15:12 943733

DragonLove, выполните скрипт

Код:

begin

ClearQuarantine;

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\TwcToolbarIe7.dll','');

 QuarantineFile('C:\Program Files\RadarSync\tbRada.dll','');

 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ousb2hub.sys','');

 QuarantineFile('C:\WINDOWS\system32\Drivers\ousbehci.sys','');

 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipswuio.sys','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

ClearHostsFile;

SetAVZPMStatus(True);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin        

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
некоторые файлы по предыдущему карантину ушли в вирлаб на доп.анализ
Повторите логи virusinfo_syscheck.zip и hijackthis

DragonLove

05-11-2008 16:10 943800

Вложений: 1

hijackthis.zip (3.20 KB, скачиваний: 14)

продолжение ..... IE вроде перестал появляться

Pili	05-11-2008 16:48 943833

DragonLove, файлы из 2-го карантина чистые, подождем ответа вирлаба по некоторым файлам из 1-го карантина
Вместо IE рекомендую пользоваться Firefox c плагином NoScript и AdBlock Plus
Пока можете провериться с помощью Malwarebytes' Anti-Malware, скачайте MBAM, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

DragonLove

05-11-2008 19:05 944008

Код:

Malwarebytes' Anti-Malware 1.30  Версия базы данных: 1368  Windows 5.1.2600 Service Pack 2    05.11.2008 18:57:52  mbam-log-2008-11-05 (18-57-52).txt    Тип проверки: Полная (C:\|D:\|)  Проверено объектов: 76376  Прошло времени: 20 minute(s), 54 second(s)    Заражено процессов в памяти: 0  Заражено модулей в памяти: 0  Заражено ключей реестра: 0  Заражено значений реестра: 0  Заражено параметров реестра: 0  Заражено папок: 0  Заражено файлов: 0    Заражено процессов в памяти:  (Вредоносные программы не обнаружены)    Заражено модулей в памяти:  (Вредоносные программы не обнаружены)    Заражено ключей реестра:  (Вредоносные программы не обнаружены)    Заражено значений реестра:  (Вредоносные программы не обнаружены)    Заражено параметров реестра:  (Вредоносные программы не обнаружены)    Заражено папок:  (Вредоносные программы не обнаружены)    Заражено файлов:  (Вредоносные программы не обнаружены)

Только все равно сейчас странности ... При запуске системы IE автоматом выдает кучу ошибок сценариев и оутпост блочит попытку изменения процесса IEXPLORE.EXE

Код:

13:23:39        TOOL WAY.EXE        Заблокировано        Приложение пытается изменить память другого приложения.        Процесс: TOOL WAY.EXE, Целевой процесс: IEXPLORE.EXE

Pili	05-11-2008 20:59 944153

DragonLove, очень странно, C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe удален скриптом и по новым логам его не было, вы снова какую нибудь программу после посл. логов не ставили? Сделайте ещё раз лог virusinfo_syscheck.zip
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt t и прикрепите к сообщению

Ego1st

05-11-2008 21:49 944230

попробуйте отключить из автозагрузки
программу The Weather Channel FW

я бы еще этот файлик посмотрел C:\WINDOWS\system32\DSA.dll

DragonLove

05-11-2008 22:38 944289

Tool way.exe нашел по адресу C:\WINDOWS\Prefetch\TOOL WAY.EXE-026C5A9A.pf
Создан третьего , изменен пятого ноября.... Сейчас выполню вышесказанное.

Ego1st, куда отправить DSA.dll ?

DragonLove

05-11-2008 23:12 944327

Вложений: 2

rsit.zip (16.80 KB, скачиваний: 16)
OTViewIt.zip (46.50 KB, скачиваний: 14)

Все сделал

Pili	05-11-2008 23:29 944353

Цитата:

Цитата DragonLove

куда отправить DSA.dll ? »

Он забирался в карантин и он чист по virustotal,
Tool way.exe из C:\WINDOWS\Prefetch, судя по логам, не запускается (не активен), можете удалить и оттуда

Цитата:

C:\Program Files\The Weather Channel FW\Desktop\DesktopWeather.exe
C:\WINDOWS\System32\acovcnt.exe
C:\Documents and Settings\Лешка\Local Settings\Application Data\ModifyFlash.exe
C:\Documents and Settings\Лешка\Local Settings\Application Data\Install.exe

- проверьте на virustotal.com
ответ из вирлаба ещё не пришел, в т.ч. по файлам C:\WINDOWS\ASScrPro.exe, C:\WINDOWS\ASScrProlog.exe - они скорее всего от Asus
В файл hosts 89.188.110.25 сами запись вносили? если нет, пофиксите в HJT

Код:

O1 - Hosts: 89.188.110.25 gej.ru

Можете убрать лишнее из автозагрузки, пофиксив строчки с 04, напр., чтобы убрать из автозапуска DesktopWeather.exe, можно пофиксить строчку

Код:

O4 - HKCU\..\Run: [DW6] "C:\Program Files\The Weather Channel FW\Desktop\DesktopWeather.exe"

или/и ChamClock.exe

Код:

O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe

А так по логам ничего зловредного не вижу

DragonLove

06-11-2008 17:55 945145

hosts модифицировал сам , так как нужен доступ к настройкам скрипта на старом серваке ....

Цитата:

C:\Documents and Settings\Лешка\Local Settings\Application Data\ModifyFlash.exe
C:\Documents and Settings\Лешка\Local Settings\Application Data\Install.exe

это судя по подписям от асуса
Эти две вещи мне нужны в автозагрузке ( первая показывает погоду по городу в онлайне , вторая - часики )

Pili	06-11-2008 18:11 945158

Цитата:

Цитата DragonLove

hosts модифицировал сам »

а я то испугался, что зловред необнаруживаемый (hosts чистился скриптом, по ip другое dns имя д.б.) :)

Цитата:

Цитата DragonLove

это судя по подписям от асуса »

хмм.. а судя по OTViewIt файлы ModifyFlash.exe и Install.exe не содержвт цифр.подписи, если чистые, то по логам чисто. Проблема если и появляется, то не из за вирусов.

DragonLove

06-11-2008 18:51 945195

Да , всем спасибо .... Ошибки сценариев IE при загрузке системы идут со страницы , которая подгружается программой DesktopWeather.exe ( карта с метео описаниями ) видать , чтото они наваяли не так :) Одно но - смущают три процесса:
ALU.exe ? запущеенный от моего имени 4 346 КБ
usnsvc.exe от SYSTEM 2 780 КБ
CCC.exe от моего имени 11 640 Кб

Pili	06-11-2008 20:14 945261

Цитата:

Цитата DragonLove

ALU.exe ? запущеенный от моего имени 4 346 КБ »

c:\program files\asus\asus live update\alu.exe - Copyright (C) 2002 ASUSTek. Corporation
есть в автозагрузке
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe

Цитата:

Цитата DragonLove

usnsvc.exe от SYSTEM 2 780 КБ »

C:\Program Files\Windows Live\Messenger\usnsvc.exe - Microsoft Corporation
стартует как служба
R3 usnjsvc;Служба Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe

Цитата:

Цитата DragonLove

CCC.exe от моего имени 11 640 Кб »

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe - ATI Technologies Inc.
также в автозагрузке
C:\Documents and Settings\Лешка\Главное меню\Программы\Автозагрузка\CCC.lnk = C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
по логу HJT
O4 - Startup: CCC.lnk = ?

Время: 14:45.