Проблема с Explorer.exe
 

Извините если задал вопрос не в том разделе, но я откровенно задолбался искать ответ на этот вопрос
Примерно после недели как я в очередной раз переустановил винду, я столкнулся с вирусом, который очень долго долбал мне мозги, это был вирус lsass.exe, через некоторое время он исчез, но оставив свои остатки, вобщем этот вирус снял с автозагрузки explorer.exe
В интернете я нашёл решение, в реестре у параметраа shell должно быть значение explorer.exe и ничего более, но у меня прописано Explorer.exe "C:\Users\neeDspeeD\AppData\Roaming\lsass.exe" и вот он чёртов lsass.exe но при удалении лишнего а точнее "C:\Users\neeDspeeD\AppData\Roaming\lsass.exe" эта же строка восстанавливается снова, а как такового файла lsass.exe нет, и по видимому он таки и удалился антивирусом, и винда хочет его загрузить, но его нет и по этому она ничего не делает, мне приходилось при каждом включении вручную запускать explorer и это уже порядком надоело
Вопрос в том что я не знаю как удалить из реестра строку "C:\Users\neeDspeeD\AppData\Roaming\lsass.exe" если она восстанавливается?

Он не будет восстанавливаться сама по себе - его тебе восстанавливает зловредное ПО.

Вам может показаться, что его нет - есть такое понятие, как руткит, перехватывающий функции и выдающий ложный результат.
Например, вы открываете папку C:\Users\neeDspeeD\AppData\Roaming, вызывается функция в стиле "Отобрази мне Windows содержимое папки". Руткит видит, что вызвали эту функцию, перехватывает, удаляет отсюда строчку с упоминанием о файле lsass.exe и вы в итоге этот файл не видите, хотя фактически он присутствует.

И что мне теперь делать?

Если решать проблему насчет строчки с explorer.exe, не затрагивая тему об инфекции, то можно попробовать принять следующую политику:
Пуск>Выполнить>gpedit.msc>Конфигурация пользователя>Административные шаблоны>Система>Включаете "Особый интерфейс пользователя" и задаёте explorer.exe

Needspeed, А вот у меня этот самый в процессах находится, и ничего такого страшного я не замечаю.Может чего-то я не так понял?

Можно поподробнее,у меня при входе пишет что невозможно отобразить все элементы activeX, приложение может работать неправильно
2 где включить особый интерфейс пользователя?

Недавно была проблема такая, эксплорер у меня не убрался из автозагрузки, всего лишь он запускался сквозь вирус (или через пустое место, оставшееся от вируса)
скажи, какое значение у тебя в реестре в HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
да, и можно поподробней, это виста или семёрка?
LSASS - не вирус, хотя через него нередко пролезают вирусняки
да, кстати, попробуй при включении компа открыть диспетчер задач и через него запустить эксплорер, скажи результат

Вы обратили внимание на путь? Он должен находиться в C:\WINDOWS\system32\lsass.exe, но никак не в C:\Users\neeDspeeD\AppData\Roaming\lsass.exe - тупо маскировка под системный процесс Windows'а, этот трюк с похожими именами легко можно обнаружить, если использовать Process Explorer вместо штатного диспетчера задач.

Needspeed
Лучше возьмите на вооружение AVZ и посмотрите, сколько нарушений в системе он выявит.

А это что?

Да, читаю я через слово иногда=)
Тогда, вероятно, моя версия отпадает, хотя не полностью

У меня семёрка, попробую через avz,хотя врядли поможет,и кстате в последнее время при ручном запуске у меня експлорер стал зависать!

Версия о том, что запускается поддельный explorer.exe? Вполне может быть - заразил explorer.exe вот он тебе и чужой. Хотя обычно любят внедрятся в него через какой-нибудь плагин для explorer.exe.

Needspeed
Также если есть загрузочный диск - используйте его и запустите сканеры, например Kaspersky Virus Removal Tool, CureIT, NOD32 On-Demand Scanner.

Или использовать жесткий вариант - переустановка Windows. Только проблема в том, что я не знаю, через что вы подхватили это, так что если дырка не будет закрыта - вы снова испытаете это на себе.

myhouse_1991, Я посмотрел у меня этот exe-шный файл там и находитсяДа и вообще какой тогда смысл отказывать себе во всем, собирать деньги на антивирус , чтобы он потом заразу всякую на компьютер запускал.

Какой антивирус у тебя стоит? Обновлял его регулярно? Не баловался регулярным отключением самого антивируса или части его функционала?

Предлагаю также обратиться за помощью в раздел Лечение систем от вредоносных программ, в котором помогут проверить - насколько полноценно ты избавился от зловредов.

Так это сервис, он всегда есть. Просто никто не запрещает запустить lsass.exe из другой пути с тем же именем. Process Explorer может показать из какой директории он был запущен, но это работает если нет руткита (он может перехватить запрос и дать ложный результат) и вирусописатель не использовал трюки с переименованием папки.

У меня Касперский 9.0.0.459 ,базы раз пять в день обновляет.xoxmodav, Вы лучше вот что

обьясните:я поставил IDM, скорость у меня очень маленькая : через USB - модем связь

идет,хотел чуть увеличить,начал скачивать и вижу что у меня все также осталось 20-30 Kb/s,

а в сеть фиг его знает куда что-то большие обьемы информации какой-то стали уходить. Я

удалил конечно от греха подальше этот загрузчик. Касперский ничего не заподозрил .Может

вопрос не по теме конечно но все же интересно было бы узнать ваше мнение?

pankraty, надо было мониторить трафик, чтобы понять что откуда, куда, зачем и почему тянет.

Если я правильно понимаю, то IDM - это "Internet Download Manager", который далеко не бесплатный? Ставили триал-версию или "вылеченную"? Каким образом определили объёмы исходящего трафика?

Я не знаю как мониторить.Версия "вылеченная" конечно. А узнал очень просто : вместе с модемом программа идет и там все показатели сколько ушло,сколько пришло. FDM легальный позже установил там нормально все.Но я не сказал что это в торенте происходило , может IDM интегрировался, и на радостях дул и нашим и вашим по максимуму.

xoxmodav, Вы оказались правы Касперский кое-что все таки пропускает.Я на досуге решил почитать информацию которую вы

посоветовали.Про Cureit слышал давно от знакомого программера , вот решил опробировать и вот что имею вам сообщить : в

усиленном режиме он сразу обнаружил объект cmdcow.exe который сидел в C:\Windows\System32 , статус:Tool Process

Kill.18 ,также вывалилось сообщение что модифицирован какой-то файл Hosts мне это ничего не говорит ну раз нашел значит

надо ,предложил то ли поменять то ли восстановить

точно не помню, а тот cmdcow.exe я ничего ни придумал больше как его удалить.Cureit
распознал его как программу взлома(что это и насколько опасно?)

В карантине после ребута файл hosts и descript.ion, я в информатике ни силен но так понял что они связаны как-то. В связи с

вышеизложенным жду вашей оценки проведенных мной мероприятий.C уваженим pankraty,

Ничего особо страшного CureIt! не обнаружил. cmdcow.exe - утилита для изменения/закрытия.убиения и т.п. окон программю Ей, конечно, могут воспользоваться зловреды, но они и сами неплохо справляются. Что касается hosts - CureIt! реагирует на любые записи в нём, кроме стандартной: Покажите закарантиненый файл hosts, может в нем ничего страшного. В общем, Касперский вполне на уровне Вас защищает. Другое дело - от всей заразы не защитит никто, к сожалению...

Как же не обнаружил батенька?

C:\WINDOWS\system32\cmdow.exe является программой взлома Tool.ProcessKill.18

Да и стал бы просто так я проверять, подозрения у меня были.

А файлик я не знаю чем его просмотреть. Сейчас запакую и приложу изучайте.

А про Kaspersky скажу: не надо забывать что у меня всего лишь обычная урезанная версия KAV

в KIS в половину больше оборона.

На сайте разработчика написано
Вот еще интересно, почему он ShellAPI не определяет как за библиотеку для взлома.
Кстати, если это не вы положили сюда, то есть повод для беспокойства - вероятно, зловредная программа им воспользовалась, хотя могла спокойно воспользоваться библиотекой ShellAPI.

Обычным текстовым редактором.

Там много лишних переходов на новую строку и пробелов, чтобы усложнить изучение. Но через HEX редактор все равно удобно смотреть. У вас помимо 127.0.0.1 localhost есть еще:
Если делали не вы, то это, вероятно, перенаправление на фишинговый сайт с целью выкрасть пароли.

В контакте я вообще не был.В одноклассниках пытался зарегистрироваться до того момента

пока отзывы не почитал и до того как смс не предложили прислать для активации или чего там

еще.Больше туда ни ногой.Я чего вообще занялся проверкой:захожу Пуск>Выключение а вместо

стандартного окошка - Ошибка Explorer.exe, не постоянно но нервирует,в других приложениях

совершенно безобидных опять то же ,только ссылаются на другие файлы . Сейчас вроде при

выключении тьфу тьфу тьфу. ShellAPI вообще не знаю что это,тем более ничего туда не ложил.

В Каспере есть вроде от фишинговых сайтов защита чего он дремлет? Да Да есть Анти-Фишинг ,работает.

cmdcow может и не вредный , но если это он воду мутил при выключении,опять же повторюсь

сейчас этого нет , то тогда на фиг он нужен.

Ладно, спасибо всем за помощь, но в итоге я просто переустановил windows и поставил kaspersky с 5-годовыи триалом, так что еперь вирусы для меня не проблема

Всё просто - панацейных идей не существует. Откуда ему знать, что это не вы сделали? Кроме того там есть куча пробелов и переходов на новую строку - вполне возможно, что анти-фишинг на такое не рассчитан. А Dr.Web всё просто делает - проверяет hosts на наличие любых изменений. А если это вы добавили, то тогда что? Ложное срабатывание и постоянное нервирование пользователя.
Кроме того существует такой слой защиты, как работа с пониженными привилегиями - зачем вы постоянно даёте программам полный доступ? Неужели, например, браузеру нужны такие возможности, как изменять системные файлы, изменять критические ветки реестра и так далее? Как только вы попадете под уязвимость, которая не определяется антивирусами - вы заражены полностью, когда при работе с заниженными привилегиями вам лишь нужно почистить пользовательскую папку.

Круто, машиной времени воспользовались? Антивирус лучше уж покупать, а продукты Касперского того стоят, либо пользоваться бесплатным.
Если б я чуть не каждую неделю наблюдал завирусованные по самое некуда компьютеры с Kaspersky Internet Security или Антивирус 2011, с актуальными базами, я, возможно, и порадовался бы за Вас... Нет и не может быть панацеи. Безопасность системы определяется самым уязвимым её звеном - пользователем. Который ставит всяческие сборки Windows с отключенными "для удобства" защитными механизмами типа UAC и восстановления системы, который всегда жмёт Да/Ok/Игнорировать на любые предупреждения системы и антивируса - ему ж надо обязательно установить свежую софтину для поднятия рейтинга Вконтакте, загрузить "кодек", без которого порнушку на сайте не посмотреть. Это я не про Вас, Needspeed, это констатация обстановки в общем...

vvvyg, Абсолютно с вами согласен. Все проблемы когда начинаются? Тогда когда хочется

запретный плод попробовать. По поводу лицензионной винды замечу: я ее могу конечно купить,

но тогда мне придется зубы на полку положить.Не все в больших городах живут где и работа

есть и интернет высокоскоростной и магазинов компьютерных хватает,а не как у нас один на

район да и в том цены раза в три больше на все .

myhouse_1991, По поводу заниженных привилегий браузера. Как например в случае если

IE 8-й версии используется это можно настроить?

Если не стремиться к Ultimate версии, а обойтись Basic - можно и не разориться. Мне нравится, Aero я терпеть не могу. :)

Во-первых, проще, правильнее и безопаснее работать под учёткой обычного пользователя, тогда и браузер, соответственно, будет работать без админских прав. А для установки программ, администрирования и т.п. мне, например не в лом запускать от имени администратора.
Во-вторых, можно воспользоваться для запуска браузера с пониженными привилегиями программмами типа AdmiLink, DropMyRights.

Все это правильно конечно , почитал я , грамотно так написано , про Admilink , но к сожалению
непонятно.Единственное что я там понял : работает все при условии пользователя с ограниченными правами т.е. он там должен быть по любому. Я создал пользователя , вот результат:

Какую программу вы запускаете? USB-модем Билайн под ограниченным пользователем? Там немного кривая реализация - настройки он пишет в директорию с программой и вам нужно переправить права доступа на некоторые файлы, чтобы программа могла записывать сюда данные.

USB-модем МТС

Тут вы можете пойти разными путями:
0) Продолжать работать постоянно под администратором и тем самым подвергать лишнему риску компьютер.
1) Через AdmiLink сделать ярлык для запуска с повышенными правами.
2) Посмотреть через Process Monitor явления с ACCESS DENIED и переправить права доступа.
3) Использовать встроенное LUA исправление (перенаправляет запись файлов в другое место когда нет доступа на запись). Его можно задействовать как через Application Compatibility Toolkit как и через правку реестра. В Windows Vista и Windows 7 это делается на автоматическом уровне если включено UAC.

Как дальше вам работать - решайте сами.

Не того же самого ли я достигну добавив себя в группу опытных пользователей?

Опытные пользователи по сути тоже имеют права администратора - они могут практически всё перезаписывать, кроме некоторых исключённых файлов. Даже в Windows Vista и Windows 7 эту группу пользователей убрали за бесполезность, оставив лишь только имя группы для обеспечения совместимости.

myhouse_1991, А что вы скажете по поводу DropMyRights.Если ее под админом запускать
с ограниченными правами , я почитал там есть такая возможность когда нельзя будет во время сеанса IE вносить изменения в реестр,то есть будет работать админ но в тоже время с правами обычного пользователя.

Можно так сделать и без DropMyRight - нажмите правой кнопкой мыши на IEXPLORE.EXE, Запуск от имени, поставь галочку "Защитить компьютер от несанкционированных действий данной программы". После данная программа запустится от группы "ОГРАНИЧЕННЫЕ" - в правах он ограничен ещё жестче, чем обычный пользователь: нет доступа к папке пользователя, реестр становится полностью в режиме "Только чтение"...

Если просто запускать от прав обычного пользователя (не от группы ОГРАНИЧЕННЫЕ, а от группы Пользователи), то в Windows XP есть дыра - владелец имеет полный доступ ко всем своим процессам. Для примера вы можете запустить диспетчер задач от обычного пользователя и уничтожить свои процессы, которые имеют права администратора. Также владелец может спокойно модифицировать все свои процессы. Хотя многие этого не знают, так что шансы на то, что кто-то этим воспользуется, минимальны, но если зловредное ПО будет проводить, например, инъекцию DLL в каждый процесс, то вас не спасёт отдельный запуск программы от группы Пользователи, а только от группы ОГРАНИЧЕННЫЕ. Кстати, в Windows Vista и Windows 7 такой дыры нет и процессы текущего пользователя, но с разными привилегиями, полностью друг от друга отделяются.

Кроме того работать постоянно под администратором таким методом всё равно опасно - вы можете, например, столкнуться с уязвимостью обработки картинок в explorer.exe и выполнится произвольный код от имени администратора. Или же при чтении PDF Adobe Reader'ом вы можете наткнуться на уязвимость и выполнится произвольный код от имени администратора...

myhouse_1991, Ни фига я не понимаю как перенаправить запись файлов.Через Admilink пробовал сделать ярлык для запуска-не получается.Можно как-нибудь поподробнее про Process Monitor или про Application Compatibility Toolkit как там это делать?