Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   iexplore.exe в процессах (http://forum.oszone.net/showthread.php?t=112373)

kaizer 27-07-2008 13:30 862012
iexplore.exe в процессах
 
Вложений: 1
Ситуация следующая. При открытии скажем 2 -3 окон эксплорера 7 и затем закрытия одного или парочки, iexplorer.exe от них остаётся в процессах и грузит на 100%, хотя сами окна уже закрыты. Пока не убьёшь вручную,туго открываются сайты в первом окне.
Можно ли как то это подлечить или существует ли какая то прога чтобы отслеживала и убивала эти процессы атоматом? А то геморой такой,постоянно с диспетчером открытым сижу. :(

Petya V4sechkin 27-07-2008 13:41 862016
kaizer, попробуйте сбросить параметры и/или переустановить.

Dirk Diggler 27-07-2008 13:53 862020
Цитата:
Цитата kaizer
iexplorer.exe »
Имя подозрительное. И вообще всё, что связано с IE - излюбленная область атаки разных вредоносных программ. Так что копните в этом направлении, загрузитесь с диска проверьтесь на вирусы, в безопасном режиме юзаните hijiackthis, rootkitrevealer и AVZ ну и т.п.

Severny 27-07-2008 14:10 862029
Цитата:
Цитата kaizer
iexplorer.exe »
Ошибка? (iexplore.exe).
Предоставь логи
Цитата:
Цитата Dirk Diggler
в безопасном режиме юзаните hijiackthis, rootkitrevealer и AVZ ну и т.п »
В безопасном режиме от них толку меньше всего.

FRZ 27-07-2008 19:50 862205
Цитата:
Цитата Severny
Ошибка? (iexplore.exe). »
не ошибка, а вирус. На неделе на работе схватили такой же. офф-сканер DrWeb удалил. Только удалять надо из-под конкретной учетки, где сидит вирус. В безопасном режиме НЕ НАХОДИТ!!!

Severny 27-07-2008 20:16 862233
FRZ,
В названии темы iexplore.exe, в тексте iexplorer.exe. Где-то ошибка.
В любом случае обсуждение останавливаем до получения логов.

kaizer 28-07-2008 19:34 862997
Прошу прощения, опечатка вышла, в процессах висит iexplore.exe . Тот самый который появляется при открытии эксплорера 7.
Просто при его закрытии,он так и остаётся временами,а временами исчезает.
Неужели вирус ? Выглядет как будто,просто баг какой то эксплорера,не до конца браузер выключается.

Severny 28-07-2008 22:48 863139
kaizer,
Цитата:
Цитата Severny
В любом случае обсуждение останавливаем до получения логов. »

kaizer 31-07-2008 01:58 864828
Прикрепил логи в первом сообщении.
Возник вопрос, при сканировании доктор вебом, в system 32 , был найден и удалён один вирус всего lsass2.exe. Так же обнружены штук 10 архивов с прогаммами возможно сдержащими бэк дор или троян даунлоадер,они были перемешены в паку доктора веба(карантин),это просто реакция на то что проги крякнутые возможно. Так вот что делать с этими прогами из карантина? Их надо удалить или как?

PavelA_VI 31-07-2008 12:29 865055
Это Ваше?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = >>> 'Full Speed' Enabled <<<

профиксить:
Код:
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl83bd.cab
O21 - SSODL: MemMan - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - (no file)
O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)

kaizer 31-07-2008 13:57 865121
Да это моё, это софт отсюда http://www.getfullspeed.com/ , вроде бы помогает быстрее подгружаться сайтам.
Только я не понял,где и как и что фиксить,сорри ?

Severny 31-07-2008 14:17 865140
kaizer,
После действий с HijackThis
зайди в AVZ, меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить". Система перезагрузится.

Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\drivers\wpsdrvnt.sys','');
 QuarantineFile('CsdDriver.sys','');
 QuarantineFile('C:\WINDOWS:svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\MemMan.dll','');
 DelBHO('{DFDC8970-FD66-4385-B8C0-835A4AA1DA00}');
 DelBHO('{6cca707f-a0f4-4a94-9fb5-0fffa753393e}');
 DelBHO('{BFB5F154-9212-46F3-B547-AC6106030A54}');
 DelBHO('{BEF0D9FA-0BC4-4CE3-812D-63642A7E2590}');
 StopService('CsdDriver');
 DeleteService('CsdDriver');
 DeleteFile('C:\WINDOWS:svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого логи нужно будет повторить.
Папку "Карантин" в папке AVZ запакуй и пришли мне в PM.
Проведи сканирование CureIt в безопасном режиме всего диска C:\

З.Ы. Что это за продукт?
Код:
C:\Program Files\StatsJunky\
Не расстаться ли с ним?

PavelA_VI 31-07-2008 14:18 865141
Заходишь в HijackThis, делаешь Scan, и отмечаешь галочками те строчки, что я тебе написал.

kaizer 31-07-2008 16:47 865241
StatsJunky этовот эта прога http://www.statsjunky.com/ , вроде безобидная,удобна в одном месте иметь статсы по разным партнёркам.

И ещё вопрос теперь,вот советы из ваших последних постов,в какой последовательности делать или разницы нету?

Severny 31-07-2008 20:42 865389
Цитата:
Цитата kaizer
в какой последовательности делать или разницы нету? »
Сначала в HijackThis из поста PavelA_VI

kaizer 01-08-2008 15:03 865899
Вложений: 1
Всё сделал по инструкции. Новые логи ниже.

Severny 01-08-2008 23:44 866198
Цитата:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\wutemp\srvsxc.exe','');
QuarantineFile('CsdDriver.sys','');
StopService('CsdDriver');
DeleteService('CsdDriver');
DeleteFile('CsdDriver.sys');
DeleteFile('C:\wutemp\srvsxc.exe');
DeleteFile('%system32%\syshid.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После логи еще раз нужны.
Нужно будет провести полную проверку компьютера утилитой CureIt.

kaizer 03-08-2008 12:55 866875
Вложений: 1
Свежие логи

Severny 03-08-2008 17:06 867019
Папку "Карантин" в папке AVZ запакуй и вышли мне в PM.
Полную проверку системного диска CureIt делал?
Вообще изменения какие-то есть?

kaizer 03-08-2008 23:00 867171
Отправил в ПМ.
Изменений никаких,болячка на месте,и похоже браузер стал чаще виснуть. И всё открываться стало медленно,как будто мешает что то. Возможно,потому что удалился каким то образом,ускоритель инета этот(full speed), думаю вот,поставить или нет заново.
Полную проверку доктор вебом делал,она у меня чуть не всю ночь занимает в безопасном режиме.Всё чисто везде.

Petya V4sechkin 04-08-2008 09:51 867378
kaizer, в меню Сервис -> Управление надстройками пробуете отключить все левые (не Microsoft) надстройки.
А также отключить фишинг фильтр.

Если не поможет, воспользуйтесь советом из 2-го поста (почему-то вы не захотели сделать это с самого начала).

kaizer 04-08-2008 14:07 867552
Я чё то затупил ,забыл про сброс настроек. Вроде порезвее стало всё открываться. По поводу зависаний браузера пока не могу сказать, надо ещё потестить.

kaizer 05-08-2008 13:52 868455
Вроде как починилось,сутки ничего не виснет и ixplore.exe больше не остаётся в диспетчере и не нагружает, всем спасибо.

Только вот ещё вопрос,после сброса параметров, теперь вместо стартовой страницы выдаёт этот урл http://go.microsoft.com/fwlink/?LinkId=74005, который редиректит http://runonce.msn.com/runonce3.aspx .Помню вроде видел такую страницу,когда ставил первый раз. Но в данный момент то браузер уже стоит,да и страница это не работает как бы.Т.е. выбираю параметры,она пишет что что то делает ,а сама так и виснет в таком состоянии. В общем проблема в том что не могу избавиться от этой страницы. Делаю стартовой гугл,а она всё равно эту показывает. Где её удалить можно?

Petya V4sechkin 05-08-2008 14:02 868468
kaizer, твик реестра:
Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"RunOnceComplete"=dword:00000001
"RunOnceHasShown"=dword:00000001

kaizer 06-08-2008 02:00 869060
Благодарю,исчезла болезнь. :)


Время: 07:51.

Время: 07:51.
© OSzone.net 2001-