| Сейчас на форуме: padad42664, kris_sexy, site-pro, vasilevradislav (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› iexplore.exe в процессах |
| Посл.ответ | Сообщение |
|
|
Создано: 18 июля 2007 07:57 · Личное сообщение · #1 Почему-то iexplore.exe не исчезает из процессов, а когда пытаюсь его убить, он мгновенно снова появляется, только меняет ProcessID и все. Не знаю что делать. Смотрел в интернете, ничего путного не нашел. Антивирусы молчат. Может глянуть его через дебаггер?  |
|
|
Создано: 18 июля 2007 08:00 · Личное сообщение · #2 Если это не Internet Explorer, а реальный червяк, то юзай AVZ и блокируй перехваты User и до кучи Kernel на всякий случай. Убивай процесс и смотри что за зверюшка. |
|
|
Создано: 18 июля 2007 08:28 · Личное сообщение · #3 FORMAT C: 
Поищи откуда он грузиться. Попробуй из автозагрузки коцнуть, а потом ковыряй. |
|
|
Создано: 18 июля 2007 08:39 · Личное сообщение · #4 Rush D:\Program Files\internet explorer\iexplore.exe >>> подозрение на Trojan-Spy.Win32.Goldun.ms ( 066A7344 0289FCA3 000D7DAC 0006C5FF 91648) Функция NtClose (18) перехвачена (805269A8->BFE9BC58), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtCreateKey (23) перехвачена (80589483->BFE9BC10), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtCreatePagingFile (27) перехвачена (805C49AF->BFE8FC70), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtEnumerateKey (3C) перехвачена (8058992D->BFE904FE), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtEnumerateValueKey (3D) перехвачена (80589A70->BFE9BD50), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtOpenKey (67) перехвачена (80589E28->BFE9BBD4), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtQueryKey (8B) перехвачена (80589FC0->BFE9051E), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtQueryValueKey (9B) перехвачена (8058A138->BFE9BCA6), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtSetSystemPowerState (D1) перехвачена (80563C97->BFE9B4F0), перехватчик D:\WINNT\system32\Drivers\Vax347b.sys Функция NtSetValueKey (D7) перехвачена (8058A2F4->BFF1D4AA), перехватчик D:\WINNT\system32\Drivers\sptd.sys Что со всем этим делать? вроде AVZ ничего не вылечил и не удалил. |
|
|
Создано: 18 июля 2007 08:42 · Личное сообщение · #5 Грузись в безопаски и удаляй этот фаил "Vax347b.sys" потом из реестра записи о нем |
|
|
Создано: 18 июля 2007 09:32 · Личное сообщение · #6 Не за чем удалять Vax347b.sys, это не руткит. Любым антивирем с свежими базами пролечи свой комп и все. Лучше из под ДОСа (работают F-Prot м др). |
|
|
Создано: 18 июля 2007 09:44 · Личное сообщение · #7 Поведение похоже на вирус, а вот дрова похожи на Daemon Tools. |
|
|
Создано: 18 июля 2007 10:35 · Личное сообщение · #8 >>Vax347b.sys это дрова Alcohol120% или Daemon Tools. |
|
|
Создано: 18 июля 2007 10:51 · Личное сообщение · #9 Это вирус. Точно. |
|
|
Создано: 18 июля 2007 10:52 · Личное сообщение · #10 Ну так может и не троянские дрова тогда. Перезапуск себя можно и без дров реализовать. Загрузись в безоваску, да скопируй куда - нибудь этот твой iexplore.exe. Проверь его на виртотале. Тут тема есть "Прислали трояна ...", туда можешь отослать свой файлик, может кто и посмотрит. Проверь автозапуск свой в конце концов. |
|
|
Создано: 18 июля 2007 10:57 · Личное сообщение · #11 Mavlyudov грузи касперчега, эвристик у каспера хуже чем у нода32, базару нет, но у каспера базы здоровенные и ихняя вирлаба очень шустро работает, каспер скажет, в крайнем случае отправить им этот подозрительный файл, имхо зачем голову морочить, когда есть готовые бесплатные решения 
|
|
|
Создано: 18 июля 2007 11:18 · Личное сообщение · #12 Mavlyudov пишет: Что со всем этим делать? вроде AVZ ничего не вылечил и не удалил. Хуки можешь снять: Rootkit Unhooker, SDTrestore-0.2, GMER 1.0.12 (последний может отключить загрузку драйверов и удалять их) ----- Nulla aetas ad discendum sera |
|
|
Создано: 18 июля 2007 11:43 · Личное сообщение · #13 Блин. Не получилось. Удалил предлагаемые AVZ файлы и не помогло |
|
|
Создано: 18 июля 2007 11:51 · Личное сообщение · #14 Mavlyudov www.rku.nm.ru сливаеш утиль, ставишь её, смотришь скрытые процессы и снимаешь хуки. Потом проверяешь комп антивирусником. Ну или не париться взять LiveCD диск слить заранее свеженький антивирь с базами, загрузиться с болванки и прочекать весь комп. ----- Computer Security Laboratory |
|
|
Создано: 18 июля 2007 11:56 · Личное сообщение · #15 www.viruslist.com/ru/viruses/encyclopedia?virusid=135929 |
|
|
Создано: 18 июля 2007 11:58 · Личное сообщение · #16 Mavlyudov пишет: Блин. Не получилось. Удалил предлагаемые AVZ файлы и не помогло Так ты чего удалял то?Убери Internet Explorer из автозагрузки не можешь сам запусти прогу Русиновича Autorun или загрузись с дискеты или LiveCD переименуй его или замени из дистриба на нормальный ! Да и с дровами нафига тебе дрова в системе назначение которых ты не знаешь? |
|
|
Создано: 18 июля 2007 12:01 · Личное сообщение · #17 Можно и ПЕТулсами убить процесс, если получится.. |
|
|
Создано: 18 июля 2007 12:07 · Поправил: Vovan666 · Личное сообщение · #18 Нифига себе сколько разновидностей этих Голдунов, аж на 15 страниц http://www.kaspersky.ru/viruswatchlite?search_virus=Trojan-Spy.Win32.G oldun http://www.kaspersky.ru/viruswatchlite?search_virus=Trojan-Spy.Win32.Goldun |
|
|
Создано: 18 июля 2007 12:39 · Личное сообщение · #19 Vovan666 Либо сорцы на паблике, либо ребятки каждый день перепаковывают и апдейтят вирусню чтобы антивири не находили. ----- Computer Security Laboratory |
|
|
Создано: 18 июля 2007 18:01 · Поправил: Crawler · Личное сообщение · #20 [url=www.virustital.com]--> www.virustital.com http://www.virustital.com <--[/url] (умер?) [url=www.anti-spy.info]--> www.anti-spy.info http://www.anti-spy.info <--[/url] [url=www.anti-spy.info]--> www.rootkit.com http://www.rootkit.com <--[/url] ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. |
|
|
Создано: 19 июля 2007 00:04 · Личное сообщение · #21 [HEX] Зачем хуки виртуал-сд драйвера снимать ? Просто надо загрузиться в без-режиме, удалить всё не нужно с автозагрузки (autoruns от Руссиновича) и перегрузиться ( пишу учитывая то что больше других перехватов в ring 0 нету) |
|
|
Создано: 19 июля 2007 08:05 · Личное сообщение · #22 Склад ссылок в помощь Проверка почти всех уязвимостей и багов nedorazvmenie.livejournal.com/839521.html |
|
|
Создано: 19 июля 2007 08:26 · Личное сообщение · #23 и на крайняк virusinfo.info всегда помогут. |
|
|
Создано: 19 июля 2007 12:59 · Поправил: [HEX] · Личное сообщение · #24 ClickF1 Процитируй где я конкретно написал "снять хуки с драйвера даймон тулз" !? Хуки снимать с умом надо, а не все подряд! Да и если уж и снимет хуки с демона, то ничего катастрофического не будет. После перезапуска демон снова будет работать как надо если драйверок не убить. И безопасный режим может и не спасти! Если руткит в ядро вжился или стартует вместо winlogon'а. ----- Computer Security Laboratory |
|
eXeL@B —› Крэки, обсуждения —› iexplore.exe в процессах |
Для печати