Проблема с Internet Explorer или Проводником

[Anarina]

Здравствуйте!

 

Каждый раз при запуске Internet Explorer, KIS 2011 выдаёт сообщение следующего характера: «Internet Explorer из группы «Доверенные», запущенная ограниченной программой, пытается получить доступ к защищенному хранилищу паролей. Возможно данная доверенная программа используется ограниченной программой для выполнения привилегированной операции.

 

Последовательность запуска программы: Запущенно Проводник»

 

Появляется три решения на выбор:

Сделать доверенной

Разрешить сейчас

Запретить сейчас

 

 

Сообщение реагирует (исчезает) только при выборе пункта «Запретить сейчас», при этом Internet Explorer выдаёт сообщение о том, что «Программа на компьютере нарушила настройку поставщика поиска по умолчанию для Internet Explorer. …» При нажатии ОК появляется меню выбора поставщика поиска, а при его закрытии - закрывается и Internet Explorer. И так каждый раз, с другими браузерами проблем пока не наблюдается.

 

При проверке KIS 2011 и TDSSkiller ничего не обнаружилось

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

[NickGolovko]

А Проводник в какой группе Контроля программ?

[Roman_Five]

Anarina,

вот эти строки свидетельствуют, что ваша версия Windows - сборка

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
...

Поэтому, вероятно, проводник и попал в группу "Слабые ограничения".

В настройке контроля программ перенесите проводник в группу "Доверенные".

 

В логах чисто.

[Anarina]

Проводник тоже в "Доверенные", а проблема всё та же

Изменено 19 августа, 2012 пользователем Anarina

[NickGolovko]

Проводник тоже в "Доверенные", а проблема всё та же

А userinit.exe (Userinit Logon Application)?

[Anarina]

userinit.exe вообще в списке контролируеммых программ нет

[NickGolovko]

userinit.exe вообще в списке контролируеммых программ нет

Так не бывает

 

Пробовали вводить "userinit" в поле поиска?

[Anarina]

конечно пробовала, может я что-то не так делаю. в антивируснике -> настройка -> центр защиты -> контроль программ -> программы ... в списке ни в ручную, ни через поиск userinit.exe и userinit нет

[NickGolovko]

Ммм...

 

А сам файл \Windows\system32\userinit.exe существует?

[Anarina]

да, существует

[NickGolovko]

Сможете на virustotal.com закинуть для проверки? Подозрительно это все выглядит... Жаль, нет больше добавлятора в группы в Контроле программ...

[Anarina]

SHA256: 4b6b4b3fb92924da4a08774a27c4e5475932d945897796493ca85b0562a10125

File name: smona_4b6b4b3fb92924da4a08774a27c4e5475932d945897796493ca85b0562a10125.bin

Detection ratio: 1 / 42

 

nProtect Trojan/W32.Small.25088.BP 20120810

 

в остальных пунктах пробелы

[mike 1]

SHA256: 4b6b4b3fb92924da4a08774a27c4e5475932d945897796493ca85b0562a10125

File name: smona_4b6b4b3fb92924da4a08774a27c4e5475932d945897796493ca85b0562a10125.bin

Detection ratio: 1 / 42

 

nProtect Trojan/W32.Small.25088.BP 20120810

 

в остальных пунктах пробелы

А можно ссылку проверки увидеть?

[NickGolovko]

nProtect, конечно, не самый надежный источник, но проблема, похоже, где-то здесь.

 

Разрешения наследуются с самого верха дерева процессов. Обычно источником Проводника является именно userinit, а коль скоро его нет в списках контроля программ, вопросы с правами вполне могут быть связаны с этим процессом. Вероятно, он либо инфицирован, либо просто нестандартен.

 

Я засим удаляюсь (поздно уже). Дальнейшее разбирательство - дело штатных консультантов

[Anarina]

https://www.virustotal.com/file/4b6b4b3fb92...10125/analysis/