Перейти к содержанию
Авторизация  
organica

в тасклисте висят 2 IEXPORE.EXE из под SYSTEM

Рекомендуемые сообщения

Здравствуйте эксперты.

Проблема в следующем. Параллельно в Диспетчере Задач висит несколько EXE процессов, запущенных от имени системы. В частности IEXPLORER, klwtblfs, Опера (висела, её прибил каким-то местным скриптом для AVZ, не запомнил точно откуда взял его). Система начинает периодически дико виснуть. Антивирус не видит "поганца". Ни под Вин, ни под Касперский_СпасДиск_10, ни с другой машины при подключении заражённого винчестера. Аналогично не видит ни VRT_11, ни Веб_CureIt.

Примечательно - при сканировании штатным КАВ14 "поганец" самовыгружается, что по описаниям в сети наталкивает на мысль о каком-то полиморфе.

Спасибо.

Логи+ скрин таскменеджера:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

post-29574-0-10991500-1380137672_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вы проксю в IE прописали?

127.0.0.1:4444

 

 


+ скрин таскменеджера:

который, кстати, не оригинальный.

винда - сборка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

прокси прописывал я, винда сборка "зверя", отработала уже года два-три без описанных проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

зловредов у Вас нет.

 

попробуйте "реанимировать" сборку:

восстановите оригинальные системные файлы через SFC.exe (потребуется образ или диск с оригинальной Windows XP SP3)

 

и удалите Combofix.


что за файлы запускаются через quick launch?

C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\104.jpg
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Текстовый документ.txt.lnk,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да, по поводу файлов из QL - первая  - это фотография моей маман - тут не совсем понимаю, что это, и каким образом оно здесь прописалось, сам JPG убил в указанной папке при поиске "зловредов", ссылка на запуск, видимо, осталась, а второй, это мой блокнот в виде обычного ярлыка на txt в КвикЛанче.

Вечером попробую SFC сканнау и прибить запуски через QL.

Тут, главное, вопрос в другом, если я разверну образ, чтобы EXE на D: не были больными и не позаражали по новой С:

Спасибо за скорость :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От Дмитрий Побыванец
      Приветствую всех! Решил обратиться сюда, так как не знаю куда еще. Косяк такой: вдруг начал педалить quake champions. Производительность стала в 2 раза меньше. Запускаю диспетчер задач или любое подобное приложение, и все становится ок. Через некоторое время, диспетчер(или System Explorer, AnVir Task Manager Free ) сам закрывается и опять начинаются лаги. AVZ сканировал... больше утилит не знаю. В автозагрузке чисто. Что это за гадость ???
       
    • От Артур Ахметшин
      Доброго времени суток.

      Столкнулся с одной проблемой, связанной с исполнительными файлами Lsass.exe и  sys.exe
       
      Где-то с пару недель назад, начал сталкиваться с тем, что мои фаерволл Comodo, начал придираться к файлу Lsass.exe. 
      Почитал в интернете, что для этого файла свойственно возбуждать интерес к антивирусам, ввиду его специфики работы,  с транзитом данных из интернета.
       
      Но вот с неделю назад, столкнулся со случаем "Критическая ошибка системы, перезагрузка через минуту".
      После пары-тройки случаев, решил найти источник проблемы.
      Это оказалась блокировка Фаерволлом парочки файлов, указанных выше.
       
      Я не новичок в вопросах борьбы с вирусами и рекламным ПО. Много лет, сталкиваясь с таким, бывало, что вычищал вручную, не надеясь на 100% работу антивирусов и прочих защитных утилит.
      Поэтому, я зашел в папку "System32" и  посмотрел даты создания файлов, точную информацию к ним.
      У файла Lsass  не было проблем с подлинностью. Стояла дата изменения в 2015 году, подпись Майкрософта.
       
      А вот у sys.exe -  почему-то была свежая дата, буквально с пару дней "изменения". И в разделе "Корпорация", стояли китайские иероглифы.
      Я скопировал файл в отдельную папку, открыл его программой, для просмотра EXE файлов. Увидел кучу иконок.
      Это основная иконка файла Sys.exe
      Внутри же, увидел кучу элементов интерфейса, которые очень были похожи на те, что используются в Аудио и Видеоплеерах. Стрелочки, квадратики, знаки паузы.
      Поискал информацию по "поиску картинок"  - набрел на китайский сайт, который рекламировал "Программное обеспечение к ПК", и уверенность в том, что это был медийный софт, только возросла.
       
      Отключил стандартный антивирус Виндоус, поставил Касперского Free.   Ну он начал "лечить" этот sys.exe, удалениями.
      Но когда работает интернет, происходит следующее, если верить Фаерволлу Комодо:
      1) LSASS.EXE откуда-то воссоздает процесс  sys.exe (вес 1.5 мб с копейками). Возрождает файл, на прежнем месте. С теми же китайскими иероглифами, и сомнительной репутацией,что и у копии, до удаления.
      2) Затем, получается, что уже sys.exe пытается начать "активность", и натыкается на защиту ФВ и АВ. Удаляется.
      3)Периодически, происходит  крах системы. Через сообщение о "Критической ошибке" или реже, через BSOD.
       
      Учитывая, что файл Lsass.exe постоянно активен, я так понял, что очень важен для функционирования ОС. И заменить его, скачанным из интернета, во время работы ОС, как бы не представляется возможным.
      Копий этого файла в папке System32  - нет, написанных через "И" и тд.
       
      Есть ли возможность проследить и нейтрализовать источник, отвечающий за восстановление этого "sys.exe", с сомнительной репутацией "Китайского ПО"?
       
      (Windows 7 Домашняя 32бита SP1)
       
    • От Nikolay Kulikov
      Администриую KSC в больнице примерно на 700 машин и иногда в отчетах о вирусах замечаю, что некоторые названия зараженных исполняемых файлов имеют около-медицинскую тематику, например: oms.exe или kardio.exe. Конечно эти файлы могли быть скачаны из интернета, но все таки мне это кажется странным, т.к. такой вариант маловероятен. Может это целенаправленная атака? Но опять же слишком продолжительная и безуспешная (наверное). Что же это? Почему некоторые зараженные файлы имеют "медицинское" название?
    • От AlexFX
      Привет ребят.
      Не давно наткнулся на вирус Trojan.Tamaca, и хотел бы вам рассказать как его удалить, так как не нашел об этом ничего на других форумах.
       
      Начнём...
       
      Для начала нам нужно узнать есть ли эта зараза на вашем компьютере.
      Сделать это можно запустив диспетчер задач Windows [LCTRL+LSHIFT+ESC].
      И в списке ваших процессов ищем Win.exe.
       
      Приступим к его удалению.
       
      Для начала заходим в папку в которой лежит данная зараза, в основном она распостраняется по диску C.
      В большинстве случаев она лежит в двух папках [temp и log].
      Заходим в папку temp [WIN+R] и в появившемся поле вводим %TEMP% и нажимаем Enter. 
       
      Мы попали в директорию с временными файлами Windows.
       
      Тут ищем две папки с названиями "win" и "Microsoft©
      Заходим в директорию win. Тут мы видим файл с названием win.exe.
      Изменяем его расширение на любое например win.file.

      После этого перезапускаем ПК.
       
      После того как мы выполнили перезапуск, снова открываем TEMP [Win+R].
      Теперь мы заходим в директорию Microsoft©.
      В ней мы тоже можем найти файл с названием Win.exe, только первая буква будет заглавной.
      И также ставим любое расширение, для примера снова возьму Win.file. 
       
       Первая часть пути пройдена.
          Дальше проверяем директорию APPDATA.[В строке проводника %appdata%] на наличие подозрительных файлов, папок.
      Далее желательно просмотреть или вспомнить программы которые вы устанавливали не давно.
      ]Если там находится программа которую вы считаете подозрительной, либо программа которую вы вообще не устанавливали, то желательно удалите её. Сделать это можно с помощью встроеной в Windows функции "Программы и Компоненты".
       
      Потом проверяем корень диска C, возможно вы там тоже найдете папку с похожим названием, с ней проведите те же действия что я описал выше.
       
      Также желательно проверьте папку с установленными программами ProgrammFiles(x86) и ProgrammFiles.
       
      После всех проведенных операций проверяем компьютер каким либо сканнером [MalwareBytes Kaspersky Cureit Zemana] (Не реклама).
       
      Спасибо, если я вам помог оцените и напишите об этом в комментарии.
      Всем удачи, и не попадайтесь на вирусы.
    • От SeniorJoker
      Вирус занес стороннюю команду в файл cmd.exe в ОС Windows 7. А именно (команда cmd.exe)(ссылка на несуществующий сайт). И это происходит при каждом запуске т.е. при каждом запуске моего ПК. Есть ли решения? К сожаление вирус обладал администраторским доступом. Сканировал касперским. был один да удалил его.
×
×
  • Создать...