Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Software
Register

Reply
 
LinkBack Thread Tools
Old 25.05.2007, 17:33   #1
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default iexplore.exe засел ...

... в процессах под юзером SYSTEM, и не хочет выходить, рестарт и убиение при помощи Task Manager/Far не помогает - намертво засел, а спрашивется почему? Я его не вызывал, более того, он открыл пару портов и делает кое какой трафик. В стартапах RegEdit-а, msconfig-а и сервисов (services.msc) его нет, откуда можно отключить?
Заранее спасибо.
Reply With Quote
Old 25.05.2007, 17:38   #2
инсценирующи
 
[ Xelgen ]'s Avatar
 
Join Date: 07 2002
Location: Fireplace of Ecotopia
Age: 31
Posts: 4,327
Downloads: 22
Uploads: 0
Reputation: 193 | 4
Default

скачай утилиты с бывшего sysinternals.com (уже майкрософтовскими стали, но адрес пока работает) и nirsoft.com и в бой!
Reply With Quote
Old 25.05.2007, 17:41   #3
...overwined...
 
noone's Avatar
 
Join Date: 03 2003
Location: ...tortuga...
Posts: 3,429
Downloads: 3
Uploads: 0
Reputation: 158 | 3
Default

еще есть такая хорошая утилита - hijackthis называется...
ето чтобы из регистри почистить его...
Reply With Quote
Old 25.05.2007, 18:09   #4
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default

Всем спасибо, итоги пока такие:
Этот iexplore.exe не самозванец, а настоящий IE, создается процессом winlogon.exe и убить его невозможно, вот suspend-нуть - да. Прошелся также с Ad-Aware SE, ничего серьезного не найденно. Вобщем, может фиг с ним? Пусть себе висит, правда странно до этого не висел.
noone, щас взгляну и на этот зверь.
Reply With Quote
Old 25.05.2007, 21:08   #5
Easy rider
 
Silver's Avatar
 
Join Date: 11 2005
Location: tristeza
Age: 32
Posts: 1,082
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

XP or Vista? IE7?
Reply With Quote
Old 25.05.2007, 21:55   #6
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default

XP, IE6.
Reply With Quote
Old 26.05.2007, 02:39   #7
инсценирующи
 
[ Xelgen ]'s Avatar
 
Join Date: 07 2002
Location: Fireplace of Ecotopia
Age: 31
Posts: 4,327
Downloads: 22
Uploads: 0
Reputation: 193 | 4
Default

Нафиг winlogon'у запускать iexplore?.. ИМХО что-то не то.
На нирсофте была прога показывающая все плагины, dll, activex которые прицеплены к IE, ты ею смотрел?
Reply With Quote
Old 26.05.2007, 02:40   #8
инсценирующи
 
[ Xelgen ]'s Avatar
 
Join Date: 07 2002
Location: Fireplace of Ecotopia
Age: 31
Posts: 4,327
Downloads: 22
Uploads: 0
Reputation: 193 | 4
Default

И еще, куда он цепляется по сети, смотрел?
Reply With Quote
Old 26.05.2007, 03:47   #9
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 34
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

Скачай Process Explorer. попробуй выключить в Сервисах, там может сидеть под названием если не ошибаюсь Ие хелпер или что то в этом роде, смахивает на троян
Reply With Quote
Old 26.05.2007, 09:50   #10
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default

Всем спасибо, и так:

этот гаврик выбирает произвольный порт при стартапе, посылает кое что к следующим хостам:
58.65.232.11:80
maila.microsoft.com:25
203.223.150.252:80

whois по 58.65.232.11 и 203.223.150.252 дает следующее:

Quote:
inetnum: 58.65.232.0 - 58.65.239.255
netname: HOSTFRESH
descr: HostFresh
descr: Internet Service Provider
country: HK
admin-c: PL466-AP
tech-c: PL466-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-HOSTFRESH
mnt-routes: MAINT-HK-HOSTFRESH
remarks: Please send Spam & Abuse report to
remarks: [email protected]
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20060612
changed: [email protected] 20060613
changed: [email protected] 20061018
source: APNIC

person: Piu Lo
nic-hdl: PL466-AP
e-mail: [email protected]
address: No. 500, Post Office, Tuen Mun, N.T., Hong Kong
phone: +852-35979788
fax-no: +852-24522539
country: HK
changed: [email protected] 20070329
mnt-by: MAINT-HK-HOSTFRESH
source: APNIC
Quote:
inetnum: 203.223.128.0 - 203.223.159.255
netname: AIMS-MY
descr: Applied Information Management Services
descr: Kuala Lumper Malaysia
country: MY
admin-c: CP423-AP
tech-c: KK790-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-MY-AIMS
changed: [email protected] 20061211
status: ALLOCATED PORTABLE
source: APNIC

person: Cong Jen Paul Ooi
nic-hdl: CP423-AP
e-mail: [email protected]
address: Applied Information Management Services Sdn Bhd (AIMS)
address: Ground Floor, Menara Aik Hua,
address: Cangkat Raja Chulan, 50200, Kuala Lumpur,
address: Malaysia
phone: +603-2031-4988
fax-no: +603-2031-8948
country: MY
changed: [email protected] 20070503
mnt-by: MAINT-MY-AIMS
source: APNIC

person: Kanagaraj Krishna
nic-hdl: KK790-AP
e-mail: [email protected]
address: Ground Floor, Menara Aik Hua
address: Cangkat Raja Chulan
address: 50200 Kuala Lumpur
phone: +603 20314988
fax-no: +603 20318948
country: MY
changed: [email protected] 20060830
mnt-by: MAINT-MY-NEXTONLINE
source: APNIC
Жаловаться на них думаю не имеет смысла, да и неохота.
На нирсофт скачал ActiveXHelper, посмотрел, почесал затылок и выключил а вот Autoruns.exe от sysinternals показвыает что загружаемые ИЕ-ом и winlogon-ом дллки вроде имеют право на чуществование. Правда там сидел некий sysfldr.dll у кого нет ни имя производителя, ничего - я его выключил презапустился и нифига, этот iexplore.exe все равно висит.
Что скажете? Что еще можно сделать?
Медведь, ничего на подобия ИЕ Хелпера нет в сервисах, сто раз уже смотрел.
Reply With Quote
Old 26.05.2007, 11:46   #11
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default

Вобщем поколдовал я этими утилитами, и гаврик сам смылся, правда Kerio файрвол почему-то стал не работать. Переставил - опять не работает: снял, поставил другой - пашет как миленький.
Всем спасибо еще раз.
Reply With Quote
Old 26.05.2007, 18:37   #12
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default

Да и еще, оказалось этот sysfdlr.dll вирус который душит winlogon.exe, каждый раз при буте появлялась окошка о том что winlogon.exe не может читать с адреса 0x00000000, и появляется виндозе блю скрин, короче в инете покопался и нашел такое чудо что распознал проблему: RegRun, находится на http://www.greatis.com/security/download.htm, теперь нормально живется.
Reply With Quote
Old 29.05.2007, 06:47   #13
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

эпопея завершена?
Reply With Quote
Old 29.05.2007, 07:02   #14
The splendid
 
AvDav's Avatar
 
Join Date: 07 2004
Location: Pure thoughts
Age: 36
Posts: 3,408
Downloads: 22
Uploads: 0
Reputation: 222 | 3
Default

сри фдругих каментах
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 05:17.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.