iexplore.exe засел ...

AvDav · May 25, 2007, 16:33

... в процессах под юзером SYSTEM, и не хочет выходить, рестарт и убиение при помощи Task Manager/Far не помогает - намертво засел, а спрашивется почему? Я его не вызывал, более того, он открыл пару портов и делает кое какой трафик. В стартапах RegEdit-а, msconfig-а и сервисов (services.msc) его нет, откуда можно отключить?
Заранее спасибо.

[ Xelgen ] · May 25, 2007, 16:38

скачай утилиты с бывшего sysinternals.com (уже майкрософтовскими стали, но адрес пока работает) и nirsoft.com и в бой!

noone · May 25, 2007, 16:41

еще есть такая хорошая утилита - hijackthis называется...
ето чтобы из регистри почистить его...

AvDav · May 25, 2007, 17:09

Всем спасибо, итоги пока такие:
Этот iexplore.exe не самозванец, а настоящий IE, создается процессом winlogon.exe и убить его невозможно, вот suspend-нуть - да. Прошелся также с Ad-Aware SE, ничего серьезного не найденно. Вобщем, может фиг с ним? Пусть себе висит, правда странно до этого не висел.
noone, щас взгляну и на этот зверь.

Silver · May 25, 2007, 20:08

XP or Vista? IE7?

AvDav · May 25, 2007, 20:55

XP, IE6.

[ Xelgen ] · May 26, 2007, 01:39

Нафиг winlogon'у запускать iexplore?.. ИМХО что-то не то.
На нирсофте была прога показывающая все плагины, dll, activex которые прицеплены к IE, ты ею смотрел?

[ Xelgen ] · May 26, 2007, 01:40

И еще, куда он цепляется по сети, смотрел?

Medved Kosolapiy · May 26, 2007, 02:47

Скачай Process Explorer. попробуй выключить в Сервисах, там может сидеть под названием если не ошибаюсь Ие хелпер или что то в этом роде, смахивает на троян

AvDav · May 26, 2007, 08:50

Всем спасибо, и так:

этот гаврик выбирает произвольный порт при стартапе, посылает кое что к следующим хостам:
58.65.232.11:80
maila.microsoft.com:25
203.223.150.252:80

whois по 58.65.232.11 и 203.223.150.252 дает следующее:

Quote:

inetnum: 58.65.232.0 - 58.65.239.255
netname: HOSTFRESH
descr: HostFresh
descr: Internet Service Provider
country: HK
admin-c: PL466-AP
tech-c: PL466-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-HOSTFRESH
mnt-routes: MAINT-HK-HOSTFRESH
remarks: Please send Spam & Abuse report to
remarks: abuse@hostfresh.com
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20060612
changed: hm-changed@apnic.net 20060613
changed: hm-changed@apnic.net 20061018
source: APNIC

person: Piu Lo
nic-hdl: PL466-AP
e-mail: ipadmin@hostfresh.com
address: No. 500, Post Office, Tuen Mun, N.T., Hong Kong
phone: +852-35979788
fax-no: +852-24522539
country: HK
changed: ipadmin@hostfresh.com 20070329
mnt-by: MAINT-HK-HOSTFRESH
source: APNIC

Quote:

inetnum: 203.223.128.0 - 203.223.159.255
netname: AIMS-MY
descr: Applied Information Management Services
descr: Kuala Lumper Malaysia
country: MY
admin-c: CP423-AP
tech-c: KK790-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-MY-AIMS
changed: hm-changed@apnic.net 20061211
status: ALLOCATED PORTABLE
source: APNIC

person: Cong Jen Paul Ooi
nic-hdl: CP423-AP
e-mail: abuse@aims.com.my
address: Applied Information Management Services Sdn Bhd (AIMS)
address: Ground Floor, Menara Aik Hua,
address: Cangkat Raja Chulan, 50200, Kuala Lumpur,
address: Malaysia
phone: +603-2031-4988
fax-no: +603-2031-8948
country: MY
changed: paul.ooi@aims.com.my 20070503
mnt-by: MAINT-MY-AIMS
source: APNIC

person: Kanagaraj Krishna
nic-hdl: KK790-AP
e-mail: noc@aims.com.my
address: Ground Floor, Menara Aik Hua
address: Cangkat Raja Chulan
address: 50200 Kuala Lumpur
phone: +603 20314988
fax-no: +603 20318948
country: MY
changed: kanagaraj@aims.com.my 20060830
mnt-by: MAINT-MY-NEXTONLINE
source: APNIC

Жаловаться на них думаю не имеет смысла, да и неохота.
На нирсофт скачал ActiveXHelper, посмотрел, почесал затылок и выключил а вот Autoruns.exe от sysinternals показвыает что загружаемые ИЕ-ом и winlogon-ом дллки вроде имеют право на чуществование. Правда там сидел некий sysfldr.dll у кого нет ни имя производителя, ничего - я его выключил презапустился и нифига, этот iexplore.exe все равно висит.
Что скажете? Что еще можно сделать?
Медведь, ничего на подобия ИЕ Хелпера нет в сервисах, сто раз уже смотрел.

AvDav · May 26, 2007, 10:46

Вобщем поколдовал я этими утилитами, и гаврик сам смылся, правда Kerio файрвол почему-то стал не работать. Переставил - опять не работает: снял, поставил другой - пашет как миленький.
Всем спасибо еще раз.

AvDav · May 26, 2007, 17:37

Да и еще, оказалось этот sysfdlr.dll вирус который душит winlogon.exe, каждый раз при буте появлялась окошка о том что winlogon.exe не может читать с адреса 0x00000000, и появляется виндозе блю скрин, короче в инете покопался и нашел такое чудо что распознал проблему: RegRun, находится на http://www.greatis.com/security/download.htm, теперь нормально живется.

Agregat · May 29, 2007, 05:47

эпопея завершена?

AvDav · May 29, 2007, 06:02

сри фдругих каментах

May 25, 2007, 16:33	#1
AvDav Дикообраз-безобраз Join Date: Jul 2004 Location: У самого синего моря Posts: 2,508 Rep Power: 4 Reputation: 44	iexplore.exe засел ... ... в процессах под юзером SYSTEM, и не хочет выходить, рестарт и убиение при помощи Task Manager/Far не помогает - намертво засел, а спрашивется почему? Я его не вызывал, более того, он открыл пару портов и делает кое какой трафик. В стартапах RegEdit-а, msconfig-а и сервисов (services.msc) его нет, откуда можно отключить? Заранее спасибо. __________________ Forza Alb-Violeţii.

May 25, 2007, 16:38	#2
[ Xelgen ] инсценирующий жизнь Join Date: Jul 2002 Location: Fireplace of Ecotopia Posts: 4,140 Rep Power: 6 Reputation: 37	скачай утилиты с бывшего sysinternals.com (уже майкрософтовскими стали, но адрес пока работает) и nirsoft.com и в бой! __________________ ...ибо... Rgrdz. [ Кселджэн ]

May 25, 2007, 16:41	#3
noone ...overwined... Join Date: Mar 2003 Location: ...tortuga... Posts: 3,372 Rep Power: 6 Reputation: 134	еще есть такая хорошая утилита - hijackthis называется... ето чтобы из регистри почистить его... __________________ ...let's be gods... let's by ugly...

May 25, 2007, 17:09	#4
AvDav Дикообраз-безобраз Join Date: Jul 2004 Location: У самого синего моря Posts: 2,508 Rep Power: 4 Reputation: 44	Всем спасибо, итоги пока такие: Этот iexplore.exe не самозванец, а настоящий IE, создается процессом winlogon.exe и убить его невозможно, вот suspend-нуть - да. Прошелся также с Ad-Aware SE, ничего серьезного не найденно. Вобщем, может фиг с ним? Пусть себе висит, правда странно до этого не висел. noone, щас взгляну и на этот зверь. __________________ Forza Alb-Violeţii.

May 25, 2007, 20:08	#5
Silver Easy rider Join Date: Nov 2005 Location: tristeza Posts: 1,087 Rep Power: 3 Reputation: 10	XP or Vista? IE7? __________________ You must spread before giving to Silver again.

May 25, 2007, 20:55	#6
AvDav Дикообраз-безобраз Join Date: Jul 2004 Location: У самого синего моря Posts: 2,508 Rep Power: 4 Reputation: 44	XP, IE6. __________________ Forza Alb-Violeţii.

May 26, 2007, 01:39	#7
[ Xelgen ] инсценирующий жизнь Join Date: Jul 2002 Location: Fireplace of Ecotopia Posts: 4,140 Rep Power: 6 Reputation: 37	Нафиг winlogon'у запускать iexplore?.. ИМХО что-то не то. На нирсофте была прога показывающая все плагины, dll, activex которые прицеплены к IE, ты ею смотрел? __________________ ...ибо... Rgrdz. [ Кселджэн ]

May 26, 2007, 01:40	#8
[ Xelgen ] инсценирующий жизнь Join Date: Jul 2002 Location: Fireplace of Ecotopia Posts: 4,140 Rep Power: 6 Reputation: 37	И еще, куда он цепляется по сети, смотрел? __________________ ...ибо... Rgrdz. [ Кселджэн ]

May 26, 2007, 02:47	#9
Medved Kosolapiy холостяк и точка. Join Date: Mar 2002 Location: там где нет никому места Posts: 6,524 Rep Power: 8 Reputation: 238	Скачай Process Explorer. попробуй выключить в Сервисах, там может сидеть под названием если не ошибаюсь Ие хелпер или что то в этом роде, смахивает на троян __________________ Сколько волка не корми, Медведь все равно круче!!! Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними происходит следующий диалог. Медведь: - Ты кто? - Турист. - Врешь,турист - это я,а ты 'завтрак туриста'.

May 26, 2007, 10:46	#11
AvDav Дикообраз-безобраз Join Date: Jul 2004 Location: У самого синего моря Posts: 2,508 Rep Power: 4 Reputation: 44	Вобщем поколдовал я этими утилитами, и гаврик сам смылся, правда Kerio файрвол почему-то стал не работать. Переставил - опять не работает: снял, поставил другой - пашет как миленький. Всем спасибо еще раз. __________________ Forza Alb-Violeţii.

May 26, 2007, 17:37	#12
AvDav Дикообраз-безобраз Join Date: Jul 2004 Location: У самого синего моря Posts: 2,508 Rep Power: 4 Reputation: 44	Да и еще, оказалось этот sysfdlr.dll вирус который душит winlogon.exe, каждый раз при буте появлялась окошка о том что winlogon.exe не может читать с адреса 0x00000000, и появляется виндозе блю скрин, короче в инете покопался и нашел такое чудо что распознал проблему: RegRun, находится на http://www.greatis.com/security/download.htm, теперь нормально живется. __________________ Forza Alb-Violeţii.

May 29, 2007, 05:47	#13
Agregat Грустно... Join Date: Aug 2002 Location: Там, где всегда идут дожди Posts: 21,343 Rep Power: 10 Reputation: 109	эпопея завершена? __________________ Хотели, как лучше, а получилось даже хуже... Лозунг шахматиста: На каждый шах - ответим матом! В сумасшедшем доме каждый мог говорить все, что взбредет ему в голову, словно в парламенте. Я. Гашек. "Приключения Бравого Солдата Швейка". Часть 1. Глава IV. Абзац 2.

May 29, 2007, 06:02	#14
AvDav Дикообраз-безобраз Join Date: Jul 2004 Location: У самого синего моря Posts: 2,508 Rep Power: 4 Reputation: 44	сри фдругих каментах __________________ Forza Alb-Violeţii.

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode