iexplore.exe засел ...

AvDav · 25.05.2007, 16:33

... в процессах под юзером SYSTEM, и не хочет выходить, рестарт и убиение при помощи Task Manager/Far не помогает - намертво засел, а спрашивется почему? Я его не вызывал, более того, он открыл пару портов и делает кое какой трафик. В стартапах RegEdit-а, msconfig-а и сервисов (services.msc) его нет, откуда можно отключить?
Заранее спасибо.

[ Xelgen ] · 25.05.2007, 16:38

скачай утилиты с бывшего sysinternals.com (уже майкрософтовскими стали, но адрес пока работает) и nirsoft.com и в бой!

noone · 25.05.2007, 16:41

еще есть такая хорошая утилита - hijackthis называется...
ето чтобы из регистри почистить его...

AvDav · 25.05.2007, 17:09

Всем спасибо, итоги пока такие:
Этот iexplore.exe не самозванец, а настоящий IE, создается процессом winlogon.exe и убить его невозможно, вот suspend-нуть - да. Прошелся также с Ad-Aware SE, ничего серьезного не найденно. Вобщем, может фиг с ним? Пусть себе висит, правда странно до этого не висел.
noone, щас взгляну и на этот зверь.

Silver · 25.05.2007, 20:08

XP or Vista? IE7?

AvDav · 25.05.2007, 20:55

XP, IE6.

[ Xelgen ] · 26.05.2007, 01:39

Нафиг winlogon'у запускать iexplore?.. ИМХО что-то не то.
На нирсофте была прога показывающая все плагины, dll, activex которые прицеплены к IE, ты ею смотрел?

[ Xelgen ] · 26.05.2007, 01:40

И еще, куда он цепляется по сети, смотрел?

Medved Kosolapiy · 26.05.2007, 02:47

Скачай Process Explorer. попробуй выключить в Сервисах, там может сидеть под названием если не ошибаюсь Ие хелпер или что то в этом роде, смахивает на троян

AvDav · 26.05.2007, 08:50

Всем спасибо, и так:

этот гаврик выбирает произвольный порт при стартапе, посылает кое что к следующим хостам:
58.65.232.11:80
maila.microsoft.com:25
203.223.150.252:80

whois по 58.65.232.11 и 203.223.150.252 дает следующее:

Quote:

inetnum: 58.65.232.0 - 58.65.239.255
netname: HOSTFRESH
descr: HostFresh
descr: Internet Service Provider
country: HK
admin-c: PL466-AP
tech-c: PL466-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-HOSTFRESH
mnt-routes: MAINT-HK-HOSTFRESH
remarks: Please send Spam & Abuse report to
remarks: [email protected]
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20060612
changed: [email protected] 20060613
changed: [email protected] 20061018
source: APNIC

person: Piu Lo
nic-hdl: PL466-AP
e-mail: [email protected]
address: No. 500, Post Office, Tuen Mun, N.T., Hong Kong
phone: +852-35979788
fax-no: +852-24522539
country: HK
changed: [email protected] 20070329
mnt-by: MAINT-HK-HOSTFRESH
source: APNIC

Quote:

inetnum: 203.223.128.0 - 203.223.159.255
netname: AIMS-MY
descr: Applied Information Management Services
descr: Kuala Lumper Malaysia
country: MY
admin-c: CP423-AP
tech-c: KK790-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-MY-AIMS
changed: [email protected] 20061211
status: ALLOCATED PORTABLE
source: APNIC

person: Cong Jen Paul Ooi
nic-hdl: CP423-AP
e-mail: [email protected]
address: Applied Information Management Services Sdn Bhd (AIMS)
address: Ground Floor, Menara Aik Hua,
address: Cangkat Raja Chulan, 50200, Kuala Lumpur,
address: Malaysia
phone: +603-2031-4988
fax-no: +603-2031-8948
country: MY
changed: [email protected] 20070503
mnt-by: MAINT-MY-AIMS
source: APNIC

person: Kanagaraj Krishna
nic-hdl: KK790-AP
e-mail: [email protected]
address: Ground Floor, Menara Aik Hua
address: Cangkat Raja Chulan
address: 50200 Kuala Lumpur
phone: +603 20314988
fax-no: +603 20318948
country: MY
changed: [email protected] 20060830
mnt-by: MAINT-MY-NEXTONLINE
source: APNIC

Жаловаться на них думаю не имеет смысла, да и неохота.
На нирсофт скачал ActiveXHelper, посмотрел, почесал затылок и выключил а вот Autoruns.exe от sysinternals показвыает что загружаемые ИЕ-ом и winlogon-ом дллки вроде имеют право на чуществование. Правда там сидел некий sysfldr.dll у кого нет ни имя производителя, ничего - я его выключил презапустился и нифига, этот iexplore.exe все равно висит.
Что скажете? Что еще можно сделать?
Медведь, ничего на подобия ИЕ Хелпера нет в сервисах, сто раз уже смотрел.

AvDav · 26.05.2007, 10:46

Вобщем поколдовал я этими утилитами, и гаврик сам смылся, правда Kerio файрвол почему-то стал не работать. Переставил - опять не работает: снял, поставил другой - пашет как миленький.
Всем спасибо еще раз.

AvDav · 26.05.2007, 17:37

Да и еще, оказалось этот sysfdlr.dll вирус который душит winlogon.exe, каждый раз при буте появлялась окошка о том что winlogon.exe не может читать с адреса 0x00000000, и появляется виндозе блю скрин, короче в инете покопался и нашел такое чудо что распознал проблему: RegRun, находится на http://www.greatis.com/security/download.htm, теперь нормально живется.

Agregat · 29.05.2007, 05:47

эпопея завершена?

AvDav · 29.05.2007, 06:02

сри фдругих каментах

25.05.2007, 16:33	#1
AvDav Профессор Join Date: 07 2004 Location: Own world Age: 39 Posts: 3,659 Downloads: 22 Uploads: 0 Reputation: 228 \| 4	iexplore.exe засел ... ... в процессах под юзером SYSTEM, и не хочет выходить, рестарт и убиение при помощи Task Manager/Far не помогает - намертво засел, а спрашивется почему? Я его не вызывал, более того, он открыл пару портов и делает кое какой трафик. В стартапах RegEdit-а, msconfig-а и сервисов (services.msc) его нет, откуда можно отключить? Заранее спасибо. Share Share this post on Digg Del.icio.us Technorati Twitter

25.05.2007, 16:38	#2
[ Xelgen ] инсценирующи Join Date: 07 2002 Location: Fireplace of Ecotopia Age: 35 Posts: 4,327 Downloads: 22 Uploads: 0 Reputation: 193 \| 4	скачай утилиты с бывшего sysinternals.com (уже майкрософтовскими стали, но адрес пока работает) и nirsoft.com и в бой! Share Share this post on Digg Del.icio.us Technorati Twitter

25.05.2007, 16:41	#3
noone ...overwined... Join Date: 03 2003 Location: ...tortuga... Posts: 3,429 Downloads: 3 Uploads: 0 Reputation: 158 \| 4	еще есть такая хорошая утилита - hijackthis называется... ето чтобы из регистри почистить его... Share Share this post on Digg Del.icio.us Technorati Twitter

25.05.2007, 17:09	#4
AvDav Профессор Join Date: 07 2004 Location: Own world Age: 39 Posts: 3,659 Downloads: 22 Uploads: 0 Reputation: 228 \| 4	Всем спасибо, итоги пока такие: Этот iexplore.exe не самозванец, а настоящий IE, создается процессом winlogon.exe и убить его невозможно, вот suspend-нуть - да. Прошелся также с Ad-Aware SE, ничего серьезного не найденно. Вобщем, может фиг с ним? Пусть себе висит, правда странно до этого не висел. noone, щас взгляну и на этот зверь. Share Share this post on Digg Del.icio.us Technorati Twitter

25.05.2007, 20:08	#5
Silver Easy rider Join Date: 11 2005 Location: tristeza Age: 36 Posts: 1,082 Downloads: 0 Uploads: 0 Reputation: 0 \| 0	XP or Vista? IE7? Share Share this post on Digg Del.icio.us Technorati Twitter

25.05.2007, 20:55	#6
AvDav Профессор Join Date: 07 2004 Location: Own world Age: 39 Posts: 3,659 Downloads: 22 Uploads: 0 Reputation: 228 \| 4	XP, IE6. Share Share this post on Digg Del.icio.us Technorati Twitter

26.05.2007, 01:39	#7
[ Xelgen ] инсценирующи Join Date: 07 2002 Location: Fireplace of Ecotopia Age: 35 Posts: 4,327 Downloads: 22 Uploads: 0 Reputation: 193 \| 4	Нафиг winlogon'у запускать iexplore?.. ИМХО что-то не то. На нирсофте была прога показывающая все плагины, dll, activex которые прицеплены к IE, ты ею смотрел? Share Share this post on Digg Del.icio.us Technorati Twitter

26.05.2007, 01:40	#8
[ Xelgen ] инсценирующи Join Date: 07 2002 Location: Fireplace of Ecotopia Age: 35 Posts: 4,327 Downloads: 22 Uploads: 0 Reputation: 193 \| 4	И еще, куда он цепляется по сети, смотрел? Share Share this post on Digg Del.icio.us Technorati Twitter

26.05.2007, 02:47	#9
Medved Kosolapiy холостяк и точка. Join Date: 03 2002 Location: Live? Age: 38 Posts: 6,940 Downloads: 2 Uploads: 0 Reputation: 515 \| 6	Скачай Process Explorer. попробуй выключить в Сервисах, там может сидеть под названием если не ошибаюсь Ие хелпер или что то в этом роде, смахивает на троян Share Share this post on Digg Del.icio.us Technorati Twitter

26.05.2007, 10:46	#11
AvDav Профессор Join Date: 07 2004 Location: Own world Age: 39 Posts: 3,659 Downloads: 22 Uploads: 0 Reputation: 228 \| 4	Вобщем поколдовал я этими утилитами, и гаврик сам смылся, правда Kerio файрвол почему-то стал не работать. Переставил - опять не работает: снял, поставил другой - пашет как миленький. Всем спасибо еще раз. Share Share this post on Digg Del.icio.us Technorati Twitter

26.05.2007, 17:37	#12
AvDav Профессор Join Date: 07 2004 Location: Own world Age: 39 Posts: 3,659 Downloads: 22 Uploads: 0 Reputation: 228 \| 4	Да и еще, оказалось этот sysfdlr.dll вирус который душит winlogon.exe, каждый раз при буте появлялась окошка о том что winlogon.exe не может читать с адреса 0x00000000, и появляется виндозе блю скрин, короче в инете покопался и нашел такое чудо что распознал проблему: RegRun, находится на http://www.greatis.com/security/download.htm, теперь нормально живется. Share Share this post on Digg Del.icio.us Technorati Twitter

29.05.2007, 05:47	#13
Agregat Грустно... Join Date: 08 2002 Location: Там, где всегда идут дожди Age: 38 Posts: 21,717 Downloads: 2 Uploads: 0 Reputation: 250 \| 8	эпопея завершена? Share Share this post on Digg Del.icio.us Technorati Twitter

29.05.2007, 06:02	#14
AvDav Профессор Join Date: 07 2004 Location: Own world Age: 39 Posts: 3,659 Downloads: 22 Uploads: 0 Reputation: 228 \| 4	сри фдругих каментах Share Share this post on Digg Del.icio.us Technorati Twitter