» »

Internet Explorer auto run on startup

Internet Explorer auto run on startup

amigo_no1 ::

Na eni win xp x32 sp3 kišti, ki je preverjena z f-secure rescue cd (današnje definicije), MS Windows Malicious Software Removal Tool, bitdefender online scan (v safe modu), Sophos Anti-Rootkit & RootKit Hook Analyzer 3.02 se vsakič, ko se uporabnik prijavi v profil, po novem zažene še 1 proces IE6 (prej nobeden); in sicer tako (uporabil sem Process Explorer):

path:
C:\Program Files\Internet Explorer\iexplore.exe

command line:
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding

current directory:
C:\Documents and Settings\ uporabnik \Desktop\

IE-ja se na tej kišti ne uporablja.Na novo se ni nameščalo nič.
Isti problem se pojavi tudi v drugem uporabniškem profilu, prav tako tudi v safe modu.

Pregledoval sem tudi že z msconfig, autoruns, hijackthis, skopiral log fajl na stran hijackthis.de, a ni nič sumljivega videti.
Prej, ko je bil gori še IE8/7, se je vsakič zagnal IE kot 2 ločena procesa, father/son relacija.
Pri IE6 je zagnan kot son od path C:\WINDOWS\system32\svchost.exe ; command line: C:\WINDOWS\system32\svchost -k DcomLaunch
System restore sem tudi izklopil.
  • spremenilo: amigo_no1 ()

Duhec ::

Mogoče je problem v povezavi z .NET framework programjem. Postopoma jih deinštaliraj, začenši z najvišjo verzijo.

RejZoR ::

Preveri z Norton Power Eraser (NPE) in Comodo Cleaning Essentials...
Angry Sheep Blog @ www.rejzor.com

amigo_no1 ::

Prečekiral z obema, zbrisal .net framework (2,3,4). Isto kot prej.

NPE je našel spremenjen volsnap.sys -> ta problem popravljen.
http://www.virustotal.com/file-scan/rep...

slika IE-jev iz Process Explorer-ja (PE)


btw, IE-ja ni razen v tu (PE) ali Task-Managerju videti nikjer drugje


Hotel sem pognati "sfc /verifyonly", vendar moj sfc tega parametra nima.
http://pcsupport.about.com/od/termss/p/...


Glede na to da je bil tisti volsnap.sys identificiran nekakšen "tdss rootkit", sem našel tole http://support.kaspersky.com/faq/?qid=2...
vendar ga ne morem zagnati niti v safe modu (tudi če ga preimenujem v "bla.com").

Isto je sedaj z Malwarebytes' Anti-Malware (niti v niti v safe modu ne dela).

Spybot - Search & Destroy se zažene vendar ne najde nič.


Kot kaže je IE nekako hookan z explorer.exe, če namreč v Task-Managerju uibijem IE procesa in explorer, nato ponovno začenem explorer se IE procesa spet pojavita.

Zgodovina sprememb…

  • zavaroval slike: bluefish ()

fosil ::

Naredi full scan s kakšnim rescue cd-jem, recimo avira.
Tako je!

Zgodovina sprememb…

  • spremenil: fosil ()

amigo_no1 ::

Avira je zaznala enako okužbo kot prej NPE, tokrat sem zamenjal ta fajl v orginalnim v offline načinu.
Samo me čudi da f-secure rescue cd ni včeraj našel nič.

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

Duhec ::

Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.

Nato še:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.

p.s.
Zapri vse programe.
Start/Zaženi in vpiši:
msinfo32
V levi drevesni strukturi razširi "Programsko okolje" in izberi "Zagnana opravila", ki pokaže vse .exe module. Poglej za explorer.exe, če je pot C:\Windows\explorer.exe
Povej, če je na tem seznamu tudi iexplore.exe in napiši njegovo pot.

Zgodovina sprememb…

  • spremenil: Duhec ()

zile ::

Kaj se zgodi, če skreiraš novega userja?

amigo_no1 ::

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.

checked

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.

teh 2 ključev ni

Zadevo sem rešil (avira offline cd) -zaznal in popravil, če se prav spomnem je šlo za fajl "volsnap.sys", na katerega se je dodala zlobna koda, saj je bil checksum fajla drugačen od originalnega.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

TeŽava z ikonami na namizju

Oddelek: Pomoč in nasveti
131969 (1846) k4vz0024
»

Odstranitev antivirus 8

Oddelek: Pomoč in nasveti
281798 (1446) Wox
»

Privzeta mapa v Windows Explorerju

Oddelek: Pomoč in nasveti
71200 (1003) matjash
»

explorer.exe proces- nastavitve

Oddelek: Operacijski sistemi
81395 (1245) veteran
»

Sprememba Napisa Start Gumba

Oddelek: Operacijski sistemi
261864 (1143) RuN

Več podobnih tem