Forum » Pomoč in nasveti » Internet Explorer auto run on startup
Internet Explorer auto run on startup
amigo_no1 ::
Na eni win xp x32 sp3 kišti, ki je preverjena z f-secure rescue cd (današnje definicije), MS Windows Malicious Software Removal Tool, bitdefender online scan (v safe modu), Sophos Anti-Rootkit & RootKit Hook Analyzer 3.02 se vsakič, ko se uporabnik prijavi v profil, po novem zažene še 1 proces IE6 (prej nobeden); in sicer tako (uporabil sem Process Explorer):
path:
C:\Program Files\Internet Explorer\iexplore.exe
command line:
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding
current directory:
C:\Documents and Settings\ uporabnik \Desktop\
IE-ja se na tej kišti ne uporablja.Na novo se ni nameščalo nič.
Isti problem se pojavi tudi v drugem uporabniškem profilu, prav tako tudi v safe modu.
Pregledoval sem tudi že z msconfig, autoruns, hijackthis, skopiral log fajl na stran hijackthis.de, a ni nič sumljivega videti.
Prej, ko je bil gori še IE8/7, se je vsakič zagnal IE kot 2 ločena procesa, father/son relacija.
Pri IE6 je zagnan kot son od path C:\WINDOWS\system32\svchost.exe ; command line: C:\WINDOWS\system32\svchost -k DcomLaunch
System restore sem tudi izklopil.
path:
C:\Program Files\Internet Explorer\iexplore.exe
command line:
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding
current directory:
C:\Documents and Settings\ uporabnik \Desktop\
IE-ja se na tej kišti ne uporablja.Na novo se ni nameščalo nič.
Isti problem se pojavi tudi v drugem uporabniškem profilu, prav tako tudi v safe modu.
Pregledoval sem tudi že z msconfig, autoruns, hijackthis, skopiral log fajl na stran hijackthis.de, a ni nič sumljivega videti.
Prej, ko je bil gori še IE8/7, se je vsakič zagnal IE kot 2 ločena procesa, father/son relacija.
Pri IE6 je zagnan kot son od path C:\WINDOWS\system32\svchost.exe ; command line: C:\WINDOWS\system32\svchost -k DcomLaunch
System restore sem tudi izklopil.
- spremenilo: amigo_no1 ()
Duhec ::
Mogoče je problem v povezavi z .NET framework programjem. Postopoma jih deinštaliraj, začenši z najvišjo verzijo.
RejZoR ::
Preveri z Norton Power Eraser (NPE) in Comodo Cleaning Essentials...
Angry Sheep Blog @ www.rejzor.com
amigo_no1 ::
Prečekiral z obema, zbrisal .net framework (2,3,4). Isto kot prej.
NPE je našel spremenjen volsnap.sys -> ta problem popravljen.
http://www.virustotal.com/file-scan/rep...
slika IE-jev iz Process Explorer-ja (PE)
btw, IE-ja ni razen v tu (PE) ali Task-Managerju videti nikjer drugje
Hotel sem pognati "sfc /verifyonly", vendar moj sfc tega parametra nima.
http://pcsupport.about.com/od/termss/p/...
Glede na to da je bil tisti volsnap.sys identificiran nekakšen "tdss rootkit", sem našel tole http://support.kaspersky.com/faq/?qid=2...
vendar ga ne morem zagnati niti v safe modu (tudi če ga preimenujem v "bla.com").
Isto je sedaj z Malwarebytes' Anti-Malware (niti v niti v safe modu ne dela).
Spybot - Search & Destroy se zažene vendar ne najde nič.
Kot kaže je IE nekako hookan z explorer.exe, če namreč v Task-Managerju uibijem IE procesa in explorer, nato ponovno začenem explorer se IE procesa spet pojavita.
NPE je našel spremenjen volsnap.sys -> ta problem popravljen.
http://www.virustotal.com/file-scan/rep...
slika IE-jev iz Process Explorer-ja (PE)
btw, IE-ja ni razen v tu (PE) ali Task-Managerju videti nikjer drugje
Hotel sem pognati "sfc /verifyonly", vendar moj sfc tega parametra nima.
http://pcsupport.about.com/od/termss/p/...
Glede na to da je bil tisti volsnap.sys identificiran nekakšen "tdss rootkit", sem našel tole http://support.kaspersky.com/faq/?qid=2...
vendar ga ne morem zagnati niti v safe modu (tudi če ga preimenujem v "bla.com").
Isto je sedaj z Malwarebytes' Anti-Malware (niti v niti v safe modu ne dela).
Spybot - Search & Destroy se zažene vendar ne najde nič.
Kot kaže je IE nekako hookan z explorer.exe, če namreč v Task-Managerju uibijem IE procesa in explorer, nato ponovno začenem explorer se IE procesa spet pojavita.
Zgodovina sprememb…
- zavaroval slike: bluefish ()
fosil ::
Naredi full scan s kakšnim rescue cd-jem, recimo avira.
Tako je!
Zgodovina sprememb…
- spremenil: fosil ()
amigo_no1 ::
Avira je zaznala enako okužbo kot prej NPE, tokrat sem zamenjal ta fajl v orginalnim v offline načinu.
Samo me čudi da f-secure rescue cd ni včeraj našel nič.
Samo me čudi da f-secure rescue cd ni včeraj našel nič.
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
Duhec ::
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.
Nato še:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.
p.s.
Zapri vse programe.
Start/Zaženi in vpiši:
msinfo32
V levi drevesni strukturi razširi "Programsko okolje" in izberi "Zagnana opravila", ki pokaže vse .exe module. Poglej za explorer.exe, če je pot C:\Windows\explorer.exe
Povej, če je na tem seznamu tudi iexplore.exe in napiši njegovo pot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.
Nato še:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.
p.s.
Zapri vse programe.
Start/Zaženi in vpiši:
msinfo32
V levi drevesni strukturi razširi "Programsko okolje" in izberi "Zagnana opravila", ki pokaže vse .exe module. Poglej za explorer.exe, če je pot C:\Windows\explorer.exe
Povej, če je na tem seznamu tudi iexplore.exe in napiši njegovo pot.
Zgodovina sprememb…
- spremenil: Duhec ()
amigo_no1 ::
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.
checked
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.
teh 2 ključev ni
Zadevo sem rešil (avira offline cd) -zaznal in popravil, če se prav spomnem je šlo za fajl "volsnap.sys", na katerega se je dodala zlobna koda, saj je bil checksum fajla drugačen od originalnega.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | TeŽava z ikonami na namizjuOddelek: Pomoč in nasveti | 2501 (2378) | k4vz0024 |
| » | Odstranitev antivirus 8Oddelek: Pomoč in nasveti | 2115 (1763) | Wox |
| » | Privzeta mapa v Windows ExplorerjuOddelek: Pomoč in nasveti | 1449 (1252) | matjash |
| » | explorer.exe proces- nastavitveOddelek: Operacijski sistemi | 1620 (1470) | veteran |
| » | Sprememba Napisa Start GumbaOddelek: Operacijski sistemi | 2127 (1406) | RuN |