Forum » Pomoč in nasveti » Internet Explorer auto run on startup
Internet Explorer auto run on startup
amigo_no1 ::
Na eni win xp x32 sp3 kišti, ki je preverjena z f-secure rescue cd (današnje definicije), MS Windows Malicious Software Removal Tool, bitdefender online scan (v safe modu), Sophos Anti-Rootkit & RootKit Hook Analyzer 3.02 se vsakič, ko se uporabnik prijavi v profil, po novem zažene še 1 proces IE6 (prej nobeden); in sicer tako (uporabil sem Process Explorer):
path:
C:\Program Files\Internet Explorer\iexplore.exe
command line:
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding
current directory:
C:\Documents and Settings\ uporabnik \Desktop\
IE-ja se na tej kišti ne uporablja.Na novo se ni nameščalo nič.
Isti problem se pojavi tudi v drugem uporabniškem profilu, prav tako tudi v safe modu.
Pregledoval sem tudi že z msconfig, autoruns, hijackthis, skopiral log fajl na stran hijackthis.de, a ni nič sumljivega videti.
Prej, ko je bil gori še IE8/7, se je vsakič zagnal IE kot 2 ločena procesa, father/son relacija.
Pri IE6 je zagnan kot son od path C:\WINDOWS\system32\svchost.exe ; command line: C:\WINDOWS\system32\svchost -k DcomLaunch
System restore sem tudi izklopil.
path:
C:\Program Files\Internet Explorer\iexplore.exe
command line:
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding
current directory:
C:\Documents and Settings\ uporabnik \Desktop\
IE-ja se na tej kišti ne uporablja.Na novo se ni nameščalo nič.
Isti problem se pojavi tudi v drugem uporabniškem profilu, prav tako tudi v safe modu.
Pregledoval sem tudi že z msconfig, autoruns, hijackthis, skopiral log fajl na stran hijackthis.de, a ni nič sumljivega videti.
Prej, ko je bil gori še IE8/7, se je vsakič zagnal IE kot 2 ločena procesa, father/son relacija.
Pri IE6 je zagnan kot son od path C:\WINDOWS\system32\svchost.exe ; command line: C:\WINDOWS\system32\svchost -k DcomLaunch
System restore sem tudi izklopil.
- spremenilo: amigo_no1 ()
Duhec ::
Mogoče je problem v povezavi z .NET framework programjem. Postopoma jih deinštaliraj, začenši z najvišjo verzijo.
RejZoR ::
Preveri z Norton Power Eraser (NPE) in Comodo Cleaning Essentials...
Angry Sheep Blog @ www.rejzor.com
amigo_no1 ::
Prečekiral z obema, zbrisal .net framework (2,3,4). Isto kot prej.
NPE je našel spremenjen volsnap.sys -> ta problem popravljen.
http://www.virustotal.com/file-scan/rep...
slika IE-jev iz Process Explorer-ja (PE)
btw, IE-ja ni razen v tu (PE) ali Task-Managerju videti nikjer drugje
Hotel sem pognati "sfc /verifyonly", vendar moj sfc tega parametra nima.
http://pcsupport.about.com/od/termss/p/...
Glede na to da je bil tisti volsnap.sys identificiran nekakšen "tdss rootkit", sem našel tole http://support.kaspersky.com/faq/?qid=2...
vendar ga ne morem zagnati niti v safe modu (tudi če ga preimenujem v "bla.com").
Isto je sedaj z Malwarebytes' Anti-Malware (niti v niti v safe modu ne dela).
Spybot - Search & Destroy se zažene vendar ne najde nič.
Kot kaže je IE nekako hookan z explorer.exe, če namreč v Task-Managerju uibijem IE procesa in explorer, nato ponovno začenem explorer se IE procesa spet pojavita.
NPE je našel spremenjen volsnap.sys -> ta problem popravljen.
http://www.virustotal.com/file-scan/rep...
slika IE-jev iz Process Explorer-ja (PE)
btw, IE-ja ni razen v tu (PE) ali Task-Managerju videti nikjer drugje
Hotel sem pognati "sfc /verifyonly", vendar moj sfc tega parametra nima.
http://pcsupport.about.com/od/termss/p/...
Glede na to da je bil tisti volsnap.sys identificiran nekakšen "tdss rootkit", sem našel tole http://support.kaspersky.com/faq/?qid=2...
vendar ga ne morem zagnati niti v safe modu (tudi če ga preimenujem v "bla.com").
Isto je sedaj z Malwarebytes' Anti-Malware (niti v niti v safe modu ne dela).
Spybot - Search & Destroy se zažene vendar ne najde nič.
Kot kaže je IE nekako hookan z explorer.exe, če namreč v Task-Managerju uibijem IE procesa in explorer, nato ponovno začenem explorer se IE procesa spet pojavita.
Zgodovina sprememb…
- zavaroval slike: bluefish ()
fosil ::
Naredi full scan s kakšnim rescue cd-jem, recimo avira.
Tako je!
Zgodovina sprememb…
- spremenil: fosil ()
amigo_no1 ::
Avira je zaznala enako okužbo kot prej NPE, tokrat sem zamenjal ta fajl v orginalnim v offline načinu.
Samo me čudi da f-secure rescue cd ni včeraj našel nič.
Samo me čudi da f-secure rescue cd ni včeraj našel nič.
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
Duhec ::
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.
Nato še:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.
p.s.
Zapri vse programe.
Start/Zaženi in vpiši:
msinfo32
V levi drevesni strukturi razširi "Programsko okolje" in izberi "Zagnana opravila", ki pokaže vse .exe module. Poglej za explorer.exe, če je pot C:\Windows\explorer.exe
Povej, če je na tem seznamu tudi iexplore.exe in napiši njegovo pot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.
Nato še:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.
p.s.
Zapri vse programe.
Start/Zaženi in vpiši:
msinfo32
V levi drevesni strukturi razširi "Programsko okolje" in izberi "Zagnana opravila", ki pokaže vse .exe module. Poglej za explorer.exe, če je pot C:\Windows\explorer.exe
Povej, če je na tem seznamu tudi iexplore.exe in napiši njegovo pot.
Zgodovina sprememb…
- spremenil: Duhec ()
amigo_no1 ::
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
in preveri, če niz SHELL vsebuje EXPLORER.EXE in ne kaj drugega.
checked
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options
in če obstajata ključa z imenom EXPLORER.EXE in IEXPLORE.EXE jih izbriši, zapri Regedit, restartaj komp in poročaj.
teh 2 ključev ni
Zadevo sem rešil (avira offline cd) -zaznal in popravil, če se prav spomnem je šlo za fajl "volsnap.sys", na katerega se je dodala zlobna koda, saj je bil checksum fajla drugačen od originalnega.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | TeŽava z ikonami na namizjuOddelek: Pomoč in nasveti | 2206 (2083) | k4vz0024 |
» | Odstranitev antivirus 8Oddelek: Pomoč in nasveti | 1928 (1576) | Wox |
» | Privzeta mapa v Windows ExplorerjuOddelek: Pomoč in nasveti | 1299 (1102) | matjash |
» | explorer.exe proces- nastavitveOddelek: Operacijski sistemi | 1497 (1347) | veteran |
» | Sprememba Napisa Start GumbaOddelek: Operacijski sistemi | 1955 (1234) | RuN |