Problem z procesem EXPLORER.EXE


(Pyzio40) #1

Witam,

Mam problem z pewnym procesem który włącza się przy każdym uruchomieniu komputera, a mianowicie jest to EXPLORER.EXE (EXPLORER.EXE a explorer.exe to mimo pozorów różnica), nie wiem do czego on jest ale nie sądzę żeby był on niezbędny do prawidłowego funkcjonowania systemu. O tuż po każdym formatowaniu komputera tego procesu nie ma, tylko włącza się on po jakimś dłuższym czasie jego użytkowania, być może jest to spowodowane zainstalowaniem Service Pack'a 3 z automatycznych aktualizacji windowsa, ale nie jestem pewny.

Chciałbym całkowicie wykluczyć jego ciągłe włączanie się po każdym uruchomieniu komputera. Próbowałem przez EasyCleaner'a i komendę "msconfig" w zakładce uruchamianie który włączam przez "uruchom" w starcie.

Screen:

3b34e38c643016b6m.jpg


(Olixxx94) #2

I po odznaczeniu tego w msconfig znowu się pojawia?


(Redkolor 76) #3

Prawdopodobnie masz włączoną opcję uruchamiania okien folderów w osobnych procesach.

Otworz dowolny folder, z menu wybierz Narzedzia -> Opcje folderow -> Widok i odznacz "Uruchom okna folderow w osobnych procesach". Oczywiscie, jesli chcesz. Domyslnie ta opcja jest wylaczona


(Pyzio40) #4

Olcia, po odznaczeniu w msconfig'u pojawia się po ponownym uruchomieniu kopia odznaczonego procesu, tyle że znowu jest zaznaczona, i za każdym razem kiedy będę odznaczał będzie się ich robiło coraz więcej.

Screen:

8e9a66e2d18f8e1fm.jpg

pio_76, tą opcję mam odznaczoną, nigdy nie była zaznaczona, nie wiem czy to mogłoby mieć z moim problemem coś wspólnego.

Wcześniej próbowałem wyłączyć proces przez Menadżer urządzeń i znaleźć plik tego procesu i go usunąć, ale próba nie powiodła się...


(Dam9) #5

...


(system) #6

Masz zainfekowany system!


(Redkolor 76) #7

Jest darmowy programik "ProcessExplorer". Pokazuje on wszystkie aktualnie działające procesy oraz użyte przez nie składniki systemu . Możesz go użyć, aby się dowiedzieć, co kryje się za niechcianym "EXPLORER.EXE".


(Pyzio40) #8

Junior009, po pierwsze, to jest proces który pozwala ci na przeglądanie wszystkich plików i folderów na komputerze, czyli wyłączenie tego procesu wiąże się z tym że nie będziesz mógł tego robić, a po drugie, najpierw przeczytaj wszystkie odpowiedzi od początku a potem staraj się pomóc bo na samym początku napisałem że EXPLORER.EXE (dużymi literami) to co innego niż explorer.exe (małymi literami), poza tym dodatkowo masz screena który ukazuje obydwa te procesy włączone na raz. Poza tym po twoim poście widzę że nie jesteś w stanie mi pomóc.

Barnaba, nie sądzę żebyś miał tutaj rację, bo komputer działa bez zarzutów, nawet nie jest przymulony, może uzasadnisz swoją wypowiedź jakoś? Bo tobie tak samo mogę i w tej chwili zarzucić że masz zainfekowany komputer równie dobrze.

pio_76, dziękuję ci bardzo, ale mi nie potrzeba sprawdzać co się za nim kryje, ja chcę po prostu go wyłączyć raz na zawsze.


(system) #9

Mam rację na 100%.

Klik


(Dam9) #10

Kiedyś miałem tak, że jak wyłączyłem właśnie EXPLORER.EXE (dużymi literami) to stało się właśnie tak samo jak po wyłączeniu explorer.exe (małymi).


(deFco247) #11

Ja miałem ten sam problem z tym samym procesem. Owy EXPLORER.EXE jest koniem trojańskim :!: :o :shock: , który zagnieżdża się w C:\WINDOWS\system32.

I jest widoczny tylko, gdy się aktywuje pokazywanie ukrytych plików systemowych.

explorer.exe jest normalnie widoczny w C:\WINDOWS

Od razu wiedziałem, że coś jest nie tak, bo zauważyłem go na swoim flashdysku po wizycie na innym komputerze.

Usunąłem go z niego, ale następnego dnia, gdy włączyłem Menedżera Zadań od razu wydał mi się podejrzany drugi, ten sam proces pisany DUŻYMI literami.

PS.

Konie trojańskie nie przymulają komputera. Działają jak moduły szpiegowskie


(Henio Mazurek) #12

Wrzuć log z HijackThis. Program pokaże jego dokładną lokalizację, przez co będzie można stwierdzić czy to malware.


(Pyzio40) #13

Przepraszam że tak późno. Oto log HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:00:35, on 2009-03-16

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\EXPLORER.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Programy\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe


--

End of file - 3799 bytes

(Henio Mazurek) #14

Czytałem, że proces explorer powinien mieć lokalizację w c:\windows\, a Ty masz też w c:\windows\system32\, czyli może być problem. Poczekaj na wskazówki eksperta. Nie rób nic na własną rękę.

Wrzuć jeszcze log z Combofix

http://www.searchengines.pl/index.php?s ... ntry395642

Logi wklejasz na http://www.wklej.org lub http://www.wklejto.pl a w poście dajesz tylko link do nich.


(Olixxx94) #15

Fix w HijackThis. Daj log z Combofix.


(system) #16

HijackThis nie jest w stanie usunąć tej infekcji.

Tu konieczny jest log z ComboFix.


(Pyzio40) #17

Proszę bardzo, log z Combofix'a:

http://www.wklej.org/id/65623/


(system) #18

Wklej do notatnika:

File::

C:\luk1ylq.com

C:\xdw.com

C:\cb.exe

C:\i.com

c:\windows\system32\2d2ca2ce-704a-428c-8cbe-0736b29190aa.dll

c:\windows\f96ac0e5-19d2-42c5-8f68-eb7a99861769.ocx

C:\gi2ky.exe

C:\wx8o0bt1.com

C:\w2.com

C:\hyetn1i.exe

C:\qphdin.com

C:\ur0.com

C:\opgde.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b735580-0753-11de-b060-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{60a81530-11f8-11de-b0a7-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ceefcd2-fc34-11dd-b00e-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{841a31f0-fb82-11dd-b007-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91b22a70-0432-11de-b049-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8371520-f9f0-11dd-afff-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e18842e1-1257-11de-b0a9-0008544bfd7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6eaf6b8-0bfe-11de-b07c-0008544bfd7f}]

Plik zapisz jako CFScript.txt - przeciągnij i upuść na ikonę ComboFix. Zamieszczasz powstały log.

I to miał być czysty system!


(Pyzio40) #19

Dzięki wielkie, problem zniknął.

Macie u mnie piwo chłopaki :smiley:


(huber2t) #20

Pokaż log z usuwania z Combofix