[2003 TS] explorer.exe crasht als IE wordt gestart

[ Voor 86% gewijzigd door Turdie op 20-08-2008 08:23 ]

guidovb999 schreef op woensdag 20 augustus 2008 @ 08:20:
Heb je IE6 al eens verwijderd via de Add/remove Windows Components?

Verwijderd schreef op woensdag 20 augustus 2008 @ 09:57:
Ik heb IE ook zonder addons gedraait. IE inderdaad niet gedeinstalleerd, wel rollback naar versie 6 nadat 7 erop was gezet, inmiddels staat 7 er wel weer op. Allemaal zelfde probleem. Het is trouwens ook niet de internet explorer die vast loopt, maar de explorer.exe.

Nieuwe ontwikkeling: wanneer je de Internet Explorer snelkoppeling "run as" draait, en dan met "Restricted Access", dan loopt explorer.exe niet vast, alleen kun je hier niets mee verder behalve standaard HTTP pagina's openen.

Bij het hangen van explorer.exe wordt er totaal geen event log melding gemaakt. Het is ook niet dat hij vast loopt met een foutmelding. Hij doet gewoon niets meer. Staat niet "not responding" of wat dan ook, alles lijkt ok, behalve dan dat je nergens meer op kunt klikken (start balk, iconen etc) tot je explorer.exe en iexplorer.exe sluit, en explorer.exe weer uitvoerd.

Het vreemde blijft dat wanneer je windows\system32\wupdmgr.exe uitvoerd (windows update manager) en deze dus via een interne funcie Internet Explorer uitvoerd er geen enkel probleem is, en het alleen gebeurd wanner je als gebruiker via de shell Internet Explorer start.

• Download Debugging tools for Windows
• Ga naar de Directory van de Debugging Tools for Windows (standaard C:\Program Files\Debugging Tools for Windows (x86))
• Start een Command Prompt en draai adplus. In het geval van Explorer.exe kun je het volgende commando gebruiken. Maak ook even de directory C:\dump aan (daar komt de dump te staan). Het commando uit te voeren via een command prompt in de Directory van Debugging Tools
  cscript adplus.vbs -crash -pn explorer.exe -o C:\dump. Reproduceer nu de crash, er wordt nu automatisch een dump gemaakt van het crashende proces.
• Ga nu verder met debuggen volgens deze site(het stukje vanaf For Crash volgen)

[ Voor 13% gewijzigd door pennenlikker op 20-08-2008 13:48 ]

Verwijderd schreef op donderdag 21 augustus 2008 @ 16:53:
bovenstaand ga ik ook maar uitvoeren dan, super!


Nog even een tussentijdse Microsoft status update:

There is a process trying to load into the explorer.exe and iexplorer.exe processes that does not load, but instead causes an orphaned critical section (loader lock). Thread that acquired the loader lock exited without releasing it.

Thread 2644 which owns loader lock is not there anymore. Main thread of explorer.exe is stuck waiting for the loader lock. It appears to be __c0013E98.dat, which is our Trojan loader.

Since this is the case and this Trojan is so new to the Internet I don't see any way we can successfully remove it at this time. We are still not even sure how the injection path works for infection.

My recommendation after talking to the Microsoft Windows Security department is to either wait until the major anti-virus venders have successfully completed analyzing the Trojan and can create a safe way to remove it or to reload the operating systems on the affected machines.

We will be sending a report to our security division on this Trojan so they can also contact the major AV venders with the information.