MegaLab.it


http://www.megalab.it/forum/

Iexplore.exe, browser chiuso ma processo attivo

./viewtopic.php?f=33&t=14704&start=0

Pagina 1 di 1

Iexplore.exe, browser chiuso ma processo attivo

MessaggioInviato: mar giu 28, 2005 9:06 pm
da Fidelius
Salve ragazzi.
Mi sono appena iscritto a questo forum e colgo l'occasione per salutarvi.
[:-D] [:-D]
Proprio l'altro giorno il mio pc è stato infettato dal worm Gaobot, che fortunatamente sono riuscito a risolvere, l'unica cosa che mi preoccupa è che il firewall di windows blocca il file iexplore.it (autore sconosciuto) che si trova nella cartella C:\windows.
Ho provato a cercare questo file nel pc ma non sono riuscito a trovarlo, ho anche fatto una scansione con adaware e spybot ma niente.
Ho notato, con task manager, che il processo iexplore.it è attivo anche quando tute le finestre del browser sono chiuse.
Volevo chiedervi come posso eliminare questo file.

MessaggioInviato: mer giu 29, 2005 7:07 am
da crazy.cat
Sei sicuro del nome del file attivo con l'estensione .it ?
E' attiva la visualizzazione dei file nascosti nel tuo pc?
Prova a fare la scansione con Hijackthis e manda qui il log della scansione che vediamo di capirci di più.
Che windows e che antivirus hai?

Benvenuto nel forum e facci sapere.

MessaggioInviato: mer giu 29, 2005 10:11 am
da Fidelius
Scusami il nome del file in questione è iexplore.exe, sà a cosa pensavo.
Ho provato ad attivare la visualizzazione dei file nascosti ma niente, però ho notato che quando uso nero riesco a visualizzare sto file.
Il Sistema Operativo che uso è windows xp sp2, come antivirus norton 2005 e antivir.
Di seguito riporto il log della scansione con Hijackthis e credo di aver trovato qualcosa, ma prima di agire vorrei un parere.

Logfile of HijackThis v1.98.2
Scan saved at 10.50.42, on 29/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Conexant\MC8000P ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Tvrmvcr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Principal\Documenti\Crak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcw.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\MC8000P ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TvRemoteVCR] C:\WINDOWS\Tvrmvcr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Internet Explorer] C:\WINDOWS\iexplore.exe
O4 - HKLM\..\RunServices: [Internet Explorer] C:\WINDOWS\iexplore.exe
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0026716656
O16 - DPF: {99D8AF4F-307A-461C-A404-BFA33D502B31} (APStartX Control) - http://217.169.119.216/resources/APStart.ocx
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A326905-8519-4DF0-99FB-6E725DD2611A}: NameServer = 80.21.193.22 151.99.125.1

MessaggioInviato: mer giu 29, 2005 12:21 pm
da crazy.cat
Direi che i due file che hai evidenziato sono in una posizione sbagliata e quindi da eliminare.
Vai in modalità provvisoria e sempre con hijackthis cancella quelle due righe e controlla che sia poi sparito il file da quella cartella.

Non tenere due antivirus installati non servono a niente e poi alla fine i virus passano lo stesso.
Butta via norton e tieni Antivir.

MessaggioInviato: mer giu 29, 2005 1:19 pm
da Fidelius
Niente da fare, proprio non vuole andare via. [cry] [cry]

MessaggioInviato: mer giu 29, 2005 4:21 pm
da crazy.cat
Hai installato tu questo programma?
O4 - HKLM\..\Run: [TvRemoteVCR] C:\WINDOWS\Tvrmvcr.exe

Disattiva il ripristino della configurazione e riavvia il pc, poi parti in modalità provvisoria e fai una scansione con questo sw http://www.MegaLab.it/2333

MessaggioInviato: mer giu 29, 2005 9:09 pm
da Fidelius
Hai installato tu questo programma?
O4 - HKLM\..\Run: [TvRemoteVCR] C:\WINDOWS\Tvrmvcr.exe
Si, questo software l'ho installato io.

Ho appena finito la scansione con Scangui, come mi hai detto, ma ancora non sono riuscito ad eliminarlo. [cry+] [cry+]
Sta diventando davvero irritante [:(!]

MessaggioInviato: gio giu 30, 2005 1:24 am
da ba_61
In Visualizzazione cartelle e file nascosti, togli le spunte ai File protetti e alle estensioni dei file e guarda in C:\WINDOWS se ci sono le cartelle, da eliminare in modalità provvisoria, iexplore.exe.

MessaggioInviato: gio giu 30, 2005 6:11 am
da crazy.cat
Ti dice il nome del virus?
Non riesce a cancellare il file?
Se lo cancelli tu a mano, tanto è un file inutile.

Se non riesce a trovare un nome del virus, puoi caricare il file su questo sito
http://www.virustotal.com/flash/index_en.html
er ti viene analizzato da 18 antivirus e un nome deve uscire per forza.

MessaggioInviato: gio giu 30, 2005 10:25 am
da Fidelius
Finalmente ce l'ho fatta!! [:-D] [:-D]
Sono riuscito ad eliminare la bestiola dal pc.
Vi ringrazio per il vostro aiuto, perché da solo non ce l'avrei mai fatta!! [applauso] [applauso]
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/