Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Iexplore.exe, browser chiuso ma processo attivo

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Iexplore.exe, browser chiuso ma processo attivo

Messaggioda Fidelius » mar giu 28, 2005 9:06 pm

Salve ragazzi.
Mi sono appena iscritto a questo forum e colgo l'occasione per salutarvi.
[:-D] [:-D]
Proprio l'altro giorno il mio pc è stato infettato dal worm Gaobot, che fortunatamente sono riuscito a risolvere, l'unica cosa che mi preoccupa è che il firewall di windows blocca il file iexplore.it (autore sconosciuto) che si trova nella cartella C:\windows.
Ho provato a cercare questo file nel pc ma non sono riuscito a trovarlo, ho anche fatto una scansione con adaware e spybot ma niente.
Ho notato, con task manager, che il processo iexplore.it è attivo anche quando tute le finestre del browser sono chiuse.
Volevo chiedervi come posso eliminare questo file.
Avatar utente
Fidelius
Aficionado
Aficionado
 
Messaggi: 78
Iscritto il: mar giu 28, 2005 4:58 pm

Messaggioda crazy.cat » mer giu 29, 2005 7:07 am

Sei sicuro del nome del file attivo con l'estensione .it ?
E' attiva la visualizzazione dei file nascosti nel tuo pc?
Prova a fare la scansione con Hijackthis e manda qui il log della scansione che vediamo di capirci di più.
Che windows e che antivirus hai?

Benvenuto nel forum e facci sapere.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Fidelius » mer giu 29, 2005 10:11 am

Scusami il nome del file in questione è iexplore.exe, sà a cosa pensavo.
Ho provato ad attivare la visualizzazione dei file nascosti ma niente, però ho notato che quando uso nero riesco a visualizzare sto file.
Il Sistema Operativo che uso è windows xp sp2, come antivirus norton 2005 e antivir.
Di seguito riporto il log della scansione con Hijackthis e credo di aver trovato qualcosa, ma prima di agire vorrei un parere.

Logfile of HijackThis v1.98.2
Scan saved at 10.50.42, on 29/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Conexant\MC8000P ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Tvrmvcr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Principal\Documenti\Crak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcw.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\MC8000P ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TvRemoteVCR] C:\WINDOWS\Tvrmvcr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Internet Explorer] C:\WINDOWS\iexplore.exe
O4 - HKLM\..\RunServices: [Internet Explorer] C:\WINDOWS\iexplore.exe
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0026716656
O16 - DPF: {99D8AF4F-307A-461C-A404-BFA33D502B31} (APStartX Control) - http://217.169.119.216/resources/APStart.ocx
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A326905-8519-4DF0-99FB-6E725DD2611A}: NameServer = 80.21.193.22 151.99.125.1
Avatar utente
Fidelius
Aficionado
Aficionado
 
Messaggi: 78
Iscritto il: mar giu 28, 2005 4:58 pm


Messaggioda crazy.cat » mer giu 29, 2005 12:21 pm

Direi che i due file che hai evidenziato sono in una posizione sbagliata e quindi da eliminare.
Vai in modalità provvisoria e sempre con hijackthis cancella quelle due righe e controlla che sia poi sparito il file da quella cartella.

Non tenere due antivirus installati non servono a niente e poi alla fine i virus passano lo stesso.
Butta via norton e tieni Antivir.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Fidelius » mer giu 29, 2005 1:19 pm

Niente da fare, proprio non vuole andare via. [cry] [cry]
Avatar utente
Fidelius
Aficionado
Aficionado
 
Messaggi: 78
Iscritto il: mar giu 28, 2005 4:58 pm

Messaggioda crazy.cat » mer giu 29, 2005 4:21 pm

Hai installato tu questo programma?
O4 - HKLM\..\Run: [TvRemoteVCR] C:\WINDOWS\Tvrmvcr.exe

Disattiva il ripristino della configurazione e riavvia il pc, poi parti in modalità provvisoria e fai una scansione con questo sw http://www.MegaLab.it/2333
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Fidelius » mer giu 29, 2005 9:09 pm

Hai installato tu questo programma?
O4 - HKLM\..\Run: [TvRemoteVCR] C:\WINDOWS\Tvrmvcr.exe
Si, questo software l'ho installato io.

Ho appena finito la scansione con Scangui, come mi hai detto, ma ancora non sono riuscito ad eliminarlo. [cry+] [cry+]
Sta diventando davvero irritante [:(!]
Avatar utente
Fidelius
Aficionado
Aficionado
 
Messaggi: 78
Iscritto il: mar giu 28, 2005 4:58 pm

Messaggioda ba_61 » gio giu 30, 2005 1:24 am

In Visualizzazione cartelle e file nascosti, togli le spunte ai File protetti e alle estensioni dei file e guarda in C:\WINDOWS se ci sono le cartelle, da eliminare in modalità provvisoria, iexplore.exe.
Avatar utente
ba_61
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6290
Iscritto il: lun gen 10, 2005 11:36 pm

Messaggioda crazy.cat » gio giu 30, 2005 6:11 am

Ti dice il nome del virus?
Non riesce a cancellare il file?
Se lo cancelli tu a mano, tanto è un file inutile.

Se non riesce a trovare un nome del virus, puoi caricare il file su questo sito
http://www.virustotal.com/flash/index_en.html
er ti viene analizzato da 18 antivirus e un nome deve uscire per forza.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Fidelius » gio giu 30, 2005 10:25 am

Finalmente ce l'ho fatta!! [:-D] [:-D]
Sono riuscito ad eliminare la bestiola dal pc.
Vi ringrazio per il vostro aiuto, perché da solo non ce l'avrei mai fatta!! [applauso] [applauso]
Avatar utente
Fidelius
Aficionado
Aficionado
 
Messaggi: 78
Iscritto il: mar giu 28, 2005 4:58 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising