[ROOTKIT] Impossibile trovare iexplorer.exe

[Jarno]

fantastico... quando apro IE compare questo messaggio

all'avvio... il desktop effettua uno strano refresh di 1 secondo

Firefox si avvia normalmente ma se inizio a navigare o cercare contenuti con parole come Avenger o altri dettagli relativi a questi problemi ...lui capisce e chiude tutto

Hijackthis ha svolto il suo lavoro di pulizia
Prevx CSI vede un kill1211.exe ma che può togliere solo a pagamento...ma non credo sia la causa
Temp, Cache, ed altro è stato tutto eliminato

l'installazione di Avenger viene bloccata, anche se rinomino il file... cmq se lo installo rimane il fatto che non so dove sta il bastardo

che fo?

[Jarno]

riesce a chiudere anche ProcessExplorer

che sia un cugino di linkoptimizer o gromozon per gli amici?

[Deifobe]

vediamo.....
Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

[Jarno]

magari....
il software che hai linkato va installato, ed ovviamente lui lo conosce e non lo fa installare

ho provato GMER Catchme ma non ha trovato niente

ps: sono in modalità provvisoria come amministratore, provo a riavviare in modalità normale, tanto in provvisoria il rootkit lavora lo stesso, mentre io invece non posso fare tante cose...

[Jarno]

in modalità normale sono riuscito a far partire RootkitRevealer, sta scannerizzando, ma almeno hijackthis qualcosa dice, questo oltre all'elenco a monitor non dice o permette di fare nulla....

[Jarno]

fantastico.... nell'archivio di html.it ho trovato questo prezioso intervento di oportet

E' probabile che tu abbia un rootkit.
se non hai già riformattato, prova ad andare nel registro:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\I mageFileExecutionOptions
Qui verifica se c'e' una voce explorer.exe
All'interno della voce explorer probabilmente vedrai il reindirizzamento ad un altro eseguibile, in genere maligno.
Elimina la voce explorer.exe
E già che ci sei verifica se c'è anche una voce iexplorer.exe che riguarda il browser internet, poichè in genere questi rootkit colpiscono anche lui.
Se c'è elimina anche questa seconda voce.

forte...e chi trovo?

SOTTO EXPLORER.EXE
c:\windows\system32\hvlgcmid.bak (che esiste ma è 0KB, infatti non si fa fare l'upload su jotti)

SOTTO IEXPLORE.EXE
c:\WINDOWS\iexplore_32.exe (che non esiste)

ora si pone il problema di eliminarlo, dato che non si fa eliminare...

come si fa?

[Jarno]

la seconda voce si è fatta cancellare (e IE è ripartito!!!!) la prima no


dai ...oohh mia moderatrice ...illuminami sulla dritta per cancellare queste voci di registro, che questo post sta diventando una chicca per la comunità

[Jarno]

figus.... sul menu contestuale della chiava basta ripristinare tutte le autorizzazioni. Cancellato!!!!!

Adesso IE riparte ... ma il padrone di exploer è ancora il rootkit, difatti dopo il riavvio ancora c'è quella voce?




ps: cmq detta tra noi Prevex è una ciofega: è a pagamento e cio che rileva ho il sospetto che lo faccia apposta

[Deifobe]

ok, vedo che sei riuscito a risolvere... almeno in parte

se non mi posti systenscan andiamo avanti a scansioni
(scollega il pc da internet e disattiva l'antivirus per eseguirlo.. poi ricordati di riattivarlo prima di collegarti)

[Jarno]

eh no... IE è ok, ma la voce di registro che si autorescrive e che si è impossessata di explorer non mi fa installare questi tool