processo iexplore.exe

[d4rksl413r]

salve a tutti.. ha da una settimana ke giace appollaiato sui processi del task manager questo bel iexplore.exe e mi blocca il pc in quanto mi occupa moltissima ram, per quanto abbia provato a terminarlo dopo un secondo è di nuovo li, ho fatto scansioni con nod32, ho fatto scansioni con super antispyware, ho fatto scansioni con a-squared, nessuno di questi mi trova minacce..
ho provato a fare una ricerca x vedere dove abita questo file, e ho visto con piacere che si è comprato piu di una casa in giro x le cartelle di windows di cui: system32, prefetch, etc...
quindi ho capito subito che non è un eseguibile di internet explorer anke perchè il file non è "iexplorer.exe" ma "iexplore.exe". ho riavviato in modalità provvisoria, ho eliminato questi file dalla varie cartelle di C:\WINDOWS\...
apro il task manager (sempre in modalità provvisoria) e come per magia il processo non vi era piu..
riavvio normalmente accedo a windows apro il task ed è di nuovo li quel maledetto exe.
faccio di nuovo una ricerca x vedere se si era rigenerato qualche file e invece non ce nessun iexplore in tutto il pc..
come devo fare? aiutatemi vi prego...

[amvinfe]

esegui una scansione con HijackThis e posta il log generato.
Leggi la procedura corretta presente al punto 4 dell'URL
http://forum.html.it/forum/showthrea...hreadid=811189

[d4rksl413r]

ci tengo a precisare che avevo deciso di formattare e adesso ho appena finito, il pc è come nuovo. non appena ho aperto la posta elettronica di msn ecco nei processi il mio amichetto iexplore.exe ke nn se ne va piu... sto facendo una scansione con ad-aware. cmq ecco il log, fatemi sapere ciau.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.30.49, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\Programmi\Eset\nod32krn.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\DAP\DAP.EXE
C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe
C:\Programmi\VIA\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Documents and Settings\giulio\Documenti\My Completed Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Programmi\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [File Once Online Balm] C:\Documents and Settings\All Users\Dati applicazioni\sect burn file once\Cdrom Free.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [okaymapi] C:\DOCUME~1\giulio\DATIAP~1\InfoMix\2Stupid.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 4625 bytes

ah! un altra cosa! mi si aprono pagine di internet explorer con titolo: CiD:..... e poi ce il nome del sito, ke spesso sono siti di casinò e porno.

[d4rksl413r]

ecco anke il log di ad-aware, mi ha trovato 15 minacce:

ArchiveData(auto-quarantine- 2008-01-19 16-39-31.bckp)
Referencefile : SE1R210 27.12.2007
================================================== ====

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU FileReference : C:\Documents and Settings\giulio\recent\Desktop.ini
obj[1]=MRU FileReference : C:\Documents and Settings\giulio\recent\hijackthis.lnk
obj[2]=MRU FileReference : C:\Documents and Settings\giulio\recent\My Completed Downloads.lnk
obj[3]=MRU FileReference : C:\Documents and Settings\giulio\recent\ZuneDesktopTheme.lnk
obj[5]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
obj[6]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
obj[7]=MRU RegReference : S-1-5-21-1292428093-1580818891-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\opensavemru\*
obj[8]=MRU RegReference : S-1-5-21-1292428093-1580818891-839522115-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs\.log
obj[9]=MRU RegReference : S-1-5-21-1292428093-1580818891-839522115-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs\.msi
obj[10]=MRU RegReference : S-1-5-21-1292428093-1580818891-839522115-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs\Folder
obj[12]=MRU RegReference : .DEFAULT\software\microsoft\windows media\wmsdk\general computername
obj[13]=MRU RegReference : S-1-5-18\software\microsoft\windows media\wmsdk\general computername
obj[14]=MRU RegReference : S-1-5-21-1292428093-1580818891-839522115-1003\software\microsoft\windows media\wmsdk\general computername

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[12]=IECache Entry : Cookie:giulio@ad.yieldmanager.com/
obj[13]=IECache Entry : Cookie:giulio@statcounter.com/
obj[14]=IECache Entry : Cookie:giulio@doubleclick.net/
obj[15]=IECache Entry : Cookie:giulio@atdmt.com/
obj[16]=IECache Entry : Cookie:giulio@msnportal.112.2o7.net/

ho messo in quarantena i file e li ho eliminati, nei processi ce ancora un bell' IEXPLORE.exe ke nn se ne va

[amvinfe]

non per essere curioso, ma a quale iexplore.exe ti stai riferendo?

[d4rksl413r]

penso ke sia stato kiaro. è un processo ke si chiama IEXPLORE.EXE o termino e non se ne va ritorna dopo un secondo occupando ancora piu ram di prima

[bootzenn]

ciao

explorer.exe serve per navigare fra le tue cartelle
iexplore.exe serve per navigare nel web

sono 2 processi legittimi(se non infetti) se hai appena formattato correttamente non credo tu abbia problemi

appena apri la posta di msn, si apre una pagina web con internet explorer e quindi si avvia il processo iexplore.exe

[d4rksl413r]

iexplore è differente da iexplorer, quando apri internet explorer nei processi spunta iexplorer.exe e quando lo kiudi anch'esso se ne va dai processi, invece questo no, adesso addirittura soo 3 processi, non appena li chiudo si rigenerano

[bootzenn]

Originariamente inviato da bootzenn
ciao

explorer.exe serve per navigare fra le tue cartelle
iexplore.exe serve per navigare nel web

sono 2 processi legittimi(se non infetti) se hai appena formattato correttamente non credo tu abbia problemi

appena apri la posta di msn, si apre una pagina web con internet explorer e quindi si avvia il processo iexplore.exe

[d4rksl413r]

RAGAZZI CI SONO RIUSCITOOOOOOO!!! finalmente lo beccato sto bastardo!! scusate la parola ma quando ci vuole ci vuole!! sapete cosa era? quando installate messenger plus non vi chiede di installare il programma sponsor? ebbene si: vi installa il programma sponsor che durante la vostra tranquilla navigazione vi apre pagine di internet explorer di nome CiD, e sono siti di casinò, siti porno, etc... e in piu vi butta nei processi sti iexplere.exe che vi divorano il pc. ragazzi state attenti non installate mai il programma sponsor di plus. ciau
grazie a tutti quelli ke hanno cercato di darmi una mano