• Moderatore

    Iexplore.exe è il nome di Internet Explorer.....ce ne sono 2 ok, può essere che in quel momento avevi due finestre di IE aperte?

    io mi concentrerei di più su rpwgyymj.exe che francamente come nome è un tantinello sospetto


  • User Attivo

    Ciao, ciucciovolante, e benvenuto nel forum GT.

    Quoto paolino, sia per l'eseguibile IEXPLORE.EXE, sia per il processo sospetto.

    Effettua una scansione con Hijackthis e postaci il log.

    Verifica, come chiesto da paolino, se ti risultano presenti 2 processi IEXPLORE.EXE anche avendo in esecuzione una sola istanza di IE.
    In questo caso, fai una ricerca per verificare in quali cartelle sono presenti i 2 processi IEXPLORE.EXE. Usa la funzione di ricerca di windows, attivando da "avanzate", la voce "ricerca cartelle e files nascosti".


  • Consiglio Direttivo

    @kru said:

    Effettua una scansione con Hijackthis e postaci il log.

    Scarica Hijackthis e posizionalo in una cartella dentro C:\

    Avvialo dalla voce: Do a system scan and save a logfile; verra' generato un file .txt, postalo qui nel forum!!

    Riguardo i dialer, installa Digisoft Antidialer! 😉

    :ciauz:


  • User Newbie

    Ecco il lo di HijackThis

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 14.49.47, on 27/05/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
    C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\WinRAR\WinRAR.exe
    C:\DOCUME~1\Io\IMPOST~1\Temp\Rar$EX00.984\HiJackThis_v2.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM..\Run: [symantec netdriver monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM..\Run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
    O4 - HKLM..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKCU..\Run: [Norton SystemWorks] C:\Programmi\Norton SystemWorks\CfgWiz.exe /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
    O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{E0C64D96-D1AA-4AFF-9BAE-E2A5DE34CEA9}: NameServer = 62.211.69.150 212.48.4.15
    O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe (file missing)
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

    End of file - 6184 bytes

    rispondo alle vostre domande:

    IL file incriminato iexplore.exe (minuscolo) è in esecuzione anche se non ho alcuna finestra del browser aperta. Evidentemente quando ho una finastra aperta saranno in esecuzione 2 iexplore.exe (uno minuscolo e uno maiuscolo), come proprio ora per esempio, che sto scrivendo sul vosto magnifico forum, ed ho esclusivamente una finestra di internet explorer aperta. Se vi può aiutare vi allego anche un file immagine.

    E' uno screen shot che ho fatto grazie al programma Code Stuff Starter. Grazie allo stesso si evince ciò che vi stavo descrivendo prima:

    iexplore.exe
    IEXPLORE.EXE

    entrambi caricati dalla medesima cartella di windows. Se chiudo la finestra che sto usando per scivere sul forum ,rimarrà in esecuzione il file iexplore.exe, anche se non sto navigando in internet.

    Spero di essermi spiegato più o meno bene, intato colgo l'occasione per rigraziarvi!! 😉


  • Consiglio Direttivo

    Il log di hijack è pulito!

    In un precedente post:http://www.giorgiotave.it/forum/sicurezza-informatica/36237-processo-iexplore-exe-aiutooooooo.html il problema è stato risolto usando A-squared e SuperAntispyware!

    Purtroppo a-squared pesa un po' troppo per il 56k :(!!!


  • User Newbie

    quindi oltre a poter effettuare le scansioni con questi due programmi, non si può far nulla??

    Cioè la differenza fra il processo ixeplore.exe scritto in minuscolo e IEXPLORE.EXE scritto in maiuscolo, qual è ??

    Nella attesa di un vostro riscontro, ammazzo un pò il tempo...:fumato:...grazie e ciao!


  • Consiglio Direttivo

    @ciucciovolante said:

    quindi oltre a poter effettuare le scansioni con questi due programmi, non si può far nulla??

    Ripeto, in un precedente post, il problema è stato risolto usando A-squared!

    @ciucciovolante said:

    Cioè la differenza fra il processo ixeplore.exe scritto in minuscolo e IEXPLORE.EXE scritto in maiuscolo, qual è ??

    iexplore.exe è Internet Explorer! **IEXPLORE.EXE **puo' essere anche un trojan, che usa il nome del browser di casa microsoft, proprio per passare inosservato!

    Cmq, scarica ed effettua una scansione con Asquared! 😉


  • User Newbie

    iexplore.exe è Internet Explorer! IEXPLORE.EXE puo' essere anche un trojan, che usa il nome del browser di casa microsoft, proprio per passare inosservato!

    A me, a dir la verità risulta il contrario, ovvero IEXPLORE.EXE è Internet Explorer, infatti ogni qual volta che apro una pagina web, va in esecuzione tale processo. Inoltre se controlli nella directory C:\Programmi\Internet Explorer, l'unico exe che trovi è IEXPLORE.EXE...la cosa che mi manda di più in bestia è che il processo iexplore.exe, viene caricato dalla stessa cartella, ma non è assolutamente presente lì, nemmeno come file nascosto.

    Comunque grazie lo stesso, proverò con A-squared!


  • Moderatore

    @ciucciovolante said:

    A me, a dir la verità risulta il contrario, ovvero IEXPLORE.EXE è Internet Explorer, infatti ogni qual volta che apro una pagina web, va in esecuzione tale processo. Inoltre se controlli nella directory C:\Programmi\Internet Explorer, l'unico exe che trovi è IEXPLORE.EXE...la cosa che mi manda di più in bestia è che il processo iexplore.exe, viene caricato dalla stessa cartella, ma non è assolutamente presente lì, nemmeno come file nascosto.

    Comunque grazie lo stesso, proverò con A-squared!

    è nascosto in un alternate data stream di IEXPLORE.EXE

    dobbiamo ringraziare zio Bill che voleva copiare il sistema di metadati del Mac e introdusse gli ADS....

    ad oggi mi pare che nessun antivirus sia capace di identificare gli alternate data stream

    a questo punto devi scaricare questo software http://www.sysinternals.com/Utilities/Streams.html

    copia l'eseguibile streams.exe nella cartella di IE e poi da shell dai il comando

    **
    streams .*.*
    **

    così facendo visualizzerai tutti gli ADS presenti in quella directory

    ovviamente lo spyware potrebbe non essere stato installato come ADS di Internet Explorer, in quel caso bisogna scansionare l'intero hard disk

    in questo caso usa http://www.bleepingcomputer.com/files/Merijn/adsspy.zip


  • User Newbie

    Ciao paolino, grazie per il tuo intervento.

    Ho scaricato e posizionato il file streams.exe nella cartella di IE, ma quando vado su esegui e scrivo il comando streams .*.* mi dice che è impossibile trovare il file steams.

    Sto effettuando adesso la scansione per l'intero sistema con ADS Spy.

    Cosa dovrei trovare per capire che si tratta di iexplore.exe.

    Grazie ancora, ciao.


  • Moderatore

    @ciucciovolante said:

    Ciao paolino, grazie per il tuo intervento.

    Ho scaricato e posizionato il file streams.exe nella cartella di IE, ma quando vado su esegui e scrivo il comando streams .*.* mi dice che è impossibile trovare il file steams.

    Sto effettuando adesso la scansione per l'intero sistema con ADS Spy.

    Cosa dovrei trovare per capire che si tratta di iexplore.exe.

    Grazie ancora, ciao.

    vuol dire che nella cartella di IE non ci sono ADS

    ADS Spy invece visualizza glI ADS in questo modo

    **
    c:\blah blah\iexplore.exe: malware.exe (52000 bytes)
    c:\blah blah\smss.exe: spyware.exe (34000 bytes)
    etc...
    **

    in sostanza visualizza il nome del file che contiene gli ADS e i nomi degli ADS contenuti e la loro dimensione

    tra i nomi degli ADS dovrebbe esserci iexplore.exe

    se non è negli ADS vuol dire che il malware in questione ha hookato l'API di Windows e quindi occulta la sua presenza in maniera efficace....per trovarlo devi avviare un antispyware o un antivirus da un CD, quindi senza avviare Windows

    quel fantomatico iexplore.exe potrebbe essere Randex.AD ( http://www.auditmypc.com/process/iexplore.asp ) ma non è detto....purtroppo sono molti i malware che usano il nome iexplore.exe ed è difficile capire di chi si tratta

    viste le capacità che il malware sta mostrando penserei a Zelatin o Gromozon o un altro spyware professionale


  • Consiglio Direttivo

    @paolino said:

    quel fantomatico iexplore.exe potrebbe essere Randex.AD ( http://www.auditmypc.com/process/iexplore.asp ) ma non è detto....purtroppo sono molti i malware che usano il nome iexplore.exe ed è difficile capire di chi si tratta viste le capacità che il malware sta mostrando penserei a Zelatin o Gromozon o un altro spyware professionale

    Quoto Paolino!

    Purtroppo diversi malware usano il nome del browser di zio Bill! 😞

    Ciucciovolante hai provato con [A-squared](http://download5.emsisoft.com/a2FreeSetup.exe)?? 
    ``` :?