- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- Aiuto! Problemi con dialer!
-
Iexplore.exe è il nome di Internet Explorer.....ce ne sono 2 ok, può essere che in quel momento avevi due finestre di IE aperte?
io mi concentrerei di più su rpwgyymj.exe che francamente come nome è un tantinello sospetto
-
Ciao, ciucciovolante, e benvenuto nel forum GT.
Quoto paolino, sia per l'eseguibile IEXPLORE.EXE, sia per il processo sospetto.
Effettua una scansione con Hijackthis e postaci il log.
Verifica, come chiesto da paolino, se ti risultano presenti 2 processi IEXPLORE.EXE anche avendo in esecuzione una sola istanza di IE.
In questo caso, fai una ricerca per verificare in quali cartelle sono presenti i 2 processi IEXPLORE.EXE. Usa la funzione di ricerca di windows, attivando da "avanzate", la voce "ricerca cartelle e files nascosti".
-
@kru said:
Effettua una scansione con Hijackthis e postaci il log.
Scarica Hijackthis e posizionalo in una cartella dentro C:\
Avvialo dalla voce: Do a system scan and save a logfile; verra' generato un file .txt, postalo qui nel forum!!
Riguardo i dialer, installa Digisoft Antidialer!
-
Ecco il lo di HijackThis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.49.47, on 27/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Io\IMPOST~1\Temp\Rar$EX00.984\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM..\Run: [symantec netdriver monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM..\Run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
O4 - HKLM..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU..\Run: [Norton SystemWorks] C:\Programmi\Norton SystemWorks\CfgWiz.exe /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip..{E0C64D96-D1AA-4AFF-9BAE-E2A5DE34CEA9}: NameServer = 62.211.69.150 212.48.4.15
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exeEnd of file - 6184 bytes
rispondo alle vostre domande:
IL file incriminato iexplore.exe (minuscolo) è in esecuzione anche se non ho alcuna finestra del browser aperta. Evidentemente quando ho una finastra aperta saranno in esecuzione 2 iexplore.exe (uno minuscolo e uno maiuscolo), come proprio ora per esempio, che sto scrivendo sul vosto magnifico forum, ed ho esclusivamente una finestra di internet explorer aperta. Se vi può aiutare vi allego anche un file immagine.
E' uno screen shot che ho fatto grazie al programma Code Stuff Starter. Grazie allo stesso si evince ciò che vi stavo descrivendo prima:
iexplore.exe
IEXPLORE.EXEentrambi caricati dalla medesima cartella di windows. Se chiudo la finestra che sto usando per scivere sul forum ,rimarrà in esecuzione il file iexplore.exe, anche se non sto navigando in internet.
Spero di essermi spiegato più o meno bene, intato colgo l'occasione per rigraziarvi!!
-
Il log di hijack è pulito!
In un precedente post:http://www.giorgiotave.it/forum/sicurezza-informatica/36237-processo-iexplore-exe-aiutooooooo.html il problema è stato risolto usando A-squared e SuperAntispyware!
Purtroppo a-squared pesa un po' troppo per il 56k :(!!!
-
quindi oltre a poter effettuare le scansioni con questi due programmi, non si può far nulla??
Cioè la differenza fra il processo ixeplore.exe scritto in minuscolo e IEXPLORE.EXE scritto in maiuscolo, qual è ??
Nella attesa di un vostro riscontro, ammazzo un pò il tempo...
...grazie e ciao!
-
@ciucciovolante said:
quindi oltre a poter effettuare le scansioni con questi due programmi, non si può far nulla??
Ripeto, in un precedente post, il problema è stato risolto usando A-squared!
@ciucciovolante said:
Cioè la differenza fra il processo ixeplore.exe scritto in minuscolo e IEXPLORE.EXE scritto in maiuscolo, qual è ??
iexplore.exe è Internet Explorer! **IEXPLORE.EXE **puo' essere anche un trojan, che usa il nome del browser di casa microsoft, proprio per passare inosservato!
Cmq, scarica ed effettua una scansione con Asquared!
-
iexplore.exe è Internet Explorer! IEXPLORE.EXE puo' essere anche un trojan, che usa il nome del browser di casa microsoft, proprio per passare inosservato!
A me, a dir la verità risulta il contrario, ovvero IEXPLORE.EXE è Internet Explorer, infatti ogni qual volta che apro una pagina web, va in esecuzione tale processo. Inoltre se controlli nella directory C:\Programmi\Internet Explorer, l'unico exe che trovi è IEXPLORE.EXE...la cosa che mi manda di più in bestia è che il processo iexplore.exe, viene caricato dalla stessa cartella, ma non è assolutamente presente lì, nemmeno come file nascosto.
Comunque grazie lo stesso, proverò con A-squared!
-
@ciucciovolante said:
A me, a dir la verità risulta il contrario, ovvero IEXPLORE.EXE è Internet Explorer, infatti ogni qual volta che apro una pagina web, va in esecuzione tale processo. Inoltre se controlli nella directory C:\Programmi\Internet Explorer, l'unico exe che trovi è IEXPLORE.EXE...la cosa che mi manda di più in bestia è che il processo iexplore.exe, viene caricato dalla stessa cartella, ma non è assolutamente presente lì, nemmeno come file nascosto.
Comunque grazie lo stesso, proverò con A-squared!
è nascosto in un alternate data stream di IEXPLORE.EXE
dobbiamo ringraziare zio Bill che voleva copiare il sistema di metadati del Mac e introdusse gli ADS....
ad oggi mi pare che nessun antivirus sia capace di identificare gli alternate data stream
a questo punto devi scaricare questo software http://www.sysinternals.com/Utilities/Streams.html
copia l'eseguibile streams.exe nella cartella di IE e poi da shell dai il comando
**
streams .*.*
**così facendo visualizzerai tutti gli ADS presenti in quella directory
ovviamente lo spyware potrebbe non essere stato installato come ADS di Internet Explorer, in quel caso bisogna scansionare l'intero hard disk
in questo caso usa http://www.bleepingcomputer.com/files/Merijn/adsspy.zip
-
Ciao paolino, grazie per il tuo intervento.
Ho scaricato e posizionato il file streams.exe nella cartella di IE, ma quando vado su esegui e scrivo il comando streams .*.* mi dice che è impossibile trovare il file steams.
Sto effettuando adesso la scansione per l'intero sistema con ADS Spy.
Cosa dovrei trovare per capire che si tratta di iexplore.exe.
Grazie ancora, ciao.
-
@ciucciovolante said:
Ciao paolino, grazie per il tuo intervento.
Ho scaricato e posizionato il file streams.exe nella cartella di IE, ma quando vado su esegui e scrivo il comando streams .*.* mi dice che è impossibile trovare il file steams.
Sto effettuando adesso la scansione per l'intero sistema con ADS Spy.
Cosa dovrei trovare per capire che si tratta di iexplore.exe.
Grazie ancora, ciao.
vuol dire che nella cartella di IE non ci sono ADS
ADS Spy invece visualizza glI ADS in questo modo
**
c:\blah blah\iexplore.exe: malware.exe (52000 bytes)
c:\blah blah\smss.exe: spyware.exe (34000 bytes)
etc...
**in sostanza visualizza il nome del file che contiene gli ADS e i nomi degli ADS contenuti e la loro dimensione
tra i nomi degli ADS dovrebbe esserci iexplore.exe
se non è negli ADS vuol dire che il malware in questione ha hookato l'API di Windows e quindi occulta la sua presenza in maniera efficace....per trovarlo devi avviare un antispyware o un antivirus da un CD, quindi senza avviare Windows
quel fantomatico iexplore.exe potrebbe essere Randex.AD ( http://www.auditmypc.com/process/iexplore.asp ) ma non è detto....purtroppo sono molti i malware che usano il nome iexplore.exe ed è difficile capire di chi si tratta
viste le capacità che il malware sta mostrando penserei a Zelatin o Gromozon o un altro spyware professionale
-
@paolino said:
quel fantomatico iexplore.exe potrebbe essere Randex.AD ( http://www.auditmypc.com/process/iexplore.asp ) ma non è detto....purtroppo sono molti i malware che usano il nome iexplore.exe ed è difficile capire di chi si tratta viste le capacità che il malware sta mostrando penserei a Zelatin o Gromozon o un altro spyware professionale
Quoto Paolino!
Purtroppo diversi malware usano il nome del browser di zio Bill!
Ciucciovolante hai provato con [A-squared](http://download5.emsisoft.com/a2FreeSetup.exe)?? ``` :?
