• R
    User Newbie

    [Risolto] Due processi iexplore.exe

    Ciao a tutti sono nuovo del forum vi ho trovati perkè ho cercato su google il problema che mi sono ritrovato sul pc che è proprio quello del titolo della discussione in questione cioè i file ieplore.exe io ne ho 2 e a tal proposito vi linko il mio log hijackthis:

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 15.32.21, on 29/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\Programmi\Ahead\InCD\InCD.exe
    C:\Programmi\Analog Devices\Core\smax4pnp.exe
    C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\MSN Messenger\MsnMsgr.Exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\WINDOWS\system32\3WA2wCi7.exe
    C:\WINDOWS\system32\3WA2wCi7.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\Programmi\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Utente\Desktop\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.ircfast.com/index.php?rvs=hompag
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\system32\x0Dk7vV5.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
    O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
    O4 - HKLM..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [Amok Eggs Four Web] C:\Documents and Settings\All Users\Dati applicazioni\part dead amok eggs\poke bat.exe
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU..\Run: [book flap] C:\DOCUME~1\Utente\DATIAP~1\32MANA~1\Time Exit.exe
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: afxhi.exe
    O4 - Startup: bkrvrvde.exe
    O4 - Startup: cms.exe
    O4 - Startup: dhjot.exe
    O4 - Startup: emepcbb.exe
    O4 - Startup: evgiv.exe
    O4 - Startup: fakckbd.exe
    O4 - Startup: fatyt.exe
    O4 - Startup: fpki.exe
    O4 - Startup: gahx.exe
    O4 - Startup: hqjdf.exe
    O4 - Startup: irdjj.exe
    O4 - Startup: lew.exe
    O4 - Startup: ljld.exe
    O4 - Startup: lljzbi.exe
    O4 - Startup: mdkjeta.exe
    O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programmi\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
    O4 - Startup: ninoukl.exe
    O4 - Startup: psk.exe
    O4 - Startup: rkvjtjk.exe
    O4 - Startup: stuqgq.exe
    O4 - Startup: vbyjiw.exe
    O4 - Startup: Warkeys Update.lnk = C:\Programmi\Warkeys\update\Warkeys Update.exe
    O4 - Startup: xkc.exe
    O4 - Startup: yniph.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programmi\Titan Poker\casino.exe
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

    --
    End of file - 7423 bytes

    in attesa di risposte vi porgo distinti saluti 🙂

    0
  • R
    User Newbie

    sono sempre io vi allego quest'altro log dove si vedono i due iexplore.exe insieme...praticamente il problema che ho è che mi si aprono continuamente pop up di iexplorer con pubblicità di vario tipo (la cosa buffa è che io nemmeno lo uso i explorer uso firefox da tempo ormai)

    0
  • R
    User Newbie

    Allora, vi informo che il processo in questione era causato molto probabilmente da un "programma" che risiedeva tranquillamente in Installazione Applicazioni, non ricordo affatto di averlo installato, ma forse è scappato fuori con qualche altro installer poco affidabile.... cmq sia: ho tolto di mezzo quel prog. che si chiamava se non ricordo male "CiD Help" (la cosa mi ha incuriosito, dal momento che osservando una delle tante finestre di IE che mi comparivano prima, tutto in alto a sinistra, dove compare l'indirizzo o il titolo della pagina web accanto alla scritta "internet Explorer", veniva scritto tipo "CiD:http://www...." ecc.), al momento della disinstallazione, -sorpresa!- MI CHIEDE UN CODICE DI VERIFICA! "per sapere che sei uano e non uno script, digita il codice riportato sotto:" io digito, mi chiede ancora una conferma, e poi..... puff, scompare iexplore.exe dal task manager, ed ora è ormai un dieci min. circa che ho FF aperto ed ancora di popup nemmeno l'ombra. L'unica cosa che non torna è come ci sia finito lì.... Ho avviato cmq una bella scansione con a-squared e superantispyware pro, voglio esser sicuro che fosse solo quello. Vi aggiorno.... :ciauz:
    DOPO aver letto questa risposta mi è sorto il dubbio perkè ho trovato una stana analogia con il mio problema e ho trovato anche io sto robo CiD installato ed era una roba di msnmessanger legato al plusLIVE! bah vi riposto il log ditemi voi come sto messo

    p.s. scusatemi sono un pò impaziente 😛

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Raka e benvenuto nel forum GT! 🙂

    Rimuovi questi voci con hijackthis:

         >  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKLM..\Run: [Amok Eggs Four Web] C:\Documents and Settings\All Users\Dati applicazioni\part dead amok eggs\poke bat.exe

    O4 - HKCU..\Run: [book flap] C:\DOCUME~1\Utente\DATIAP~1\32MANA~1\Time Exit.exe

    O4 - Startup: afxhi.exe

    O4 - Startup: bkrvrvde.exe

    O4 - Startup: cms.exe

    O4 - Startup: dhjot.exe

    O4 - Startup: emepcbb.exe

    O4 - Startup: evgiv.exe

    O4 - Startup: fakckbd.exe

    O4 - Startup: fatyt.exe

    O4 - Startup: fpki.exe

    O4 - Startup: gahx.exe

    O4 - Startup: hqjdf.exe

    O4 - Startup: irdjj.exe

    O4 - Startup: lew.exe

    O4 - Startup: ljld.exe

    O4 - Startup: lljzbi.exe

    O4 - Startup: mdkjeta.exe

    O4 - Startup: ninoukl.exe

    O4 - Startup: psk.exe

    O4 - Startup: rkvjtjk.exe

    O4 - Startup: stuqgq.exe

    O4 - Startup: vbyjiw.exe

    O4 - Startup: xkc.exe

    O4 - Startup: yniph.exe
    Fixate **tutte **queste voci, effettua una scansione con A-Squared e SuperAntiSpyware "aggiornati"!

    Fatto questo, posta un nuovo log con hijackthis! 🙂

    :ciauz:

    0
  • R
    User Newbie

    Ho fatto tutte le operazioni in questione e il problema pare risolto ho tolto un bel pò di cacca dal mio pc...ecco il nuovo log:

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Raka,

    il log è pulito! 🙂

    0
Effettua l'accesso per rispondere