Jump to content

Moνιμα στο TaskManager εμφανίζεται 2 φορές το IEXPLORE - Τrojan? Not Solved


Recommended Posts

Γειά σας,

Στο task manager που λέται, εμφανίζονται δύο IEXPLORE.exe ο ένας με 6,1ΜΒ και ο άλλος με 18ΜΒ. Τα διαγράφω, ΤΙΠΟΤΑ ! Αυτό συμβαίνει πάνω από μήνα, και Ανησυχώ !

Έχω τρέξει AdAware, Spybot, Comodo AntiVirus, Ccleaner και τίποτα !

Ρε μήπως προσπαθεί να επικοινωνήσει με τους "Έξω" ???

Μήπως λέω ...

YΓ ΠΟΤΕ δεν χρησιμοποιώ explorer και το Comodo το έχει blockάρει

Edit: Για το πρόγραμμα IE Explorer εννοώ σόρυ για το μπέρδεμα

Tελικά πήγα C:\Program Files\Internet Explorer και μετονόμασα τον IEXPLΟRE.exe σε IEXPLORE2.exe δημιουργήθηκε εκ νέου ένα iexplore.exe (μικρά όχι κεφαλαία) και τώρα μου βγάζει πάλι το iexplore.exe στο task manager ότι κι αν κάνω !!!

Link to comment
Share on other sites

Σου φαίνεται το iexplore.exe ?

Είναι spyware και είναι ιδιαίτερα δύσκολο στη αφαίρεση του :/

Δοκίμασε να κάνεις ένα rename το C:\Program Files\Internet Explorer\iexplore.exe σε iexplore2.exe και κάνε reboot να δεις αν τρέχει πάλι.

Link to comment
Share on other sites

οχι αλλά το comodo μου λέει Ακριβώς τι μπαίνει κ τι βγαίνει : Application, protocol, source(ip port), destination (ip port), bytes in-bytes out

Link to comment
Share on other sites

Είδα αυτό και μπερδεύτηκα :o

Αρχική απάντηση από kreach

YΓ ΠΟΤΕ δεν χρησιμοποιώ explorer και το Comodo το έχει blockάρει

Link to comment
Share on other sites

Αρχική απάντηση από jpavly

Σου φαίνεται το iexplore.exe ?

Είναι spyware και είναι ιδιαίτερα δύσκολο στη αφαίρεση του :/

Δοκίμασε να κάνεις ένα rename το C:\Program Files\Internet Explorer\iexplore.exe σε iexplore2.exe και κάνε reboot να δεις αν τρέχει πάλι.

Ναι ΙΕΧPLORE

sorry snips

Edit: jpavli έκανα το rename +reboot και μου ξαναέβγαλε εναν iexplore.exe αλλά με "μικρούς" χαρακτήρες, όχι κεφαλαία όπως πριν, τα έκανα End Task και τέλος. Αλλά κάθε φορά που κάνω reboot εμφανίζονται κ πρέπει κάθε φορά να τα διαγράφω !

Τώρα ΠΑΛΙ Δεν διαγράφεται !!! Αν είναι δυνατόν !

Link to comment
Share on other sites

Απο Msconfig κοιταξες να δεις μηπως φορτωνει τιποτα ; Για βγαλτα ολα μια και checkare να δεις αν στο κανει παλι

Link to comment
Share on other sites

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 11:57:45 μμ, on 4/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Comodo\Firewall\CPF.exe

C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe

C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe

C:\Program Files\Comodo\LaunchPad\CLPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDMedia.exe

C:\Program Files\PeerGuardian2\pg2.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Comodo\Firewall\cmdagent.exe

C:\Program Files\Comodo\common\CAVASpy\cavasm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Comodo\Comodo AntiVirus\Cavaud.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\FREEDO~1\fdm.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

C:\Downloads\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [Comodo Firewall] "C:\Program Files\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe"

O4 - HKLM\..\Run: [cnfgCav] "C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" " /login"

O4 - HKLM\..\Run: [Comodo Launch Pad Tray] "C:\Program Files\Comodo\LaunchPad\CLPTray.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EACH LOUD] C:\DOCUME~1\john\APPLIC~1\LOADLO~1\bibacejump.exe

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F984B8C-9847-4D26-8D76-9CAE68E40445}: NameServer = 192.168.1.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{4F984B8C-9847-4D26-8D76-9CAE68E40445}: NameServer = 192.168.1.4

O17 - HKLM\System\CS2\Services\Tcpip\..\{4F984B8C-9847-4D26-8D76-9CAE68E40445}: NameServer = 192.168.1.4

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe

O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Program Files\Comodo\common\CAVASpy\cavasm.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 6786 bytes

Όσον αφορά το ΜSConfig πέρα από τα Μ$ Services υπάρχουν τα Αres Chatroom, Comodo λαλακίες, Nvidia Display, Messenger Sharing Folders USN Journal Reader Service

Link to comment
Share on other sites

Στο Misc Tools του HijackThis , το Process Manager μου έβγαζε ένα c:/progra~1/intern~1/iexplore.exe το κάνω kill , πατώ μετά refresh και μου το ξαναβγάζει !!!

Link to comment
Share on other sites

Πάρε αυτά τα 3 και πέτα στα στο κάδο, μη τα σβήσεις. Από safe mode αυτά.

O4 - HKCU\..\Run: [EACH LOUD] C:\DOCUME~1\john\APPLIC~1\LOADLO~1\bibacejump.exe

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

Link to comment
Share on other sites

iexplore.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

Determining whether iexplore.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from.

http://www.liutilities.com/products/wintaskspro/processlibrary/iexplore/

Link to comment
Share on other sites

Αρχική απάντηση από kreach

κανείς άλλος καμιά ιδέα?

Ευχαριστώ πάντως τους προλαλήσαντες!

Πριν αρχισεις να σκαναρεις, καλο ειναι να κανεις πρωτα τα update των windows και να απενεργοποιησεις το system restore. Μετα στο spybot>tools (advanced mode) εχει μια καρτελα winshock lsp. Ριξε μια ματια αν υπαρχει κατι περιεργο εκει...

Αφου τελιωσεις με το spybot, αν υπαρχει διαθεσιμο βαλε το nod32 και ψαξε και για ιους.

Κανει μπαμ οτι ειναι ιος αλλα πουντος...

Link to comment
Share on other sites

Αν θες τη συμβουλή μου πάντως, τράβα ένα back-up και κάνε format, πιο λίγο θα σου πάρει από το να καθαρίσεις αυτό το χάλι και πιο σίγουρος θα είσαι...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.