Moνιμα στο TaskManager εμφανίζεται 2 φορές το IEXPLORE - Τrojan? Not Solved

[kreach]

Γειά σας,

Στο task manager που λέται, εμφανίζονται δύο IEXPLORE.exe ο ένας με 6,1ΜΒ και ο άλλος με 18ΜΒ. Τα διαγράφω, ΤΙΠΟΤΑ ! Αυτό συμβαίνει πάνω από μήνα, και Ανησυχώ !

Έχω τρέξει AdAware, Spybot, Comodo AntiVirus, Ccleaner και τίποτα !

Ρε μήπως προσπαθεί να επικοινωνήσει με τους "Έξω" ???

Μήπως λέω ...

YΓ ΠΟΤΕ δεν χρησιμοποιώ explorer και το Comodo το έχει blockάρει

Edit: Για το πρόγραμμα IE Explorer εννοώ σόρυ για το μπέρδεμα

Tελικά πήγα C:\Program Files\Internet Explorer και μετονόμασα τον IEXPLΟRE.exe σε IEXPLORE2.exe δημιουργήθηκε εκ νέου ένα iexplore.exe (μικρά όχι κεφαλαία) και τώρα μου βγάζει πάλι το iexplore.exe στο task manager ότι κι αν κάνω !!!

[Snips]

Νetlimiter η κάτι ανάλογο σου δείχνει ροή προς/από internet?

[jpavly]

Σου φαίνεται το iexplore.exe ?

Είναι spyware και είναι ιδιαίτερα δύσκολο στη αφαίρεση του :/

Δοκίμασε να κάνεις ένα rename το C:\Program Files\Internet Explorer\iexplore.exe σε iexplore2.exe και κάνε reboot να δεις αν τρέχει πάλι.

[Snips]

explorer(.exe) είπε ό άνθρωπος. Όχι iexplore...

[kreach]

οχι αλλά το comodo μου λέει Ακριβώς τι μπαίνει κ τι βγαίνει : Application, protocol, source(ip port), destination (ip port), bytes in-bytes out

[jpavly]

Είδα αυτό και μπερδεύτηκα

Αρχική απάντηση από kreach

YΓ ΠΟΤΕ δεν χρησιμοποιώ explorer και το Comodo το έχει blockάρει

[Snips]

Κάτσε τώρα γιατί μπερδεύτηκα και γω. Τι εννοείς δεν χρησιμοποιείς ποτέ "explorer"???

[kreach]

Αρχική απάντηση από jpavly

Σου φαίνεται το iexplore.exe ?

Είναι spyware και είναι ιδιαίτερα δύσκολο στη αφαίρεση του :/

Δοκίμασε να κάνεις ένα rename το C:\Program Files\Internet Explorer\iexplore.exe σε iexplore2.exe και κάνε reboot να δεις αν τρέχει πάλι.

Ναι ΙΕΧPLORE

sorry snips

Edit: jpavli έκανα το rename +reboot και μου ξαναέβγαλε εναν iexplore.exe αλλά με "μικρούς" χαρακτήρες, όχι κεφαλαία όπως πριν, τα έκανα End Task και τέλος. Αλλά κάθε φορά που κάνω reboot εμφανίζονται κ πρέπει κάθε φορά να τα διαγράφω !

Τώρα ΠΑΛΙ Δεν διαγράφεται !!! Αν είναι δυνατόν !

[kreach]

Task Manager

[jpavly]

Τρέξε μία όπως είσαι αυτό http://www.majorgeeks.com/download5554.html και πάτα "Do a system scan and save logfile" και πόσταρε μετά το .log που θα σου βγάλει να δούμε τι γίνεται.

[GoMaR]

Απο Msconfig κοιταξες να δεις μηπως φορτωνει τιποτα ; Για βγαλτα ολα μια και checkare να δεις αν στο κανει παλι

[kreach]

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 11:57:45 μμ, on 4/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Comodo\Firewall\CPF.exe

C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe

C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe

C:\Program Files\Comodo\LaunchPad\CLPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe

C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDMedia.exe

C:\Program Files\PeerGuardian2\pg2.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Comodo\Firewall\cmdagent.exe

C:\Program Files\Comodo\common\CAVASpy\cavasm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Comodo\Comodo AntiVirus\Cavaud.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\FREEDO~1\fdm.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

C:\Downloads\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [Comodo Firewall] "C:\Program Files\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe"

O4 - HKLM\..\Run: [cnfgCav] "C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" " /login"

O4 - HKLM\..\Run: [Comodo Launch Pad Tray] "C:\Program Files\Comodo\LaunchPad\CLPTray.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EACH LOUD] C:\DOCUME~1\john\APPLIC~1\LOADLO~1\bibacejump.exe

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F984B8C-9847-4D26-8D76-9CAE68E40445}: NameServer = 192.168.1.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{4F984B8C-9847-4D26-8D76-9CAE68E40445}: NameServer = 192.168.1.4

O17 - HKLM\System\CS2\Services\Tcpip\..\{4F984B8C-9847-4D26-8D76-9CAE68E40445}: NameServer = 192.168.1.4

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe

O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Program Files\Comodo\common\CAVASpy\cavasm.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 6786 bytes

Όσον αφορά το ΜSConfig πέρα από τα Μ$ Services υπάρχουν τα Αres Chatroom, Comodo λαλακίες, Nvidia Display, Messenger Sharing Folders USN Journal Reader Service

[kreach]

Στο Misc Tools του HijackThis , το Process Manager μου έβγαζε ένα c:/progra~1/intern~1/iexplore.exe το κάνω kill , πατώ μετά refresh και μου το ξαναβγάζει !!!

[dubber]

Δοκίμασε να το κάνεις από safe

[jpavly]

Πάρε αυτά τα 3 και πέτα στα στο κάδο, μη τα σβήσεις. Από safe mode αυτά.

O4 - HKCU\..\Run: [EACH LOUD] C:\DOCUME~1\john\APPLIC~1\LOADLO~1\bibacejump.exe

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

[kreach]

Task manager αφού τα διαγράψω από safe mode.......

[kreach]

κανείς άλλος καμιά ιδέα?

Ευχαριστώ πάντως τους προλαλήσαντες!

[jogi]

iexplore.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

Determining whether iexplore.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from.

http://www.liutilities.com/products/wintaskspro/processlibrary/iexplore/

[Astacus]

Αρχική απάντηση από kreach

κανείς άλλος καμιά ιδέα?

Ευχαριστώ πάντως τους προλαλήσαντες!

Πριν αρχισεις να σκαναρεις, καλο ειναι να κανεις πρωτα τα update των windows και να απενεργοποιησεις το system restore. Μετα στο spybot>tools (advanced mode) εχει μια καρτελα winshock lsp. Ριξε μια ματια αν υπαρχει κατι περιεργο εκει...

Αφου τελιωσεις με το spybot, αν υπαρχει διαθεσιμο βαλε το nod32 και ψαξε και για ιους.

Κανει μπαμ οτι ειναι ιος αλλα πουντος...

[dubber]

Αν θες τη συμβουλή μου πάντως, τράβα ένα back-up και κάνε format, πιο λίγο θα σου πάρει από το να καθαρίσεις αυτό το χάλι και πιο σίγουρος θα είσαι...