PDA

Visualizza versione completa : virus ixeplore.exe aiuto come eliminarlo


turchettino
24-10-2008, 19.14.39
Salve ragazzi.
Mi sono appena iscritto a questo forum e colgo l'occasione per salutarvi.
Ho windows xp mediacenter 2002 con service pack 2, ho come antivirus Eset nod32, uso ccleaner, e unible registry booster (con licenza regolarmente pagato), uso anche superantispyware, e anche a-squere free.
Ma veniamo al dunque due giorni fa mi sono accorto che nel taskmanager ci sono delle voci che ciucciano molta memoria ram e molta cpu arrivano a punte di 150,00kb queste voci sono: IEXPLORE.EXE (ce ne sono due), SVCHOST.EXE (ne sono piu di due).
Ho provato a fare una scansione con ccleaner e tutti i programmi che ho ma niente ci sono sempre vi posto anche il log di hijackthis.
Ora le mie domande sono due come risolvere e quali sono i danni che puo apportare al sistema?

Ecco il log fatto in modalita provvisoria e dopo aver tolto il ripristino :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.02.39, on 24/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\WinRAR\WinRAR.exe
D:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.078\Hijac kThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "D:\DOCUME~1\Marco\IMPOST~1\Temp\MsgPlusUninstall.e xe" /Cleanup
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programmi\Uniblue\RegistryBooster\RegistryBoost er.exe /S
O4 - HKCU\..\Run: [Type Deaf] D:\DOCUME~1\Marco\DATIAP~1\CHINEX~1\Bias frag.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programmi\a-squared Free\a2service.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 1590 bytes


Questa anche la scansione di hijack in modalita normale

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.04.09, on 24/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\a-squared Free\a2service.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programmi\Uniblue\RegistryBooster\RegistryBoost er.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\WINDOWS\eHome\ehRecvr.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Marco\Desktop\Pulizia\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programmi\Uniblue\RegistryBooster\RegistryBoost er.exe /S
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programmi\a-squared Free\a2service.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 2111 bytes
:wall: :wall: :wall:

xilo76
24-10-2008, 19.20.12
semplicemente per chiudere iexplore.exe ti basta chiudere qualsiasi pagina web ... in pratica internet explorer.
il secondo invece un programma che rimane acceso se hai acceso il pc.
quindi ti stai preoccupando per nulla!
ciao :)

turchettino
24-10-2008, 19.23.30
un virus e processo che si camussa da explorer per passare il firewall.

xilo76
24-10-2008, 19.28.00
ok mi fido :D

cascavel
24-10-2008, 19.39.12
un virus e processo che si camussa da explorer per passare il firewall.
il log non presenta infezioni visibili....

turchettino
24-10-2008, 19.44.34
e perche la cpu occupata da due due fail quando explorer non in esecuzione anche quando nn sono connesso a internet?

cascavel
24-10-2008, 19.58.06
e perche la cpu occupata da due due fail quando explorer non in esecuzione anche quando nn sono connesso a internet?
facciamo un controllo di questo tipo, scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop.
prima di fare questa operazione esci dalla rete e spegni il tuo antivirus e sistemi di sicurezza vari
doppio click sull'icona di combofix presente sul desktop, accetta il disclaimer che ti avvisa dell'utilizzo e lascia compiere la scansione senza fare nulla con il pc
al termine il pc dovrebbe riavvarsi, verr creato un file log chiamato C:\ComboFix.txt.
allega il log creato al prossimo post in formato .TXT altrimenti occupiamo 2 pagine del forum

turchettino
24-10-2008, 20.10.48
ecco il lig del programma ke mi hai dato

cascavel
24-10-2008, 20.18.22
e' tutto in ordine non preoccuparti, elimina combofix(tasto destro sull'icona desktop, elimina) e la sua cartella backup C:\qoobox

turchettino
24-10-2008, 20.22.28
infatti dopo la scansione con combo fix scomparso il processo IEXPLORE.EXE ma rimane sepre svchost.exe che anche lui occupa molta memoria

cascavel
24-10-2008, 20.26.34
infatti dopo la scansione con combo fix scomparso il processo IEXPLORE.EXE ma rimane sepre svchost.exe che anche lui occupa molta memoria
in questo momento da task manager io ho 5 svchost, uno dei quali sta sui 30 mega, e stai pur certo che il mio pc e' pulitissimo...

turchettino
24-10-2008, 20.27.50
oook ma cosa sarebbe questo svchost? che antivirus e che programmi e che firewall mi consigli per mantere apposta il mio pc

cascavel
24-10-2008, 20.36.41
qui ti viene spiegato svchost http://support.microsoft.com/kb/314056/it hai gia nod32 e va benissimo, personalmente preferisco questo http://www.avira.com/it/products/avira_antivir_premium.html e ne ho provati tanti... qui https://license.avira.com/en/promotion-6dl7vtc3unbw2mzefr1b se vuoi puoi provare AVIRA premium per tre mesi nella versione completa. ti consiglio questo stand alone per i tuoi dubbi http://www.runscanner.net/ e' in inglese ma molto semplice ed intuitivo, ti consiglio di usarlo nella modalita' expert mode(nulla di difficile)