PDA

Visualizza versione completa : virus ixeplore.exe aiuto come eliminarlo


turchettino
24-10-2008, 20.14.39
Salve ragazzi.
Mi sono appena iscritto a questo forum e colgo l'occasione per salutarvi.
Ho windows xp mediacenter 2002 con service pack 2, ho come antivirus Eset nod32, uso ccleaner, e unible registry booster (con licenza regolarmente pagato), uso anche superantispyware, e anche a-squere free.
Ma veniamo al dunque due giorni fa mi sono accorto che nel taskmanager ci sono delle voci che ciucciano molta memoria ram e molta cpu arrivano a punte di 150,00kb queste voci sono: IEXPLORE.EXE (ce ne sono due), SVCHOST.EXE (ne sono piu di due).
Ho provato a fare una scansione con ccleaner e tutti i programmi che ho ma niente ci sono sempre vi posto anche il log di hijackthis.
Ora le mie domande sono due come risolvere e quali sono i danni che puo apportare al sistema?

Ecco il log fatto in modalita provvisoria e dopo aver tolto il ripristino :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.02.39, on 24/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\WinRAR\WinRAR.exe
D:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.078\Hijac kThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "D:\DOCUME~1\Marco\IMPOST~1\Temp\MsgPlusUninstall.e xe" /Cleanup
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programmi\Uniblue\RegistryBooster\RegistryBoost er.exe /S
O4 - HKCU\..\Run: [Type Deaf] D:\DOCUME~1\Marco\DATIAP~1\CHINEX~1\Bias frag.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programmi\a-squared Free\a2service.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 1590 bytes


Questa è anche la scansione di hijack in modalita normale

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.04.09, on 24/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\a-squared Free\a2service.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programmi\Uniblue\RegistryBooster\RegistryBoost er.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\WINDOWS\eHome\ehRecvr.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Marco\Desktop\Pulizia\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programmi\Uniblue\RegistryBooster\RegistryBoost er.exe /S
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programmi\a-squared Free\a2service.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 2111 bytes
:wall: :wall: :wall:

xilo76
24-10-2008, 20.20.12
semplicemente per chiudere iexplore.exe ti basta chiudere qualsiasi pagina web ... in pratica è internet explorer.
il secondo invece è un programma che rimane acceso se hai acceso il pc.
quindi ti stai preoccupando per nulla!
ciao :)

turchettino
24-10-2008, 20.23.30
è un virus e è processo che si camussa da explorer per passare il firewall.

xilo76
24-10-2008, 20.28.00
ok mi fido :D

cascavel
24-10-2008, 20.39.12
è un virus e è processo che si camussa da explorer per passare il firewall.
il log non presenta infezioni visibili....

turchettino
24-10-2008, 20.44.34
e perche la cpu è occupata da due due fail quando explorer non è in esecuzione anche quando nn sono connesso a internet?

cascavel
24-10-2008, 20.58.06
e perche la cpu è occupata da due due fail quando explorer non è in esecuzione anche quando nn sono connesso a internet?
facciamo un controllo di questo tipo, scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop.
prima di fare questa operazione esci dalla rete e spegni il tuo antivirus e sistemi di sicurezza vari
doppio click sull'icona di combofix presente sul desktop, accetta il disclaimer che ti avvisa dell'utilizzo e lascia compiere la scansione senza fare nulla con il pc
al termine il pc dovrebbe riavvarsi, verrà creato un file log chiamato C:\ComboFix.txt.
allega il log creato al prossimo post in formato .TXT altrimenti occupiamo 2 pagine del forum

turchettino
24-10-2008, 21.10.48
ecco il lig del programma ke mi hai dato

cascavel
24-10-2008, 21.18.22
e' tutto in ordine non preoccuparti, elimina combofix(tasto destro sull'icona desktop, elimina) e la sua cartella backup C:\qoobox

turchettino
24-10-2008, 21.22.28
infatti dopo la scansione con combo fix è scomparso il processo IEXPLORE.EXE ma rimane sepre svchost.exe che anche lui occupa molta memoria

cascavel
24-10-2008, 21.26.34
infatti dopo la scansione con combo fix è scomparso il processo IEXPLORE.EXE ma rimane sepre svchost.exe che anche lui occupa molta memoria
in questo momento da task manager io ho 5 svchost, uno dei quali sta sui 30 mega, e stai pur certo che il mio pc e' pulitissimo...

turchettino
24-10-2008, 21.27.50
oook ma cosa sarebbe questo svchost? che antivirus e che programmi e che firewall mi consigli per mantere apposta il mio pc

cascavel
24-10-2008, 21.36.41
qui ti viene spiegato svchost http://support.microsoft.com/kb/314056/it hai gia nod32 e va benissimo, personalmente preferisco questo http://www.avira.com/it/products/avira_antivir_premium.html e ne ho provati tanti... qui https://license.avira.com/en/promotion-6dl7vtc3unbw2mzefr1b se vuoi puoi provare AVIRA premium per tre mesi nella versione completa. ti consiglio questo stand alone per i tuoi dubbi http://www.runscanner.net/ e' in inglese ma molto semplice ed intuitivo, ti consiglio di usarlo nella modalita' expert mode(nulla di difficile)