iexplore.exe in Task Manager, Internet Explorer

adi53

23rd October 2009, 14:13

Am Windows XP cu updaturile la zi (inclusiv IE 8 si Service Pack 3) . De catva timp am observat in Task Manager ca exista cam 5-6-7 instante ale "iexplore.exe" (unele au 14 Mb altele au 37Mb) care nu se inchid nici dupa ce inchid Internet Explorer ul ; raman active in memorie (la fel sunt si cand intru pe Internet). Am urmarit si pe alte forumuri si parerile sunt foarte impartite (adica multe) ; Am Norton Internet Securities 2006 cu updaturile la zi ; singura anomalie care am observat-o a fost aparitia mesajului de recuperare a sesiunii IE precedente (salt la pagina de pornire sau recuperarea ultimei sesiuni) cu toate ca sesiunile s-au terminat normal .

eiffel

23rd October 2009, 14:25

In mod normal apar doua procese iexplore.exe la deschiderea unei sesiuni a IE 8. Dar dispar toate la inchiderea completa a IE.

macleod

23rd October 2009, 14:29

Mie-mi suna a virus

Vezi un pic in registrii la HKCU/SOFTWARE/MICROSoft/windows/current version/run daca ai o valoare care are in cale iexplore.exe, sterge-o
la fel in HKLM/.... la fel
pe urma reinstaleaza iexplorer
si incerca o scanare completa cu antivirusul, eventual o scanare online gratuita la un provider de antivirus.

Header

23rd October 2009, 14:40

Multiple iexplore.exe

De obicei un nenorocit de troian localizat in folderul Prefetch,in folderul temporar ori in Windows dar si alte locuri.

Descarca si instaleaza a-squared Free din semnatura mea,dupa ce s-a descarcat,faci update la el,dai restart,apoi pornesti sistemul safe mod,( doar asa am vazut ca da rezultate in acest caz).
alegi Deep scan si Scan.

Dupa oprirea acestuia bifezi toate elementele gasite si apoi Remove.
Salveaza logul acestuia apoi il postezi aici.

emillian

23rd October 2009, 15:10

Daca nu reusesti asa poti afla mai multe informatii despre ce ruleaza pe sistemul tau folosind un tool-ul "procexp.exe" de la sysinternals.

Il poti downloada de aici!!! am scos multi troieni in felul acesta manual (pe care antivirusul pe care-l foloseam nu-i detecta la timp sau nu le putea face nimic), chiar si fiind conectat remote.

Bafta.

adi53

23rd October 2009, 15:44

CITAT (macleod @ 23rd October 2009, 15:29)

Mie-mi suna a virus

Vezi un pic in registrii la HKCU/SOFTWARE/MICROSoft/windows/current version/run daca ai o valoare care are in cale iexplore.exe, sterge-o
la fel in HKLM/.... la fel
pe urma reinstaleaza iexplorer
si incerca o scanare completa cu antivirusul, eventual o scanare online gratuita la un provider de antivirus.

Am cautat in registry dar nu am gasit nimic ; Am schimbat denumirea iexplore.exe - din "C\ProgramFiles\Internet Explorer"- in iexplorer.exe si ce s-antamplat? Cand navighez pe internet tot imi apar 7-8 sesiuni iexplore.exe , dar dupa ce il inchid imi raman active doar doua, fata de situatia initiala cand imi ramaneau active toate cele 7-8 sesiuni iexplore.exe ; cam ciudat . Am uitat sa specific ca am micsorat mai demult memoria cache a IE8 de la 1-2 Gb la 300 Mb (cat spune Microsoft ca e recomandabil) ; daca apar noutati , revin .

adi53

23rd October 2009, 16:32

Cred ca nu a fost nici un malware ; am dezinstalat Internet Explorer 8.0 si a ramas Internet Explorer 6.0 ; Totul a revenit la normal ; o sa instalez IE 7 si IE8 din nou sa vad da ca mai apare problema .

adi53

23rd October 2009, 17:18

Am instalat si IE 7 si n-a mai aparut problema . Mi-e frica sa mai pun IE 8 ; probabil ca are probleme de incompatibilitate cu Windows XP (cu toate updeteurile la zi) . Multumesc pentru raspunsuri .

crysty2k5

23rd October 2009, 19:16

Descarca Malwarebytes Anti-Malware si salveaza-l pe Desktop.
Instaleaza-l si la sfarsit asigura-te ca ai bifat urmatoarele: Update Malwarebytes' Anti-Malware si Launch Malwarebytes' Anti-Malware. Apoi apasa Finish.
Dupa lansarea programului, selecteaza Perform full scan si apoi apasa pe Scan.
La terminarea scanarii apasa OK si apoi Show Results. Asigura-te ca e totul bifat si apoi apasa Remove Selected.
La final se va deschide un fisier in Notepad cu rezultatele scanarii. Posteaza continutul lui aici.

adi53

24th October 2009, 02:10

CITAT (crysty2k5 @ 23rd October 2009, 20:16)

Descarca Malwarebytes Anti-Malware si salveaza-l pe Desktop.
Instaleaza-l si la sfarsit asigura-te ca ai bifat urmatoarele: Update Malwarebytes' Anti-Malware si Launch Malwarebytes' Anti-Malware. Apoi apasa Finish.
Dupa lansarea programului, selecteaza Perform full scan si apoi apasa pe Scan.
La terminarea scanarii apasa OK si apoi Show Results. Asigura-te ca e totul bifat si apoi apasa Remove Selected.
La final se va deschide un fisier in Notepad cu rezultatele scanarii. Posteaza continutul lui aici.

Rezultatul scanarii cu Malwarebytes`Anti-Malware :

Malwarebytes' Anti-Malware 1.41
Versiunea bazei de date: 3021
Windows 5.1.2600 Service Pack 3

24.10.2009 02:55:40
mbam-log-2009-10-24 (02-55-40).txt

Tipul scanarii: Scanare totala (C:\|D:\|)
Obiecte scanate: 155156
Timp trecut: 18 minute(s), 59 second(s)

Procese din memorie afectate: 0
Module de memorie afectate: 0
Chei de registri infectate: 0
Valori din registri afectate: 0
Elemente din registri infectate: 2
Foldere infectate: 0
Fisiere infectate: 0

Procese din memorie afectate:
(Nici un element periculos nu a fost detectat)

Module de memorie afectate:
(Nici un element periculos nu a fost detectat)

Chei de registri infectate:
(Nici un element periculos nu a fost detectat)

Valori din registri afectate:
(Nici un element periculos nu a fost detectat)

Elemente din registri infectate:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Foldere infectate:
(Nici un element periculos nu a fost detectat)

Fisiere infectate:
(Nici un element periculos nu a fost detectat)

crysty2k5

24th October 2009, 08:56

Incearca sa reinstalezi IE si fa-i toate update-urile

adi53

24th October 2009, 16:10

CITAT (crysty2k5 @ 24th October 2009, 09:56)

Incearca sa reinstalezi IE si fa-i toate update-urile

Am instalat din nou IE 8 si am aceesai problema cu sesiunile iexplore.exe care nu se inchid .(Updaturile sunt la zi) .

adi53

24th October 2009, 16:59

Am dezinstalat Norton Internet Securities 2006 si totul merge perfect acum (cu IE 8 ) . Am instalat AVG 9.0 Free .Sunt cam aiuriti astia de la Symantec .

crysty2k5

24th October 2009, 19:45

Cred si eu...cand a aparut NIS 2006 nu exista IE 8

Mai sunt probleme ?

adi53

24th October 2009, 23:30

CITAT (crysty2k5 @ 24th October 2009, 20:45)

Cred si eu...cand a aparut NIS 2006 nu exista IE 8

Mai sunt probleme ?

IE 8 functioneaza perfect ; nu mai am nici o problema, dar Symantec ul cred ca putea sa faca un update , macar sa nu strice chiar asa navigarea pe Internet , mai ales ca in Romania nu prea gasesti produse Symantec .

JulotM

24th October 2009, 23:35

Vezi ca e NIS 2010.

Daca mai ai probleme revino.

adi53

14th November 2009, 16:55

CITAT (JulotM @ 25th October 2009, 00:35)

Vezi ca e NIS 2010.

Daca mai ai probleme revino.

Am instalat si Norton Internet Securities 2010 si au aparut din nou problemele ; aproape sigur virusul provine din unul din cele doua sau trei programe Anti-spam ( care nici nu prea functioneaza ) pe care le-am incercat; am un HDD Seagate de 80 GB mai vechi, care l-am pus si are instalat si NIS 2006 si IE 7.0 si nu are nici o problema ( pe Seagate nu am incercat programele Antispam) . Ciudat este si faptul ca Bitdefender ul de la Softwin stie de virusul asta (explica si cum functioneaza si de unde provine si il si dezinfecteaza) dar cand am scanat cu el nu a gasit nimic (varianta free Bittdefender) .

crysty2k5

14th November 2009, 18:47

Lasa aici un link sa vedem ce virus zici ca vede BitDefender.

Si spune ce programe antispam ai incercat(desi NIS are deja filtru antispam).

adi53

14th November 2009, 22:57

CITAT (crysty2k5 @ 14th November 2009, 19:47)

Lasa aici un link sa vedem ce virus zici ca vede BitDefender.

Si spune ce programe antispam ai incercat(desi NIS are deja filtru antispam).

Am incercat programele antispam inainte sa pun NIS 2010 . La Bitdefender am gasit :

Trojan.Lopad.K
( Swizzor )
Raspandire : mare
Dauna : mare
Size: 18944
Descoperit : 2006 Apr 05

SYMPTOMS:

Se observa multiple instante ale procesului ?Internet Explorer? in memorie.
Numeroase directoare, avand denumiri ciudate, situate in %appdata% ce contin diversi virusi, spyware, adware sub forma executabila(extensia exe).
TECHNICAL DESCRIPTION:

Calea exacta pentru "Internet Explorer" este extrasa din registrii.

Se verifica daca codul virusului se executa din spatiul de adrese a iexplorer. Daca nu se intampla acest lucru, este infectata o alta copie a iexplore.exe cu codul viral si apoi e lansata in executie.

Infectia se realizeaza astfel:

?descarcarea altor fisiere (virusi, spyware, adware), avand extensia int de la o adresa url aleatoare de forma http://[aleator].bins.lop.com/[sters]
?salvarea acestora in directorul %tmp%
?mutarea si redenumirea acestora in directorul %appdata%, folosind un nume format din 3 cuvinte aleatoare dintr-un dictionar intern, la care se adauga extensia exe; de aici fisierele vor fi executate, la un moment dat.

Daca infectarea lui iexplorer esueaza atunci virusul ruleaza de sine statator si:

?Daca linia de comanda nu contine sirul de caractere "923CCB1F", atunci o casuta de dialog cu titlul "Bad Elmo" si textul "You must install this software as part of the parent program. Press OK to exit." apare inainte de inchidere.
?Daca in linia de comanda este prezent argumentul "-newkEm", atunci se cauta o fereastra de clasa "wwBYAwnd" si numele "windWWAA" si ii trimite un mesaj cu id-ul 0x533 dupa care iese. Daca fereastra nu poate fi gasita, se foloseste algoritmul din pasul 3 al procesului de infectie descris mai sus pentru a executa un fisier cu nume aleator(de exemplu cdromruleclose.exe) din %appdata%. Virusul va iesi, da nu inainte de a reincerca trimiterea mesajului anterior.
?Daca in linia de comanda este prezent "SWIcertifiedEd 1", atunci este cautat fisierul ?%tmp%\bis[numar aleator].tmp? si este sters. In continuare se realizeaza procesul de infectie descris mai sus.

Virusul foloseste siruri de caractere criptate pentru a face analiza sa dificila.

Folosirea argumentelor din linia de comanda este folosita pentru a preveni detectia euristica.
Removal instructions:

Lasati BitDefender sa dezinfecteze fisierele infectate.
ANALYZED BY:

Marian RADU, virus researcher
Arhiva alerte de securitate
Enciclopedia virusilor
Raport activitate virusi in timp real
Reguli de securitate
Denumiri conventionale

Adresa este : http://www.bitdefender.ro/VIRUS-196844-ro-...an.Lopad.K.html

Trebuie sa fie unul din programele astea : - SpamAware , Sa4o SafestMail4Outlook sau Cactus Spam Filter sau SpamGrid .

crysty2k5

15th November 2009, 12:46

Daca ai cumva Bitdefender 10 free, scoate-l si instaleaza asta:

http://www.softpedia.com/get/Antivirus/Bit...e-Edition.shtml

Nu umbla la antivirusul deja instalat(cel care protejeaza PC-ul).

BitDefender Free e foar un scanner. Fa-i update si ruleaza o scanare completa.

adi53

16th November 2009, 06:02

CITAT (crysty2k5 @ 15th November 2009, 13:46)

Daca ai cumva Bitdefender 10 free, scoate-l si instaleaza asta:

http://www.softpedia.com/get/Antivirus/Bit...e-Edition.shtml

Nu umbla la antivirusul deja instalat(cel care protejeaza PC-ul).

BitDefender Free e foar un scanner. Fa-i update si ruleaza o scanare completa.

Cred ca i-am dat de capat ; Nu sunt programele antispam devina . Am observat ca atunci cand activez EIST ul din Power Management (pus pe Minimal Power Management de ex. ) incepe sa apara buba ; cand dezactivez EIST , dispare imediat . Placa de baza care am pus-o acum 2 zile , cu I945 chipset , cu instalare noua XP , nu are ce sa aiba pentru ca face la fel ca placa anterioara cu chipset P35 ; deci e sigur ceva cu updateurile celor de la Microsoft .

crysty2k5

16th November 2009, 10:48

Pai vezi pe rand in descrierea fiecaruia

Ca altfel nu ai cum sa le instalezi

Reclama

A minute ago

In curand... autoevolution.ro

Teste, stiri, ghiduri, jurnale, forum si multe altele!