lazar
12-11-06, 23:13
Εδώ και λίγες ημέρες, με το ξεκίνημα του Η/Υ κάποιο process IEXPLORE.EXE προσπαθούσε να βγει στο Internet. Μου το επεσήμαινε κάθε φορά το Zone Alarm (να τι χρειάζονται τα software firewall!) και φυσικά δεν το άφηνα. Τσέκαρα τον IE, έβαλα hijack, adaware δεν κατάφερα τίποτα.
Με τα πολλά ανακάλυψα ότι επρόκειτο ένα άλλο IEXPLORE.EXE το οποίο βρισκόταν κρυμμένο στο
C:\WINDOWS\Config\
Προς μεγάλη μου έκπληξη δεν το έπιανε ως ιό το avast. Το έκανα rename και έκτοτε δεν με έχει ενοχλήσει. Στο δίκτυο βρήκα λίγα σχετικά
Ενδιαφέρον έχει αυτό
Subject: Virus/spyware, which is not identified by any antivirus software
http://www.thennews.com/c/41/Virus%20spyware%20which%20is%20not%20identified%20by%20any%20antivirus%20software.php
I am having trouble with a virus/spyware, which PCCillin or BitDefender
> cannot identify.
>
> Whenever i start my pc, a process named IEXPLORE.EXE (not actual
> Internet Explorer) is created under SYSTEM account. Every time i block
> it with pccillin firewall, delete it from process and delte the file
> itself. but next time when i start pc, it's creating the same file under
> different dirctory and starts the process. so far, i blocked the file
> from following directories.
>
> 1. Windows\Config\IEXPLORE.EXE
> 2. Windows\Fonts\IEXPLORE.EXE
> 3. Windows\Cursors\IEXPLORE.EXE
> 4. Windows\.NET Framework\IEXPLORE.EXE
> 5. Windows\System\IEXPLORE.EXE
> 6. Windows\$NT...$\IEXPLORE.EXE
> 7. Windows\Provisioning\IEXPLORE.EXE
> 8. Windows\CSC\IEXPLORE.EXE
> 9. Windows\mui\IEXPLORE.EXE
> ................
> ................
>
> i'm sure it'll go on creating files in different dictories each time i
> start pc.
Παρόμοια πράγματα γράφει και εδώ
http://forums.spywareinfo.com/lofiversion/index.php/t72387.html
Αυτό είναι στα γερμανικά, ενδιαφέρον έχει προς το τέλος της παράθεσης όπου λέει ότι το F-Secure που είναι το antivirus δεν δουλεύει πλέον σωστά. Δεν αντιδρά όπως θα έπρεπε και έχει εξαφανιστεί από τον TM.
http://www.trojaner-board.de/27698-bitte-um-hilfe-bei-hjt-log.html
Ich bekomme von meiner FW nach jedem systemstart die meldung, eine iexplore.exe wurde seiten wie w*w.paid2click.com o.a. anfunken wollen. Diese datei sitzt dabei in immer wechselnden verzeichnissen unter C:\Windows (mal pchealth, mal offline web pages usw.). Im log ist die datei als C:\WINDOWS\Config\IEXPLORE.EXE aufgefuhrt. Mit unlocker kann ich die datei beim systemstart zwar loschen, aber dann taucht sie auch schon woanders wieder auf. Mit Hilfe von HJT habe ich bereits eine verdachtige datei ldr64.dll gefixt, das hat aber leider nicht geholfen. Es muss also noch irgendwo eine anweisung als skript oder batch vorliegen, die diesem ding sagt, dass es sich in bestimmte verzeichnisse duplizieren soll, aber die finde ich so ohne weiteres nicht...
Das system ist nicht merklich langsamer als sonst, allerdings funktioniert F-Secure nicht mehr richtig. Der virus-scanner reagiert nicht mehr auf die anforderungen und auch das symbol in der taskleiste ist verschwunden. Die zugehorigen prozesse sind aber wohl noch aktiv.
Όπως καταλαβαίνετε είμαι "σταμπάϊ" που λένε μερικοί, με όλα αυτά. Τι διάολο είναι αυτό, δεν έχω καταλάβει. Α, παρέα είχε και ένα άλλο αρχείο ονόματι desktop.idf
Ας το έχετε στα υπ' όψιν και άν κάποιος ξέρει παραπάνω ας ειδοποιήσει.
Έτσι μούρχεται να το πετάξω σε ένα μηχάνημα-πειραματόζωο, να δω τι κάνει.
Μόλις το ανακάλυψα εκ νέου στο C:\WINDOWS\nview
Μπλέξαμε...
Μέγεθος 81ΚΒ, date:2005-05-19
Με τα πολλά ανακάλυψα ότι επρόκειτο ένα άλλο IEXPLORE.EXE το οποίο βρισκόταν κρυμμένο στο
C:\WINDOWS\Config\
Προς μεγάλη μου έκπληξη δεν το έπιανε ως ιό το avast. Το έκανα rename και έκτοτε δεν με έχει ενοχλήσει. Στο δίκτυο βρήκα λίγα σχετικά
Ενδιαφέρον έχει αυτό
Subject: Virus/spyware, which is not identified by any antivirus software
http://www.thennews.com/c/41/Virus%20spyware%20which%20is%20not%20identified%20by%20any%20antivirus%20software.php
I am having trouble with a virus/spyware, which PCCillin or BitDefender
> cannot identify.
>
> Whenever i start my pc, a process named IEXPLORE.EXE (not actual
> Internet Explorer) is created under SYSTEM account. Every time i block
> it with pccillin firewall, delete it from process and delte the file
> itself. but next time when i start pc, it's creating the same file under
> different dirctory and starts the process. so far, i blocked the file
> from following directories.
>
> 1. Windows\Config\IEXPLORE.EXE
> 2. Windows\Fonts\IEXPLORE.EXE
> 3. Windows\Cursors\IEXPLORE.EXE
> 4. Windows\.NET Framework\IEXPLORE.EXE
> 5. Windows\System\IEXPLORE.EXE
> 6. Windows\$NT...$\IEXPLORE.EXE
> 7. Windows\Provisioning\IEXPLORE.EXE
> 8. Windows\CSC\IEXPLORE.EXE
> 9. Windows\mui\IEXPLORE.EXE
> ................
> ................
>
> i'm sure it'll go on creating files in different dictories each time i
> start pc.
Παρόμοια πράγματα γράφει και εδώ
http://forums.spywareinfo.com/lofiversion/index.php/t72387.html
Αυτό είναι στα γερμανικά, ενδιαφέρον έχει προς το τέλος της παράθεσης όπου λέει ότι το F-Secure που είναι το antivirus δεν δουλεύει πλέον σωστά. Δεν αντιδρά όπως θα έπρεπε και έχει εξαφανιστεί από τον TM.
http://www.trojaner-board.de/27698-bitte-um-hilfe-bei-hjt-log.html
Ich bekomme von meiner FW nach jedem systemstart die meldung, eine iexplore.exe wurde seiten wie w*w.paid2click.com o.a. anfunken wollen. Diese datei sitzt dabei in immer wechselnden verzeichnissen unter C:\Windows (mal pchealth, mal offline web pages usw.). Im log ist die datei als C:\WINDOWS\Config\IEXPLORE.EXE aufgefuhrt. Mit unlocker kann ich die datei beim systemstart zwar loschen, aber dann taucht sie auch schon woanders wieder auf. Mit Hilfe von HJT habe ich bereits eine verdachtige datei ldr64.dll gefixt, das hat aber leider nicht geholfen. Es muss also noch irgendwo eine anweisung als skript oder batch vorliegen, die diesem ding sagt, dass es sich in bestimmte verzeichnisse duplizieren soll, aber die finde ich so ohne weiteres nicht...
Das system ist nicht merklich langsamer als sonst, allerdings funktioniert F-Secure nicht mehr richtig. Der virus-scanner reagiert nicht mehr auf die anforderungen und auch das symbol in der taskleiste ist verschwunden. Die zugehorigen prozesse sind aber wohl noch aktiv.
Όπως καταλαβαίνετε είμαι "σταμπάϊ" που λένε μερικοί, με όλα αυτά. Τι διάολο είναι αυτό, δεν έχω καταλάβει. Α, παρέα είχε και ένα άλλο αρχείο ονόματι desktop.idf
Ας το έχετε στα υπ' όψιν και άν κάποιος ξέρει παραπάνω ας ειδοποιήσει.
Έτσι μούρχεται να το πετάξω σε ένα μηχάνημα-πειραματόζωο, να δω τι κάνει.
Μόλις το ανακάλυψα εκ νέου στο C:\WINDOWS\nview
Μπλέξαμε...
Μέγεθος 81ΚΒ, date:2005-05-19