Istanze multiple di iexplore.exe in task manager

[eggpap]

Ciao,
da qualche giorno il pc mi appare lentissimo e ho scoperto che in task manager si aprono istanze multiple di iexplore.exe, che aumentano, senza che IE sia aperto (io uso altri browser), e che divorano le risorse della CPU, impegnando, ogni processo, da 50 a 70MB di ram.

Siccome il problema mi sembrava nato dopo l'installazione del programma Eraser, ho fatto anche un ripristino di configurazione, ma non è servito a niente.

Ieri ho provato ad entrare sul pc come amministratore, dove non c'è questo problema, ho avviato Malware Bytes e dopo 4ore di scansione ha individuato diversi trojan, che ha eliminato. Sono rientrato, quindi, sul mio account e per tutta la sessione il problema non si è ripresentato. Dopo il riavvio del pc, però, il problema si è ripresentato. Mi sono quindi disconnesso, sono tornato sull'account admin (anche se, forse, bastava disconnettersi e riconnettersi) e poi sono rientrato nel mio account e il problema è scomparso. Presumo quindi che si tratti di un eseguibile, o di una dll che parte all'avvio.

Credo di essere ben protetto con Kaspersky Pure. Non ho altri av installati.

Windows 7 HP 32 bit

Grazie infinite,
Emiliano

 

[ferencs90]

fai una scansione con tdsskiller per i rootkit. il default sara di eliminare l'oggetto. per i sospetti sara skip. poi posta il log. fai scansione con hijachthis in modalita provvisoria e posta il log.

 

[eggpap]

fai una scansione con tdsskiller per i rootkit. il default sara di eliminare l'oggetto. per i sospetti sara skip. poi posta il log. fai scansione con hijachthis in modalita provvisoria e posta il log.

Grazie

 

[ferencs90]

Per favore allega il log su wikisend o altro. Così si fa solo una grande confusione! Grazie!

---------- Post added at 11:40 ---------- Previous post was at 11:39 ----------

Cmq il sistema e qualche schifezza. Posta il log su wikisend e cancella questo poi provvederemo alle rimozione intanto con hijachthis .

---------- Post added at 12:32 ---------- Previous post was at 11:40 ----------

senti fai una cosa ..apparte che hai un boato di roba all'avvio e sinceramente è pesante leggere tutto.. vai su msconfig e leva le spunte su tab avvio e tab servizi nascondendo quelli di windows.. lascia solo l'antivirus..vedo che hai delle rimanenze di kaspersky e poi avg..lo hai disinstallato bene? fai cosi almeno innanzittuto avrai giovamenti e poi si fa meno fatica a legge tutta sta pappardella! poi mi raccomando mettila su wikisend.

---------- Post added at 12:55 ---------- Previous post was at 12:32 ----------

scusa se ti chieod questo ma è davvero lunghissimo sto log! non che non si possa fare! ma accorciandolo ci dai una mano!

 

[eggpap]

scusa tanto se non ti ho risposto prima, ma nonostante la sottoscrizione al 3d, non ho ricevuto nessun avviso di risposta e l'ho vista solo venendo sul forum.
Ho fatto come hai detto: cancellato il log, ma ho problemi con wikisend, che mi da questo errore server:
[h=1]Errore del server[/h]Si è verificato un errore nel sito web durante il recupero di Wikisend: free file sharing service. Potrebbe non essere disponibile per manutenzione o essere configurato in modo errato.

Sarà un problema momentaneo? Comunque ho preparato i log hijack e TDS.

Grazie mille per la tua disponibilità.

 

[ferencs90]

allegali qui! metti o sotto spoiler o tramite allegati

 

[eggpap]

allegali qui! metti o sotto spoiler o tramite allegati

Grazie, non sapendo però l'account da usare in mod. provvisoria per fare il log di hijack, ho allegato sia quello di Admin sia quello di utente

 

[ferencs90]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Google (non malevola)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={7A31C23D-D7F6-40FB-B77C-BE8B33CA87BB}&mid=f1de7e514ddb47d19b56400073f0ebff-9a17500a96d428a5cdb8b2643968b9a928fc107f&lang=it&ds=AVG&pr=fr&d=2012-02-27 17:12:20&v=10.2.0.3&sap=hp (non malevola)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421;<local>

R3 - URLSearchHook: BittorrentBar_IT Toolbar - {1d03a978-ac0c-4004-b9fd-9cf361c7bd3f} - C:\Program Files\BittorrentBar_IT\prxtbBit0.dll
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
R3 - URLSearchHook: MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll
R3 - URLSearchHook: (no name) - {36241f78-f4f8-4a54-aacd-2af1ea054184} - (no file)

O1 - Hosts: 204.11.109.24 a.tribalfusion.com

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: BittorrentBar_IT - {1d03a978-ac0c-4004-b9fd-9cf361c7bd3f} - C:\Program Files\BittorrentBar_IT\prxtbBit0.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dl

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll

O2 - BHO: RoboForm BHO - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll

O2 - BHO: Complitly - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Emiliano\AppData\Roaming\Complitly\Complitly.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &RoboForm Toolbar - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: BittorrentBar_IT Toolbar - {1d03a978-ac0c-4004-b9fd-9cf361c7bd3f} - C:\Program Files\BittorrentBar_IT\prxtbBit0.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll

O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')

allora ti faccio qualche domanda ; la conosci applicazione roboform? in caso positivo se vuoi puoi eliminarla comunque dall'avvio del sistema. altrimenti se non la conosci tutte le voci riguardanti roboform puoi toglierle. soprattutto le toolbar

poi per il resto disinstalla programmi che non conosci con revo unistaller con scansione avanzata cancella C:\Users\Emiliano\AppData\Roaming\Complitly\Complitly.dll e tutte le dll che ti ho evidenziato. fai sapere con nuovo log per vedere se ha lavorato bene.

- - - Updated - - -

vedevo da tdss ma conosci akamai net session?
mi fai un log di malwarebytes? grazie

 

[eggpap]

Complitly\Complitly.dll [/COLOR]e tutte le dll che ti ho evidenziato. fai sapere con nuovo log per vedere se ha lavorato bene.

vedevo da tdss ma conosci akamai net session?
mi fai un log di malwarebytes? grazie

Beh, io uso Roboform, perché mi sembra un buon prodotto per gestire le password, ma non so quanti altri la usano e cosa ne pensano.

Farò come hai detto. Non conosco Akamai. Sarai servito per MBAM.

Grazie ancora

- - - Updated - - -

Devo cancellare tutte le dll che trovo scritte nel tuo estratto? Tipo tbMyAs.dll (Ashampoo), IDMIECC.dll (Internet Dowload Manager) ecc. anche se sono programmi che conosco e che uso da tempo? Non è che smettono di funzionare anche i programmi stessi?

 

[ferencs90]

se li conosci non cancellare le dll.
ma fai cmq fix perche non servono all'avvio. a meno che non ti servano proprio all'avvio-
akamai disinstallalo.