Não consigo matar o processo iexplorer.exe

[dabysk]

Hello, como indiquei no titulo não consigo matar o processo iexplorer.exe.
Para além de ter uns popups cujo titulo começa por "cid" ciclicamente a aparecerem e que só consegui evitar q aparecessem com um popup killer a correr constantemente.

A maior consequência deste problema é não conseguir instalar software que necessito, pois não pode prosseguir a instalação sem que o firefox e o ie estejam mortos.

Ando ainda com outro problema que tem a ver com o JRE do java, tenho um erro no launcher do mesmo. Após remoções, instalações e re-instalações do JRE o problema continua.

De qualquer forma fica aqui o meu log do hijackthis na esperança que alguém o possa espreitar e aconselhar-me:

Logfile of HijackThis v1.99.1
Scan saved at 12:10:27, on 25-06-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\GhostWall\ghostwall.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VMware\VMware Workstation\vmware.exe
D:\DOWNLOADS\BROWSER downloads\YODM\Yodm3D.exe
C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE
C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE
C:\Program Files\Xming\Xming.exe
C:\Program Files\PuTTY\putty.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\YPOPs\ypops.exe
C:\Program Files\WinRAR\WinRAR.exe
D:\DOWNLOADS\BROWSER downloads\mobilePhone\Rar$EX00.344\HijackThis.exe

O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GhostWall] "C:\Program Files\GhostWall\ghostwall.exe" -minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Program Files\12Ghosts\12popup.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1208124102515
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Program Files\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe


Agradeço a vossa ajuda, isto para que não passe 4 dias da minha vida a re-installar o meu sistema de raiz

 

[Blue Zee]

Comece por descarregar e instalar a versão FREE do SUPERAntispyware:
http://www.superantispyware.com/

Arranque o programa utilizando o ícone criado no ambiente de trabalho.

Actualize as definições clicando no botão Check for Updates...

Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

- Close browsers before scanning.
- Scan for tracking cookies.
- Terminate memory threats before quarantining.

E desmarque todos os outros. Agora clique em Close para sair deste menu.

Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

Encerre o programa, reinicie o PC e teste.

Diga-nos se resultou.

Zee



P.S.:
Futuramente use a versão mais recente do HJT:
http://www.trendsecure.com/portal/en...kthis/download

 

[Filipe_O]

Boa tarde!

Estou a ter alguns problemas no computador (worms detectados pelo clamwin portable) e costumo utilizar o super antispyware - portable edition.

Para este caso, a versão free actualizada é mais indicada do que a portable ou para efeitos práticos tem o mesmo poder de detecção?

Obrigado

 

[Blue Zee]

Boas!

Em teoria farão ambos a mesmíssima coisa.

Podes também tentar uma verificação com o Malwarebytes Anti-Malware Free.

 

[Filipe_O]

Obrigado!

Neste momento estou a fazer um scan com o Sophos Virus Removal tool, mas depois farei com esse programa

Foi uma pena não me ter sido possível registar em log file os worms detectados pelo clamwin...

 

[Blue Zee]

OK, boa sorte.
Se precisares de ajuda, vai comentando por aqui.

 

[Filipe_O]

Boas!

O resultado do Malwarebytes Anti-Malware Free foi:

[/B]Registry Keys: 2PUP.Optional.SearchProtect.A, HKU\S-1-5-21-567493307-2656307993-4030537400-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}, , [a6ea80224e2d65d1c22b3f195ba72fd1], 
PUP.Optional.SearchProtect.A, HKLM\SOFTWARE\WOW6432NODE\SEARCHPROTECT, , [216f3171423931056b4c3f8b25dd619f], 


Registry Values: 1
PUP.Optional.SearchProtect.A, HKLM\SOFTWARE\WOW6432NODE\SEARCHPROTECT|InstallDir, C:\PROGRA~2\SearchProtect, , [216f3171423931056b4c3f8b25dd619f]


Registry Data: 1
PUP.Optional.Conduit.A, HKU\S-1-5-21-567493307-2656307993-4030537400-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=, Good: (www.google.com), Bad: (http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=),,[fc942a78c3b8eb4b4b659212758f05fb]


Folders: 0
(No malicious items detected)


Files: 3
PUP.RiskwareTool.CK, C:\Users\Filipe\Downloads\AdobeCS6MasterCrack.zip, , [533d3f634f2c24124bcce12c57ab6c94], 
PUP.Optional.Conduit.A, C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: (   "homepage": "http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=",), ,[5739a1016f0c93a3b9b35688857fc23e]

PUP.Optional.Conduit.A, C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: (      "startup_urls": [ "http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=" ],), ,[9df39d05d0ab67cf3a64b22cbc489d63][B]

O programa não me permite eliminar os problemas e o ClamWin detectou mais problemas (dois deles, nomeadamente, com a designação de "worm.runonce")

Será que ponho em quarentena?

O que fazer em relação aos erros não detectados?

Muito obrigado!

 

[Blue Zee]

No MBAM basta limpar isso e eventualmente reiniciar para eliminar os restos.

Corre o Hitman.PRO e coloca o relatório final.

 

[Filipe_O]

Muito obrigado!
Vou-o fazer, mas em relação aos resultados que me deu com o MalwareBytes? Não consigo eliminá-los, só por em quarentena.
Ou esqueço e simplesmente corro o Hitman.PRO?

EDIT: Depois de eu o executar uma vez (detectando 24 problemas) e reiniciar o pc, fiz outro scan com este resultado:

Potential Unwanted Programs _________________________________________________

   homepage
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences


   session/startup_urls[0]
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences


   HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\MAIN\Start Page (Conduit)
   HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}\ (Conduit)

Vou reiniciar e fazer novo scan. Achas que estou a proceder correctamente?

Muito obrigado por toda a ajuda!

 

[Blue Zee]

Podes correr o AdwCleaner.

Descarrega, arranca o programa, clica em Scan:

Terminada a verificação clica em Clean:

Reinicia o PC quando o programa pedir.

Corre ainda o Junkware Removal Tool.

Por fim corre o Shortcut Cleaner.

Se quiseres uma análise aos problemas, colocas aqui os relatórios finais dos programas.

Instala ainda o AdBlock Plus nos teus browsers.

 

[Filipe_O]

Obrigado!

Com todos executados, o log file do Hitman foi:

Potential Unwanted Programs _________________________________________________

   homepage
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences


   session/startup_urls[0]
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences


   HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\MAIN\Start Page (Conduit)
   HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}\ (Conduit)

E o log file do Junkware Riemoval foi:

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\Main\\Start Page






~~~ Registry Keys


Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}

Muito obrigado por toda a ajuda!

 

[Blue Zee]

Também usaste o AdwCleaner, certo?

Qual é o ponto da situação nessa máquina?

Essa peste pode ser complicada de limpar.
Tens aqui um artigo completo e complexo que deve ajudar a limpar os restos disso:
http://www.lavasoft.com/mylavasoft/company/blog/how-to-remove-search-protect-by-conduit-ltd

 

[Filipe_O]

Sim, usei tudo.

O ponto de situação? Tou agora a fazer um novo scan com o hitman, ja posto os resultados.

Pode-ser complicada de limpar, o worm.runonce? Eu, esse, vi na net como o eliminar mesmo nos registos (regedit), mas as instruções eram para o Win7, e o caminho da chave não era o mesmo (quero dizer que apesar de ter esse worm, não o encontrei pelo caminho que dizia no site)

Entretanto vou também ver o outro link que postaste.

Isto tudo para não o formatar....

No CCleaner também tive a reparar na opção de registos (encontrou 155 falhas) mas pelos vistos não resolveu...

[EDIT]: Depois de tudo o que ja fiz, o hitman ainda encontrou:

Potential Unwanted Programs _________________________________________________

   homepage
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences


   session/startup_urls[0]
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences


   HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\MAIN\Start Page (Conduit)
   HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}\ (Conduit)


Cookies _____________________________________________________________________


   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Cookies:statse.webtrendslive.com

É altura de seguir o tal link, certo?

Muito obrigado por toda a tua disponibilidade em me ajudar!

 

[Blue Zee]

Vê se tens o Search Protect nos programas instalados.
Se aparecer desinstala.

Depois segue o artigo.

 

[Filipe_O]

Vê se tens o Search Protect nos programas instalados.
Se aparecer desinstala.

Tem alguma coisa a ver com o envio de ficheiros para a cloud de pesquisa?

Como o hitman está em português não sei bem de que item das configurações estás a falar. sorry :/

 

[Blue Zee]

Referia-me aos programas instalados no Windows (onde podes desinstalar: Painel de Controlo > Programas e Funcionalidades).

tens este ícone na barra de tarefas?

 

[Filipe_O]

Não.

 

[Blue Zee]

Corre o AdwCleaner e coloca aqui o log final PF.

 

[Filipe_O]

Aqui está:

***** [ Registry ] *****

Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}


***** [ Browsers ] *****


-\\ Internet Explorer v11.0.9600.17126


Setting Found : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=


-\\ Google Chrome v36.0.1985.125


[ File : C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\preferences ]


Found [Startup_urls] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=
Found [Homepage] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=


*************************


AdwCleaner[R0].txt - [2466 octets] - [23/07/2014 00:55:51]
AdwCleaner[R1].txt - [1417 octets] - [23/07/2014 16:51:51]
AdwCleaner[S0].txt - [2306 octets] - [23/07/2014 00:57:41]

Obrigado

 

[Filipe_O]

Pós-reinicio:

Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}


***** [ Browsers ] *****


-\\ Internet Explorer v11.0.9600.17126


Setting Restored : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]


-\\ Google Chrome v36.0.1985.125


[ File : C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\preferences ]


Deleted [Startup_urls] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=
Deleted [Homepage] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=