iexplore.exe è un malware?

[AngeloZ]

Oggi ho scaritato la versione portabile di OpenOffice 3.1 dal sito dell'istituto majorana (OpenOffice310-Plus-USB.zip), dopo aver estratto il contenuto ho avviato il programma.Nella pagina iniziale, in basso a sinistra ci sono quattro icone riguardanti la registrazione del programma; informazioni; aggiunta di nuove funzionalità ecc. Ho cliccato su due delle quattro icone ma norton (NIS 2009 in prova) avvisa che un processo nocivo, che classifica con rischio alto, è stato bloccato richiedendo il riavvio del computer per l'eliminazione. Il processo è appunto "iexplore.exe".
Se apro un documento di Openoffice non ricevo nessun avviso e posso utilizzarlo.
Ho cercato sul web ed il processo "iexplore.exe" scrivono essere di internet explorer. Nei processi di windows del s.o. figura sia "iexplore.exe" che "explorer.exe" che dovrebbe essere realtivo alle risorse del computer.
Mi potete spiegare come mai norton rileva questo rischio bloccandolo, e i due processi presenti nel pc sono regolari?
Grazie

 

[bugbear]

io per prima cosa toglierei al volo norton.

poi quando dal task manager vedi il processo iexplorer.exe cliccaci su con il tasto destro e vai sulla voce "apri percorso file" così vedi dove risiede il file di esecuzione

 

[Iron]

Nis ha un firewall integrato, probabilmente vuole bloccare l'accesso ad internet necessario alla registrazione.

 

[MaxGoofy]

io per prima cosa toglierei al volo norton.

:asd:

poi quando dal task manager vedi il processo iexplorer.exe cliccaci su con il tasto destro e vai sulla voce "apri percorso file" così vedi dove risiede il file di esecuzione

Win XP non ha questa funzione? :cry:

 

[AngeloZ]

Questo è il percorso relativo all'accesso bloccato da NIS: C:\users\nessuno\desktop\openoffice\openoffice310-plus-USB\openoffice310-plus-USB\settings\40000009c00002i\iexplore.exe

Quello di cui vorrei essere certo è se il processo bloccato da NIS, è un falso positivo e quindi inserirlo nelle esclusioni del firewall o no.

Comunque l'AV ha rimosso il rischio da quello che risulta nella cronologia sicurezza.

questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.11.48, on 31/08/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\sony\ISB Utility\ISBMgr.exe
C:\Program Files\sony\Marketing Tools\MarketingTools.exe
C:\Program Files\sony\Network Utility\LANUtil.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Norton Internet Security\Engine\16.5.0.134\MCUI32.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.google.it/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.club-vaio.com]Club VAIO | Home[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [MarketingTools] C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [NSUFloatingUI] "C:\Program Files\Sony\Network Utility\LANUtil.exe"
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [URL]http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab[/URL]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: NSUService - Sony Corporation - C:\Program Files\sony\Network Utility\NSUService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Windows\RtkAudioService.exe
O23 - Service: VAIO Media plus Content Importer (SOHCImp) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHCImp.exe
O23 - Service: VAIO Media plus Digital Media Server (SOHDms) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDms.exe
O23 - Service: VAIO Media plus Device Searcher (SOHDs) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDs.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe
O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
--
End of file - 7649 bytes

 

[JeanGrey]

Ciao AngeloZ, dal log di hijackthis non si vedono infezioni.

Disattiva momentaneamente l'antivirus
Scarica Combofix
Tasto destro sull'exe, esegui come amministratore
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

Esegui una scansione online, ed allega il rapporto.
*Guida*

 

[AngeloZ]

Scusa l'ignoranza, ma combofix fa soltanto la scansione o rimuove anche in automatico le infezioni che rileva?

 

[JeanGrey]

Entrambe le cose.
Una guida ed un tutorial sull' utilizzo di ComboFix

 

[AngeloZ]

Grazie, appena riesco eseguo le scansioni e posto i log.

 

[AngeloZ]

Perchè se faccio il download cercando di salvare combofix sul desktop con l'AV attivo, Mcafee lo blocca e rimuove, segnalando che si tratta di un trojan horse.
Grazie per la pazienza.

 

[zorginho]

Perchè se faccio il download cercando di salvare combofix sul desktop con l'AV attivo, Mcafee lo blocca e rimuove, segnalando che si tratta di un trojan horse.
Grazie per la pazienza.

è un falso positivo perciò disattiva momentaneamente l'antivirus scarica e lancia combofix

 

[AngeloZ]

Allego il log di combofix.
La scansione con KAS online è negativa:
---------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Sunday, September 13, 2009
Operating system: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Sunday, September 13, 2009 11:09:24
Records in database: 2801198
-----------------------------------------------------------------------
Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes
Scan area - My Computer:
C:\
D:\
E:\
F:\
Scan statistics:
Objects scanned: 99991
Threats found: 0
Infected objects found: 0
Suspicious objects found: 0
Scan duration: 01:13:46
No threats found. Scanned area is clean.
Selected area has been scanned.

Una cortesia, mi potete spiegare che cosa riguardano le voci rimosse da combofix:

((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))

c:\$recycle.bin\S-1-5-21-1175915938-776635755-195439990-500
c:\$recycle.bin\S-1-5-21-442661990-26195359-2138172642-500
c:\windows\ShellNew
c:\windows\ShellNew\Journal.jnt.


A cosa si riferisce l'indicazione "chiavi di registro bloccate"?

Grazie

 

[zorginho]

sembra che combofix qualche file fastidioso lo abbia trovato perciò compaiono quei file in altre eliminazioni... comunque hai risolto?

 

[nortonassist]

Ciao AngeloZ,

Mi chiamo Daniel e lavoro per un servizio esterno d’ assistenza di Symantec.

come dici tu, normalmente "iexplore.exe" è il processo di Internet Explorer, ma se questo processo è in esecuzione anche quando non è aperto Internet Explorer significa che il processo potrebbe essere stato infettato.


Il fatto che in Task Manager tu veda il processo chiamato “iexplore.exe” o quello “explorer.exe” non significa che siano quelli originali. Una minaccia chiamata iexplore.exe può essere avviata da qualsiasi posizione. Di solito puoi trovare “iexplore.exe” in almeno due 2 directory:
- “c:\Progam Files\Internet Explorer” e in
- “c:\Windows\system32\dllcache”

Se hai scaricato e installato un pacchetto che include numerosi programmi non significa che il pacchetto sia “pulito”. Se utilizzi un prodotto Microsoft, ti consigliamo vivamente di scaricare il loro software direttamente dal loro sito Web per evitare file infetti o modificati che possono essere interpretati come minacce.

Per verificare se si tratta di una minaccia, aggiorna Norton Internet Security 2009 eseguendo “Live Update”. Quindi scollega il collegamento a Internet (o disabilita la scheda di rete) ed esegui una scansione completa del sistema.

Segui le istruzioni che Norton Internet Security ti fornisce, a seconda di quello che trova.

Se non è possibile risolvere il problema, puoi provare a eseguire una scansione completa del sistema nella modalità provvisoria di Windows (basta che fai doppio clic sull'icona mentre è attiva la modalità provvisoria).

Spero che questa soluzione possa risolvere il tuo problema.

Tanti saluti,

Daniel

Norton Forum Assist Team

 

[AngeloZ]

Ciao Daniel,

ho eseguito scansioni con vari antivirus, NIS compreso, oltre a Combofix, Hjiackthis e antispyware. Iexplore.exe quando IE8 non è avviato non figura.

Iexplore.exe si trova soltanto nella prima directory da te indicata.

Grazie