iexplore.exe anomalo in dllcache

[frantheman]

windows xp pro
ho questo file in c:\windows\system32\dllcache
di grandezza anomala rispetto a quelli di altri sistemi che ho in casa: 692kb contro 91 circa.
con icona differente.
l'ho gia' rimosso varie volte, ma rispunta dopo un po': i consueti programmi contro spyware e simili non rilevano niente di anomalo (spybot, ad-aware, avg antispyware).
si ricreano periodicamente anche una o due righe nel registro che avviano questo file all'avvio. rimosse anche quelle ma tornano.
ho anche fatto pulizia con ccleaner come da istruzioni di sezione...
il log di hijackthis, a parte le voci relative a questo file non rmi pare contenere niente di anomalo, so darmi una spiegazione a qualsiasi voce...
questo iexplore.exe. bloccato dal firewall, tenta di connettersi tramite le porte 6666-7 (quelle di irc) a qualche ip ricobducibile in spagna (lleira networks) o qualcosa di simile.

di cosa puo' trattarsi? come lo elimino?

[Nuz]

La guida andrebbe eseguita per intera e poi vanno allegati tutti i log.
Intanto fixa queste:

O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe

O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe

Poi scarica Avenger, inserisci questo script:

Quote:

Files to delete:
C:\WINDOWS\system32\dllcache\iexplore.exe

Poi allega tutti i log compreso Avenger.txt e un nuovo log di HiJackThis.

[frantheman]

disattivato ripristino di sistema

ESET Ads Revealer - log (da cui ho rimosso le righe relative ai vari thumbs.db sparsi nel computer, restano poche righe):
adsr-omissis.txt (allegato)

a-squared Free 3.1 - log (strano che a-squared trovi ultravnc cosi' pericoloso... ho messo in quarantena solo i "pericoli alti", cioe' uvnc)
a2scan_080318-181650.txt (allegato)

prevx csi - log (finalmente viene individuato questo iexplore.exe):
http://www.fileup.itadib.com/downloa...9QEebsudPtUIRq

scansione su nanoscan:

Codice:

Risultato Scansione
Riassunto: 
C'è 1 file sospetto nel PC (Nascondi dettagli)
Dettagli:
Pericolosità 	Nome Minaccia (1) 	Tipo 	Stato
N/A	File Sospetto (1)
C:\WINDOWS\SYSTEM32\...ACHE\IEXPLORE.EXE
	-	Attivo
Ora: 	25 secondi
Antivirus: ALWIL Software avast! antivirus 4.7.1098 [VPS 080318-0] (attivo e aggiornato)

log di hijackthis:
hijack.txt (allegato)

log di gmer:
http://www.fileup.itadib.com/downloa...aOHreCTGKKbU3F
righe rosse: nessuna

questa la scansione online su virustotal del file iexplore.exe incriminato:
http://www.virustotal.com/it/analisi...6502478d9063d0

Questo e' l'azione che il file incriminato tenta di fare (segnalato dal firewall sygate):

Codice:

Parent Process :	C:\WINDOWS\system32\dllcache\iexplore.exe
Parent Version :	1.0.0.0
Parent Description :	
Parent Process ID :	0x618 (Heximal) 1560 (Decimal)


File Version :		1.0.0.0
File Description :	C:\WINDOWS\system32\dllcache\iexplore.exe
File Path :		C:\WINDOWS\system32\dllcache\iexplore.exe
Process ID :		0x730 (Heximal) 1840 (Decimal)

Connection origin :	local initiated
Protocol :		Raw Ethernet
Local Address : 	0.0.0.0
Local Port :		0 
Remote Name :			
Remote Address :	0.0.0.0
Remote Port : 		0 

Ethernet packet details:
Ethernet II (Packet Length: 56)
	Destination: 	ff-ff-ff-ff-ff-ff
	Source: 	********
Type: ARP (0x0806)
Address Resolution Protocol (ARP)
	Hardware type: Ethernet (0x0001)
	Protocol type: IP (0x0800)
	Hardware size: 6
	Protocol size: 4
	Opcode: Request
	Sender hardware address: *********
	Sender IP address: 192.168.0.2
	Target hardware address: 00-00-00-00-00-00
	Target IP address: 192.168.0.1

Binary dump of the packet:
0000:  FF FF FF FF FF FF 00 50 : 70 92 04 BA 08 06 00 01 | .......Pp.......
0010:  08 00 06 04 00 01 00 50 : 70 92 04 BA C0 A8 00 02 | .......Pp.......
0020:  00 00 00 00 00 00 C0 A8 : 00 01 30 61 02 01 00 04 | ..........0a....
0030:  06 70 75 62 6C 69 63 A0 :                         | .public.

azioni intraprese:

1. da hijackthis - fix delle due righe
O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe

2. da avenger eseguito lo script suggerito (riavvio del pc) e rimosso (?)
c:\windows\system32\dllcache\iexplore.exe
log:

Codice:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.

3. gia' che c'ero ho rimosso sopcast

4. una passata di ccleaner (come da istruzioni)

5. nuovo log di hijackthis (iexplore.exe sparito da porcessi e voci di registro)
http://www.fileup.itadib.com/downloa...IiHaUp85cGAtl2
da qui ho poi rimosso la voce
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://download.sopcast.com/download/SOPCORE.CAB

7. nuova scansione su nanoscan

Codice:

Risultato Scansione
Riassunto: Il PC non contiene virus.
Dettagli:
Pericolosità 	Nome Minaccia (0) 	Tipo 	Stato
Ora: 16 secondi
Antivirus: ALWIL Software avast! antivirus 4.7.1098 [VPS 080318-1] (attivo e aggiornato)

8. iexplore.exe e' pero' ancora li' (in dllcache, con dimensione sballata), lo rimuovo a mano, doop averlo nuovamente sottoposto a virustotal:
http://www.virustotal.com/it/analisi...6502478d9063d0
(file sempre infetto, stesso risultato di prima)

9. nuova scansione con prevx, niente di sospetto.

CONCLUSIONI:
il pc sembra a posto adesso, ma anche qualche giorno fa lo era, quando avevo interrotto i processi iexplore.exe attivi, rimosso le voci di registro ed eliminato i file. non riesco a capire chi ce l'abbia rimesso...

[Chill-Out]

Vnc puoi ripristinarlo in toto per quanto riguarda SopCast decidi tu a me piace poco un soft che si fà i fatti miei

Lo script da inserire in Avenger prevede anche il comando che è Files to delete quindi nel box bianco devi inserire tutto quello che è nel quote

Quote:

Files to delete:
C:\WINDOWS\system32\dllcache\iexplore.exe

al termine log di Avenger + nuovo log di HJT download: http://www.trendsecure.com/portal/en...HiJackThis.exe
scarica la versione nuova la tua è obsoleta

[juninho85]

edita i mac adresses

[frantheman]

Quote:

Originariamente inviato da Chill-Out

Vnc puoi ripristinarlo in toto per quanto riguarda SopCast decidi tu a me piace poco un soft che si fà i fatti miei

si' si', e' che non ricordavo di averlo.. fu unaprova, per assistere ad evento sportivo non fruibile sul suolo patrio... fra l'altro non funziono'

Quote:

Lo script da inserire in Avenger prevede anche il comando che è Files to delete quindi nel box bianco devi inserire tutto quello che è nel quote
al termine log di Avenger + nuovo log di HJT download: http://www.trendsecure.com/portal/en...HiJackThis.exe
scarica la versione nuova la tua è obsoleta

lo avevo ricopiato bene lo script di avenger.. boh... deve essere andato storto qualcosa...
comunque fatto:

Codice:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\dllcache\iexplore.exe" not found!
Deletion of file "C:\WINDOWS\system32\dllcache\iexplore.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

il file non lo trova perche' l'ho cancellato a mano
il log di HJT lo allego
sembro apparentemente pulito...

Quote:

Originariamente inviato da juninho85

edita i mac adresses

beh... a sapere dove stavano... li editavo subito.. dove stanno?
EDIT: visti

[Chill-Out]

Il log è pulito sarebbe utile sostituire Avast con Antivir http://www.hwupgrade.it/forum/showthread.php?t=1514684
inoltre collegati a questo sito ed aggiorna in base alle segnalazioni i software obsoleti quindi vulnerabili http://secunia.com/software_inspector/
hai una versione di Java stravecchia

[frantheman]

grazie Chill-Out per le indicazioni.
Sul cambio avast-antivir riflettero'..
Intanto aggiorno alcuni software che non ho mai pensato potessero essere cosi' pericolosi...

[Chill-Out]

Prego

[frantheman]

e alla fine sono passato ad antivir, dato che mi sono ripreso lo stesso virus (?) non su uno ma addirittura su tre pc protetti (?) da avast...

ora, prima di aprire altro thread, antivir mi ha riconosciuto varie cosette - su alcune mi trova senz'altro d'accordo, ma su una ho dei dubbi.

il file reboot.exe incluso in windows unattended cd creator viene riconosciuto da antivir come sospetto. insieme a lui anche altri lo ritengono sospetto (ovviamente avast no )

http://www.virustotal.com/it/analisi...4e9824b36dd0d1

di certo e' un eseguibile che svolge una funzione delicata, che ben si presta a utilizzi malevoli... ma se se ne sta buono buono in una cartella, e' pericoloso?

edit: programmini simili che vengono individuati: cmdow, pskill et similia...

edit2: mi sento idiota... credo di aver trovato la fonte diinfezione. una chiavetta usb. con un metodo ingenuissimo. file autorun.inf che lancia qualche schifezza da una cartella "run" nascosta (il bello e' che io ho le cartelle nascoste visibili.... boh....)

[xcdegasp]

c'è la guida per la disinfezione da chiavette-usb infette:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

inoltre il file "reboot.exe" è un file estraneo a windows

[frantheman]

Quote:

Originariamente inviato da xcdegasp

inoltre il file "reboot.exe" è un file estraneo a windows

che sia estraneo non ci piove.. ma, oltre a riavviare il computer, puo' far danni?

[xcdegasp]

fallo scansionare su www.virustotal.com e poi pubblica il link dell'analisi

[frantheman]

il link era gia' un paio di post piu' su.

ora, non voglio fare la figura dello scemo. quello che mi chiedevo e': dato che questo eseguibile serve per riavviare windows nelle installazioni non presidiate (ed e' infatti a corredo del software windows unattended cd creator). in effetti una volta finita l'installazione non presidiata ha poco senso mantenere reboot.exe nel path di windows (e questo si' puo' essere volendo rischioso, dato che si offre ai cosidetti "utenti malevoli" uno strumento abbastanza devastante). mi sono come persuaso che sia per questo che gli antivirus lo ritengono sospetto.
ma mi chiedo, se lo tengo buono in una directory in posizione defilata... che effetti negativi posso avere sul sistema?

[xcdegasp]

sì avevo capito male io... è normale che file di quel tipo vengano segnalati come possibili pericoli, come del resto vengono segnalati come pericolosi determinati tool di pulizia...

se lo sposti in una cartella defilata non succede nulla se non è richiamato da un servizio in funzione ma non è questo il caso visto che viene usato con una sequenza di parametri alla bisogna.
al massimo ti da errore ma non Bsod o instabilità.

[Alan84]

Ragazzi scusate la mia ignoranza ma ho da chiedervi una cosa...ecco anche io ho infetto il file C:\WINDOWS\system32\dllcache\iexplore.exe ma la cosa che non capisco è se questo file è un file di sitema fixandolo con hijackthis lo si cancella e quindi non sarà necessario formattare il pc??? Spero di sbagliarmi e soprattutto di ripulire il pc

[Chill-Out]

Quote:

Originariamente inviato da Alan84

Ragazzi scusate la mia ignoranza ma ho da chiedervi una cosa...ecco anche io ho infetto il file C:\WINDOWS\system32\dllcache\iexplore.exe ma la cosa che non capisco è se questo file è un file di sitema fixandolo con hijackthis lo si cancella e quindi non sarà necessario formattare il pc??? Spero di sbagliarmi e soprattutto di ripulire il pc

Ti avevo già risposto qui
http://www.hwupgrade.it/forum/showpo...5&postcount=94

in quanti altri posti pensi di postare, certo che ultimamente stanno succedendo cose strane

[Alan84]

visto che in questa discussione si parla dello stesso problema (almeno credo) pensavo che non fosse giusto aprirne una simile..tutto qui... Appena posso farò come da te indicato....grazie

[xcdegasp]

fixare non significa cancellare...