www.MegaLab.it

[barocco]

Oggi ho scaritato la versione portabile di OpenOffice 3.1 dal sito dell'istituto majorana (OpenOffice310-Plus-USB.zip), dopo aver estratto il contenuto ho avviato il programma.Nella pagina iniziale, in basso a sinistra ci sono quattro icone riguardanti la registrazione del programma; informazioni; aggiunta di nuove funzionalità ecc. Ho cliccato su due delle quattro icone ma norton (NIS 2009 in prova) avvisa che un processo nocivo, che classifica con rischio alto, è stato bloccato richiedendo il riavvio del computer per l'eliminazione. Il processo è appunto "iexplore.exe".
Se apro un documento di Openoffice non ricevo nessun avviso e posso utilizzarlo.

Ho cercato sul web ed il processo "iexplore.exe" scrivono essere di internet explorer. Nei processi di windows del s.o. figura sia "iexplore.exe" che "explorer.exe" che dovrebbe essere realtivo alle risorse del computer.

Mi potete spiegare come mai norton rileva questo rischio bloccandolo, e i due processi presenti nel pc sono regolari?
Grazie

[ste_95]

In che percorso viene segnalato il file infetto?

[barocco]

C:\users\nessuno\desktop\openoffice\openoffice310-plus-USB\openoffice310-plus-USB\settings\40000009c00002i\iexplore.exe
Comunque l'AV ha rimosso il rischio da quello che risulta nella cronologia sicurezza.

Da quello che ho capito il firewall di NIS, quando clicco su una delle quattro icone, peresempio quella relativa alla registrazione al sito di openoffice, blocca l'accesso riscontrando un tentativo di accesso al pc relativo ad un malware, quello che vorrei capire è se questo iexplore.exe, è un falsa rilevazione malware da parte di NIS o no.
Ho eseguito scansioni con l'AV, malwarebytes, superantispyware, gmer. Tutto negativo.

questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.11.48, on 31/08/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\sony\ISB Utility\ISBMgr.exe
C:\Program Files\sony\Marketing Tools\MarketingTools.exe
C:\Program Files\sony\Network Utility\LANUtil.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Norton Internet Security\Engine\16.5.0.134\MCUI32.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [MarketingTools] C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [NSUFloatingUI] "C:\Program Files\Sony\Network Utility\LANUtil.exe"
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: NSUService - Sony Corporation - C:\Program Files\sony\Network Utility\NSUService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Windows\RtkAudioService.exe
O23 - Service: VAIO Media plus Content Importer (SOHCImp) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHCImp.exe
O23 - Service: VAIO Media plus Digital Media Server (SOHDms) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDms.exe
O23 - Service: VAIO Media plus Device Searcher (SOHDs) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDs.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe
O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7649 bytes

[ste_95]

Anche il log di HijackThis è pulito.

[crazy.cat]

C:\users\nessuno\desktop\openoffice\openoffice310-plus-USB\openoffice310-plus-USB\settings\40000009c00002i\iexplore.exe

Il percorso è in effetti molto strano e che ci sia anche un Ie dentro il pacchetto di office.
Se ti serve una versione portable, affidati a siti più sicuri e ufficiali
http://portableapps.com/apps/office/ope ... calization

[barocco]

Ho scaricato la versione portabile per evitare l'nstallazione o sarebbe meglio quella da installare?

Che voi sappiate il sito "dell'istituto majorana" risulta poco affidabile?

Quindi, crazy.cat, suggerisci di eliminare la suite di openoffice che ho scaricato e recuperarla dal link che hai postato?

[crazy.cat]

Ho scaricato la versione portabile per evitare l'nstallazione o sarebbe meglio quella da installare?

Se non vuoi sporcare il registro la portable va benissimo.

Che voi sappiate il sito "dell'istituto majorana" risulta poco affidabile?

Ci dai il link da cui scarichi quella versione?
A questo punto ci guardiamo dentro cosa c'è.

Quindi, crazy.cat, suggerisci di eliminare la suite di openoffice che ho scaricato e recuperarla dal link che hai postato?

Prova a scaricarla e vedi se si comporta nello stesso modo, se magari è una sclerosi di norton.

[farbix89]

magari è una sclerosi di norton.

altamente probabile di questi tempi

[barocco]

http://www.istitutomajorana.it/index.ph ... &Itemid=33, una volta all'interno del sito si trova il link "Oenoffice 310 plus USB", per scaricare il file Zip bisogna registrarsi al sito.

[Norton-Forum-Assist]

Ciao barocco,

Mi chiamo Daniel e lavoro per un servizio esterno d’ assistenza di Symantec.

Alcune minacce si nascondono utilizzando il nome di un programma o di un processo conosciuto. Ad esempio, il file Iexplore.exe è il file eseguibile di Internet Explorer.

Avvia Gestione attività: se vedi questo processo anche quando IE non è in esecuzione o se vedi due istanze del processo IEXPLORE.EXE in esecuzione quando il browser Internet è aperto, e uno di questi utilizza il 90-95% del processore, il computer è sicuramente infettato da un a virus/trojan.

Tanti saluti,

Daniel

Norton Forum Assist Team

[barocco]

Cia Daniel, questo è quello che risulta:

Avviando gestione attività, con internet explorer non in esecuzione il processo iexplore.exe non figura.

Avviando IE figurano due istanze di iexplore.exe (che da quello che ho letto nel web per IE8 dovrebbero essere legittime, corregimi se sbaglio), per quanto riguarda l'utilizzo del processore, sinceramente (scusa la mia ignoranza) non sono riuscito a capire come rilevarlo, ti posso dire che risulta complessivamente un utilizzo della CPU, da parte di tutti i processi, mediamente dell' 7% la memoria fisica al 40%, i due processi iexplore.exe occupano memoria fisica pari a 37,216 e 10.368 KB, zero CPU.

Grazie

[developerwinme]

Allora dovrebbe essere pulito. Per sicurezza carica il file su http://www.virustotal.com e vedi che ti dice.

Per trovare il file apri Gestione Attività, seleziona il processo in questione con un clic destro e scegli "Apri percorso file".

[barocco]

La scansione del file con virus total è negativa.
Grazie per l'aiuto

[Norton-Forum-Assist]

Ciao barocco,

sì, IE8 può utilizzare 2 processi, a seconda delle situazioni, ma in questo caso potrebbe essere normale.

C'è un motivo per cui Norton ha rilevato una possibile minaccia: se è stato modificato l'attributo di un file, inclusa la firma, Norton rileva le modifiche e avvisa l'utente di una possibile minaccia, dato che gli attributi sono diversi da quelli originali.

Il processo iexplore.exe è ben noto, perciò qualsiasi modifica, anche la semplice modifica del nome del file, può generare l'avviso.

Quando un file come iexplorer.exe è incluso in pacchetti speciali, solitamente non è stato modificato dal produttore, quindi la sua presenza nel pacchetto è richiesta nel caso in cui il software sia necessario per l'esecuzione del software che si desidera installare (il pacchetto).

Puoi anche inviare il file per un controllo di "falso positivo":https://submit.symantec.com/dispute/false_positive/ (quando un file è legittimo ma viene rilevato come potenziale minaccia, siamo in presenza di una situazione di "falso positivo").

Spero che questa spiegazione ti risulti utile.

Tanti saluti,

Daniel
Norton Forum Assist Team

[barocco]

Grazie daniel,
Proverò ad inviare il file come suggerisci.