Εδώ και λίγες ημέρες, με το ξεκίνημα του Η/Υ κάποιο process IEXPLORE.EXE προσπαθούσε να βγει στο Internet. Μου το επεσήμαινε κάθε φορά το Zone Alarm (να τι χρειάζονται τα software firewall!) και φυσικά δεν το άφηνα. Τσέκαρα τον IE, έβαλα hijack, adaware δεν κατάφερα τίποτα.

Με τα πολλά ανακάλυψα ότι επρόκειτο ένα άλλο IEXPLORE.EXE το οποίο βρισκόταν κρυμμένο στο
C:\WINDOWS\Config\
Προς μεγάλη μου έκπληξη δεν το έπιανε ως ιό το avast. Το έκανα rename και έκτοτε δεν με έχει ενοχλήσει. Στο δίκτυο βρήκα λίγα σχετικά
Ενδιαφέρον έχει αυτό
Subject: Virus/spyware, which is not identified by any antivirus software
http://www.thennews.com/c/41/Virus%20spyware%20which%20is%20not%20identified%20by%20any%20antivirus%20software.php

I am having trouble with a virus/spyware, which PCCillin or BitDefender
> cannot identify.
>
> Whenever i start my pc, a process named IEXPLORE.EXE (not actual
> Internet Explorer) is created under SYSTEM account. Every time i block
> it with pccillin firewall, delete it from process and delte the file
> itself. but next time when i start pc, it's creating the same file under
> different dirctory and starts the process. so far, i blocked the file
> from following directories.
>
> 1. Windows\Config\IEXPLORE.EXE
> 2. Windows\Fonts\IEXPLORE.EXE
> 3. Windows\Cursors\IEXPLORE.EXE
> 4. Windows\.NET Framework\IEXPLORE.EXE
> 5. Windows\System\IEXPLORE.EXE
> 6. Windows\$NT...$\IEXPLORE.EXE
> 7. Windows\Provisioning\IEXPLORE.EXE
> 8. Windows\CSC\IEXPLORE.EXE
> 9. Windows\mui\IEXPLORE.EXE
> ................
> ................
>
> i'm sure it'll go on creating files in different dictories each time i
> start pc.

Παρόμοια πράγματα γράφει και εδώ
http://forums.spywareinfo.com/lofiversion/index.php/t72387.html

Αυτό είναι στα γερμανικά, ενδιαφέρον έχει προς το τέλος της παράθεσης όπου λέει ότι το F-Secure που είναι το antivirus δεν δουλεύει πλέον σωστά. Δεν αντιδρά όπως θα έπρεπε και έχει εξαφανιστεί από τον TM.
http://www.trojaner-board.de/27698-bitte-um-hilfe-bei-hjt-log.html


Ich bekomme von meiner FW nach jedem systemstart die meldung, eine iexplore.exe wurde seiten wie w*w.paid2click.com o.a. anfunken wollen. Diese datei sitzt dabei in immer wechselnden verzeichnissen unter C:\Windows (mal pchealth, mal offline web pages usw.). Im log ist die datei als C:\WINDOWS\Config\IEXPLORE.EXE aufgefuhrt. Mit unlocker kann ich die datei beim systemstart zwar loschen, aber dann taucht sie auch schon woanders wieder auf. Mit Hilfe von HJT habe ich bereits eine verdachtige datei ldr64.dll gefixt, das hat aber leider nicht geholfen. Es muss also noch irgendwo eine anweisung als skript oder batch vorliegen, die diesem ding sagt, dass es sich in bestimmte verzeichnisse duplizieren soll, aber die finde ich so ohne weiteres nicht...

Das system ist nicht merklich langsamer als sonst, allerdings funktioniert F-Secure nicht mehr richtig. Der virus-scanner reagiert nicht mehr auf die anforderungen und auch das symbol in der taskleiste ist verschwunden. Die zugehorigen prozesse sind aber wohl noch aktiv.


Όπως καταλαβαίνετε είμαι "σταμπάϊ" που λένε μερικοί, με όλα αυτά. Τι διάολο είναι αυτό, δεν έχω καταλάβει. Α, παρέα είχε και ένα άλλο αρχείο ονόματι desktop.idf

Ας το έχετε στα υπ' όψιν και άν κάποιος ξέρει παραπάνω ας ειδοποιήσει.

Έτσι μούρχεται να το πετάξω σε ένα μηχάνημα-πειραματόζωο, να δω τι κάνει.


Μόλις το ανακάλυψα εκ νέου στο C:\WINDOWS\nview

Μπλέξαμε...


Μέγεθος 81ΚΒ, date:2005-05-19

Υπαρχουν πολλοι ιοι που παιρνουν ονομασιες κανονικων αρχειων των windows.
Πιο "διαδεδομενο" ειναι το system.exe και το svchost.exe

Βαζεις norton antivirus και σκαναρεις.
Ιοι με το iexplore.exe αρχειο:
http://www.symantec.com/security_response/writeup.jsp?docid=2003-060511-5140-99&tabid=2
http://www.sarc.com/avcenter/venc/data/w32.lecna.a.html
Και εχει και αλλους...
http://searchg.symantec.com/search?q=iexplore.exe&context=gbh&src=gbh&output=xml_no_dtd&ie=UTF-8&oe=UTF-8&client=symc_en_US&proxystylesheet=symc_en_US&site=symc_en_US

task manager, Κλεισε οτι υποπτο βλέπεςι και άστον ανοιχτό.


Κατεβάζεις το autoruns, επελεξε hide ms entries, και βγάλε οτι σαβουρα βλέπεις. Γνκ δεν θα χαλάσεις κάτι αν δεν πειραξεις τπτ στους drivers ή το winologon

Λοιπόν, ύστερα από ψάξιμο βρήκα ότι πρόκειται για το αρχείο directx.exe το οποίο βρίσκεται στο \WINDOWS\SYSTEM32.
Αυτό αντιγράφει τον εαυτό του σε IEXPLORE.EXE και μπαίνει κάπου μάλλον τυχαία.

Αυτά έβγαλε το virustotal.com

AntiVir 7.2.0.39 11.12.2006 HEUR/Crypted
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.09.2006 no virus found
AVG 386 11.11.2006 no virus found
BitDefender 7.2 11.12.2006 no virus found
CAT-QuickHeal 8.00 11.11.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 11.11.2006 no virus found
DrWeb 4.33 11.12.2006 DLOADER.Trojan
eTrust-InoculateIT 23.73.52 11.11.2006 no virus found
eTrust-Vet 30.3.3186 11.10.2006 no virus found
Ewido 4.0 11.12.2006 no virus found
Fortinet 2.82.0.0 11.12.2006 suspicious
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.10.2006 Net-Worm.Win32.Mytob.DE
Kaspersky 4.0.2.24 11.12.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.12.2006 no virus found
NOD32v2 1862 11.10.2006 a variant of Win32/Rukap.BS
Norman 5.80.02 11.10.2006 no virus found
Panda 9.0.0.4 11.12.2006 Suspicious file
Sophos 4.11.0 11.07.2006 Mal/Behav-070
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.10.2006 no virus found
VBA32 3.11.1 11.10.2006 no virus found
VirusBuster 4.3.15:9 11.12.2006 no virus found

LOL, καθε AV λέει τα δικά του!

http://www.kaspersky.com/ Απλά :cool:
και ειναι πανάλαφρο...

http://www.kaspersky.com/ Απλά :cool:
και ειναι πανάλαφρο...
Mάλλον δεν πρόσεξες ότι στην παραπάνω λίστα που παραθέτει ο lazar το Kaspersky είναι από αυτά που δεν αναγνώρισαν τον ιό :)

@lazar
Ο πιο αξιόπιστος scanner είναι το... msconfig!
Ο οποιοσδήποτε ιός έχει ένα χαρακτηριστικό: Χρειάζεται να τρέχει με την εκκίνηση των Windows. Οπότε πάντα* θα κάνει καταχωρήσεις είτε στις Υπηρεσίες (Services) είτε σε κάποια Εκκίνηση (Startup).
Αν ξέρεις τι τρέχει και πρέπει να τρέχει εκεί είναι εύκολο να τους εντοπίσεις.

*Υπάρχουν κάποιες εξαιρέσεις ιών που μπαίνουν "τσόντα" σε κανικά εκτελέσιμα έτσι ώστε όταν π.χ. τρέξεις το explorer.exe (που ΠΑΝΤΑ θα το τρέξεις) να τρέχει και ο ιός. Υπάρχουν επίσης τα rootikits που παίζουν σε χαμηλότερο επίπεδο. όμως αυτά είναι εξαιρέσεις και δεν είναι ούτε το 1% αυτών που κυκλοφορούν ;)

Για δοκίμασε με το νόρτον
www.symantec.com

Ωραίο το autoruns. Το είχα κατεβάσει, αλλά δεν το είχα δει.

Και κάτι ενδιαφέρον, νομίζω: Το autoruns.exe ver. 8.53 είναι 390 ΚΒ.
Στην 8.54 έγινε σχεδόν διπλάσιο, 607 ΚΒ. Τι του έχωσε μέσα η MS?

Το msconfig έχει τρεις κενές εγγραφές τσεκαρισμένες (βλ. φωτο). Είναι ύποπτο αυτό;

Τάσο ρίξε μια ματιά σε αυτό
http://www.symantec.com/security_response/writeup.jsp?docid=2006-061911-0328-99&tabid=2

http://www.symantec.com/smb/security_response/writeup.jsp?docid=2006-110422-1903-99&tabid=2

Θα βάλεις Kaspersky KIS (Το antivirus μόνο του δεν κάνει τίποτα). ή antivir με (comodo ή ZA αλλά καλά ρυθμισμένο).

Για μέγιστη ασφάλεια linux (οποιοδήποτε :p )

Μου αρέσει να ζω ριψοκίνδυνα :p (έχουμε και λίνουξ και όχι ένα-δυό μόνο...)

Αντώνη, δεν ήταν κανένα από αυτά. Τελικά το directx.exe έκανε την λαδιά που βρισκόταν μέσα στο system32. Μ' έσωσε αυτός εδώ ο γερμανός ( είδες οι γερμανοί; ), αλλοιώς ακόμη θα ψαχνόμουν φαντάζομαι.

http://www.trojaner-board.de/27698-bitte-um-hilfe-bei-hjt-log.html

Hallo,
überprüfe mal die Datei c:\windows\system32\directx.exe (falls vorhanden) hier (http://www.virustotal.com/) und poste das Ergebnis.

Έκανα reboot και είμαι ΟΚ.

Τα πήρα! Δεν είναι ότι δεν έχει ξαναπεράσει ιός από τους δίσκους μου, αλλά πρώτη φορά με δούλεψε τόσο πολύ. Επί μέρες έβγαινε και νόμιζα ότι είναι ο IE και απλώς έκλεινα το process από τον TM. Τα μουλάρια πρέπει να φταίνε.


Συμπληρώνω ότι το βρήκα χάρη στο fport που δείχνει processes σε ποια ports ακούν. Κατάλαβα ότι είναι άλλο πρόγραμμα από το path που μου έδειξε. Πολύ καλό util.

Edit:
Το HijackThis το είχε βρει, αλλά δεν το είδα. Το βάζω για όποιον τυχόν κακοπέσει, να ξέρει...

O23 - Service: DirectX Service (DirectRirp) - Unknown owner - c:\windows\system32\directx.exe


Έσβησα και αυτό το service από την registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectRirp

Το msconfig έχει τρεις κενές εγγραφές τσεκαρισμένες (βλ. φωτο). Είναι ύποπτο αυτό;
Αν ανοίξεις το κλειδί στο registry θα δεις ότι πρόκειται απλά για μια κενή γραμμή, συνήθως υπόλειμμα κάποιου απεγκαταστημένου προγράμματος ή σβησμένου ιού.

Είδες που ήταν (και) σε Υπηρεσία το πρόβλημα;

Πάντως έχε το νου σου για την περίπτωση να ξαναεμφαντεί η υπηρεσία που σημαίνει ότι τρέχει και (από) κάπου αλλού ;)

Οχι το Kaspersky το Trial Version το ORIGINAL με 26e τον χρόνο
εχει διαφορά και βρίσκει τα πάντα, καναμε πειράματα σε εργαστήριο με πολιμορφικους ιους, βρίσκει ιους που δεν βρίσκει το Norton...:shock: