|
|
|
|
Strumenti |
13-10-2009, 08:17 | #1 |
Member
Iscritto dal: Dec 2005
Messaggi: 108
|
Mi aiutate a capire che virus è?
Come da titolo conosco l'esatto comportamento ma non riesco a capire di cosa si tratti.
In pratica questo virus si manifesta moltiplicando l'istanza di svchost.exe, ognuna delle quali crea una connessione ad un server smtp esterno. La porta esterna a cui si collega è ovviamente la 25, mentre internamente inizia utilizzando la porta 1000 e moltiplicandosi utilizza la porta successiva libera, arrivando fino anche a 8-9000. L'anitivirus installato è un escan small business, che sembra rilevare il collegamento "infetto" ma non riesce a chiudere tutte le connessioni, in quanto si riformano continuamente. Vi allego il log di hijackthis Codice:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18.05.21, on 12/10/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\PMObserv.exe C:\WINDOWS\system32\spoolsv.exe c:\progra~1\escan\EconSer.exe c:\progra~1\escan\eConceal.exe C:\DOCUME~1\ALLUSE~1\DATIAP~1\MICROW~1\eScanBD\avpmapp.exe C:\PROGRA~1\eScan\TRAYCSER.EXE C:\WINDOWS\LogWatNT.exe C:\PROGRA~1\eScan\consctl.exe C:\PROGRA~1\eScan\TRAYICOC.EXE C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe C:\PROGRA~1\FILECO~1\MICROW~1\Agent\MWASER.EXE C:\PROGRA~1\FILECO~1\MICROW~1\Agent\MWAgent.exe C:\Programmi\Spyware Doctor\svcntaux.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UStorSrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\KMaestro\KMaestro.exe C:\MMaestro\BWheel35.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\EZBackitup\EZBkuptray.exe C:\PROGRA~1\eScan\Vista\escanmon.exe C:\Programmi\RDS\PLTBar.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\Programmi\NetWorx\networx.exe C:\PROGRA~1\eScan\escanpro.exe C:\PROGRA~1\eScan\escanpro.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll O3 - Toolbar: &NetWorx Desk Band - {FEEA54B4-D80F-41C7-87B9-DC08E6D3255F} - C:\Programmi\NetWorx\deskband.dll O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe" O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Programmi\IBM\Client Access\Emulator\pcssnd.exe" O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\MMaestro\BWheel35.exe O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKLM\..\Run: [NetWorx] "C:\Programmi\NetWorx\networx.exe" /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EZBack-it-up Tray Scheduler] C:\Programmi\EZBackitup\EZBkuptray.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Function Palette.lnk = C:\Programmi\RDS\PLTBar.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.lanzi.com O17 - HKLM\Software\..\Telephony: DomainName = intranet.lanzi.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.lanzi.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOCUME~1\ALLUSE~1\DATIAP~1\MICROW~1\eScanBD\avpmapp.exe O23 - Service: eScan Client-Updater (eScan-trayicoc) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYCSER.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\FILECO~1\MICROW~1\Agent\MWASER.EXE O23 - Service: PMObserv - RICOH CO.,LTD. - C:\WINDOWS\system32\PMObserv.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe -- End of file - 6855 bytes |
13-10-2009, 08:50 | #2 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.
Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.
__________________
Try again and you will be luckier.
|
14-10-2009, 08:03 | #3 |
Member
Iscritto dal: Dec 2005
Messaggi: 108
|
Scusate ragazzi ma purtroppo il pc non è mio e non posso star lì troppo tempo a fare scansioni.
In ogni caso ho disattivato il ripristino ed ho fatto una scansione con malwarebytes antimalware. Ha trovato qualcosa ma non ha eliminato il problema. Poi mi è stato detto che siccome il virus si serve del svchost dovrebbe trattarsi di un rootkit. Quindi ho fatto anche una scansione con gmer. Vi linko i due log di hijackthis e gmer: gmer L'altro in allegato sul post. Aiutatemi please. |
14-10-2009, 08:26 | #4 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:35.