Mi aiutate a capire che virus è?

keccoblu · 13-10-2009, 08:17

Come da titolo conosco l'esatto comportamento ma non riesco a capire di cosa si tratti.

In pratica questo virus si manifesta moltiplicando l'istanza di svchost.exe, ognuna delle quali crea una connessione ad un server smtp esterno.

La porta esterna a cui si collega è ovviamente la 25, mentre internamente inizia utilizzando la porta 1000 e moltiplicandosi utilizza la porta successiva libera, arrivando fino anche a 8-9000.

L'anitivirus installato è un escan small business, che sembra rilevare il collegamento "infetto" ma non riesce a chiudere tutte le connessioni, in quanto si riformano continuamente.

Vi allego il log di hijackthis

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.05.21, on 12/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PMObserv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\escan\EconSer.exe
c:\progra~1\escan\eConceal.exe
C:\DOCUME~1\ALLUSE~1\DATIAP~1\MICROW~1\eScanBD\avpmapp.exe
C:\PROGRA~1\eScan\TRAYCSER.EXE
C:\WINDOWS\LogWatNT.exe
C:\PROGRA~1\eScan\consctl.exe
C:\PROGRA~1\eScan\TRAYICOC.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\PROGRA~1\FILECO~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\FILECO~1\MICROW~1\Agent\MWAgent.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\KMaestro\KMaestro.exe
C:\MMaestro\BWheel35.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\EZBackitup\EZBkuptray.exe
C:\PROGRA~1\eScan\Vista\escanmon.exe
C:\Programmi\RDS\PLTBar.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programmi\NetWorx\networx.exe
C:\PROGRA~1\eScan\escanpro.exe
C:\PROGRA~1\eScan\escanpro.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &NetWorx Desk Band - {FEEA54B4-D80F-41C7-87B9-DC08E6D3255F} - C:\Programmi\NetWorx\deskband.dll
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Programmi\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\MMaestro\BWheel35.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKLM\..\Run: [NetWorx] "C:\Programmi\NetWorx\networx.exe" /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EZBack-it-up Tray Scheduler] C:\Programmi\EZBackitup\EZBkuptray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Function Palette.lnk = C:\Programmi\RDS\PLTBar.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.lanzi.com
O17 - HKLM\Software\..\Telephony: DomainName = intranet.lanzi.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.lanzi.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll
O23 - Service: Comando remoto iSeries Access per Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOCUME~1\ALLUSE~1\DATIAP~1\MICROW~1\eScanBD\avpmapp.exe
O23 - Service: eScan Client-Updater (eScan-trayicoc) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYCSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\FILECO~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: PMObserv - RICOH CO.,LTD. - C:\WINDOWS\system32\PMObserv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

--
End of file - 6855 bytes

Grazie a tutti

**Chill-Out** · 13-10-2009, 08:50

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

keccoblu · 14-10-2009, 08:03

Scusate ragazzi ma purtroppo il pc non è mio e non posso star lì troppo tempo a fare scansioni.

In ogni caso ho disattivato il ripristino ed ho fatto una scansione con malwarebytes antimalware. Ha trovato qualcosa ma non ha eliminato il problema.

Poi mi è stato detto che siccome il virus si serve del svchost dovrebbe trattarsi di un rootkit. Quindi ho fatto anche una scansione con gmer.

Vi linko i due log di hijackthis e gmer:

gmer

L'altro in allegato sul post.

Aiutatemi please.

**Chill-Out** · 14-10-2009, 08:26

Quote:

Originariamente inviato da keccoblu

Scusate ragazzi ma purtroppo il pc non è mio e non posso star lì troppo tempo a fare scansioni.

In ogni caso ho disattivato il ripristino ed ho fatto una scansione con malwarebytes antimalware. Ha trovato qualcosa ma non ha eliminato il problema.

Poi mi è stato detto che siccome il virus si serve del svchost dovrebbe trattarsi di un rootkit. Quindi ho fatto anche una scansione con gmer.

Vi linko i due log di hijackthis e gmer:

gmer

L'altro in allegato sul post.

Aiutatemi please.

In funzione degli unici due log allegati, non sono in grado di darti nessun suggerimento.

13-10-2009, 08:50	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione. Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email