ambrosa
21-03-2009, 07:07
Salve a tutti. Mi trovo a cercare qui un aiuto per conto di un amico. Io non uso più Windows da un paio d'anni (ormai uso Ubuntu per tutto) e su certe tematiche sono un può fuori dal giro.
Mi chiama un amico disperato per un problema di invio email (trojan ?).
- Intel P4 2.66 Ghz , 1 GB RAM
- Windows XP Home ITA SP3 (regolare licenza), tutti gli aggiornamenti fatti, IE7
- pochi sw installati (Office e poca altra roba)
- av Norton Internet Security (abbo in scadenza tra 10 gg)
- Outlook Express non usato: l'amico legge la posta via web con IE7. OE risulta vuoto.
Da 10 gg. Norton impazzisce analizzando centinaia di email IN USCITA dalla macchina verso improbabili indirizzi email (tipo [email protected]) e verso molti differenti SMTP server remoti. Siamo circa a 4000 email sparate fuori in pochi minuti. Il tray in basso a destra si riempie di "buste" e il sistema è talmente sovraccarico da bloccarsi.
- Scansione completa del sistema con Norton: niente
- Ripulite le TEMP con ATF-Cleaner: niente
- rimosso Norton e messo AVG 8.5 Complete Internet Security (pagato regolarmente, tanto Norton stava per scadere): niente , nessun virus , trojan, root-kit e quant'altro e continua l'invio di email: sempre migliaia in pochi minuti.
- Spybot S&D non rileva nulla
- Sophos anti-rootkit free non rileva nulla
- A-SQUARED ha rilevato "trojan.win32.tibs!ik" che ha rimosso e non si è più ripresentato.
- MalwareBytes non trova nulla
- AVIRA Rescue-CD (20-Mar-2009) non trova nulla
A questo punto volevo capire quale era il processo che inviava le email lanciando da console "netstat -nb". Scopro che è l'antivirus: "Giusto, fa lui da SMTP relay per scansire le email e quindi è lui il processo che invia email".
Quindi rimuovo AVG per cercare di arrivare alla fonte del problema
Senza antivirus nessun invio di email (?!?!)
Il mio sospetto è che l'amico abbia preso una qualche porcata, rimossa forse regolarmente dal suo Norton ma che nel frattempo prima della rimozione abbia generato migliaia di email pronte per essere spedite.
Tutte email che sono rifiutate dai server remoti e quindi rimangono dentro il PC visto che sono non-delivered. AVG e Norton si comportano come un becero SMTP relay non troppo furbo e giustamente tentano l'invio a ripetizione delle email andandole a pescare (?) da qualche cartella o spool.
Se questa ipotesi fosse corretta, dove potrebbero essere queste email in modo da poterle cancellare manualmente ? Io ho ripulito tutto e cercato in ogni dove ma non trovo nulla.
Oppure c'e' veramente un trojan ma è strano che senza antivirus che funga da SMTP relay le email non partano: tengo sotto controllo la rete con i miei sistemi di monitoraggio e senza antivirus non esce un bit.
Qualunque consiglio o idea è molto gradita :-))
Grazie a tutti per l'attenzione
Mi chiama un amico disperato per un problema di invio email (trojan ?).
- Intel P4 2.66 Ghz , 1 GB RAM
- Windows XP Home ITA SP3 (regolare licenza), tutti gli aggiornamenti fatti, IE7
- pochi sw installati (Office e poca altra roba)
- av Norton Internet Security (abbo in scadenza tra 10 gg)
- Outlook Express non usato: l'amico legge la posta via web con IE7. OE risulta vuoto.
Da 10 gg. Norton impazzisce analizzando centinaia di email IN USCITA dalla macchina verso improbabili indirizzi email (tipo [email protected]) e verso molti differenti SMTP server remoti. Siamo circa a 4000 email sparate fuori in pochi minuti. Il tray in basso a destra si riempie di "buste" e il sistema è talmente sovraccarico da bloccarsi.
- Scansione completa del sistema con Norton: niente
- Ripulite le TEMP con ATF-Cleaner: niente
- rimosso Norton e messo AVG 8.5 Complete Internet Security (pagato regolarmente, tanto Norton stava per scadere): niente , nessun virus , trojan, root-kit e quant'altro e continua l'invio di email: sempre migliaia in pochi minuti.
- Spybot S&D non rileva nulla
- Sophos anti-rootkit free non rileva nulla
- A-SQUARED ha rilevato "trojan.win32.tibs!ik" che ha rimosso e non si è più ripresentato.
- MalwareBytes non trova nulla
- AVIRA Rescue-CD (20-Mar-2009) non trova nulla
A questo punto volevo capire quale era il processo che inviava le email lanciando da console "netstat -nb". Scopro che è l'antivirus: "Giusto, fa lui da SMTP relay per scansire le email e quindi è lui il processo che invia email".
Quindi rimuovo AVG per cercare di arrivare alla fonte del problema
Senza antivirus nessun invio di email (?!?!)
Il mio sospetto è che l'amico abbia preso una qualche porcata, rimossa forse regolarmente dal suo Norton ma che nel frattempo prima della rimozione abbia generato migliaia di email pronte per essere spedite.
Tutte email che sono rifiutate dai server remoti e quindi rimangono dentro il PC visto che sono non-delivered. AVG e Norton si comportano come un becero SMTP relay non troppo furbo e giustamente tentano l'invio a ripetizione delle email andandole a pescare (?) da qualche cartella o spool.
Se questa ipotesi fosse corretta, dove potrebbero essere queste email in modo da poterle cancellare manualmente ? Io ho ripulito tutto e cercato in ogni dove ma non trovo nulla.
Oppure c'e' veramente un trojan ma è strano che senza antivirus che funga da SMTP relay le email non partano: tengo sotto controllo la rete con i miei sistemi di monitoraggio e senza antivirus non esce un bit.
Qualunque consiglio o idea è molto gradita :-))
Grazie a tutti per l'attenzione