PDA

View Full Version : Infezione Profonda - 31.170.178.2 - sniffing traffico in corso


arkhan1
12-02-2013, 23:08
Salve a tutti,

Credo (ne sono praticamente sicuro) di essere infettato da un malware, sono 2 settimane che cerco di liberarmene ma non ci riesco, come ultimo tentativo, faccio appello a qualche professionisti del settore per cercare di vincere questa sfida...

Il mio traffico viene rediretto in Repub Ceca, me ne sono accorto guardando i banner pub nei siti che comparivano in lingua ceca ed avevo una connessione lentissima.

Ho verificato con "netstat -anob" la presenza di porte anomale e con VisualRout ho verificato che 31.170.178.2 punta in Rep.Ceca.


WHOIS Lookup result of 31.170.178.2



% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '31.170.178.0 - 31.170.179.255'

inetnum: 31.170.178.0 - 31.170.179.255
netname: GRANSY
descr: Gransy s.r.o.
country: CZ
admin-c: MS1962-RIPE
tech-c: DR4240-RIPE
status: ASSIGNED PA
mnt-by: MNT-2CONNECT
source: RIPE # Filtered

person: Daniel Rimal
address: Vysokoskolska 142, Praha 6, 160 00
phone: +420 246083380
nic-hdl: DR4240-RIPE
source: RIPE # Filtered
mnt-by: MNT-2CONNECT

person: Martin Semrad
address: Nad Vypusti 142
address: Praha 4
address: 149 00
address: The Czech Republic
phone: +420.246083111
nic-hdl: MS1962-RIPE
mnt-by: MNT-2CONNECT
source: RIPE # Filtered

% Information related to '31.170.176.0/21AS35236'

route: 31.170.176.0/21
descr: 2 connect a.s.
origin: AS35236
mnt-by: MNT-2CONNECT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.51.1 (WHOIS1)



Qualsiasi programma accede ad internet: Skype Chrome IE apre decine di connessioni.

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
RpcSs
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING 2284
[vmware-authd.exe]
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING 2284
[vmware-authd.exe]
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1400
CryptSvc
[svchost.exe]
TCP 0.0.0.0:8081 0.0.0.0:0 LISTENING 1928
[FrameworkService.exe]
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 560
[wininit.exe]
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 1016
eventlog
[svchost.exe]
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 1112
Schedule
[svchost.exe]
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 608
[services.exe]
TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING 624
[lsass.exe]
TCP 10.66.175.228:49503 74.125.134.125:5222 ESTABLISHED 4452
[googledrivesync.exe]
TCP 10.66.175.228:49506 31.170.178.2:8080 CLOSE_WAIT 4452
[googledrivesync.exe]
TCP 10.66.175.228:49516 31.170.178.2:8080 CLOSE_WAIT 4452
[googledrivesync.exe]
TCP 10.66.175.228:51946 31.170.178.2:8080 CLOSE_WAIT 4452
[googledrivesync.exe]
TCP 10.66.175.228:53724 31.170.178.2:8080 CLOSE_WAIT 6256
[iexplore.exe]
TCP 10.66.175.228:53725 31.170.178.2:8080 CLOSE_WAIT 6256
[iexplore.exe]
TCP 10.66.175.228:53727 31.170.178.2:8080 CLOSE_WAIT 6256
[iexplore.exe]
TCP 10.66.175.228:53975 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53978 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53979 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53984 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53992 31.170.178.2:8080 CLOSE_WAIT 3460
[GoogleCalendarSync.exe]
TCP 10.66.175.228:54042 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54043 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54045 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54046 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54047 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54048 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54049 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54050 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54051 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54054 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54055 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54058 31.170.179.179:80 TIME_WAIT 0
TCP 10.66.175.228:54059 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54060 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54061 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54062 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54063 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54064 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54065 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54066 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54067 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54068 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54069 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 192.168.32.1:139 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 192.168.219.1:139 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP [::]:135 [::]:0 LISTENING 884
RpcSs

Ad-Aware, Malwarebyte, McAfee, Panda (online) e qualcun altro che non ricordo non hanno trovato niente.

L'analisi con Wireshark mi mostra il traffico in uscita/ingresso verso questo ip ma non ne riesco a trarre elementi utili per capire come intervenire.

Il punto di ripristino di windows ad una data antecedente al problema non ha risolto la questione.

Il firewall di windows č corrotto e la funzione di ripristino non funziona.




A questo punto...ditemi voi...

Grazie
Saluti

arkhan1
12-02-2013, 23:12
Aggiungo:

Che dopo l'aggiornamento di Java, quello critico anticipato da Oracle, avevo avuto l'impressione che il problema si fosse risolto, invece no...

arkhan1
12-02-2013, 23:19
Aggiungo:

spesso ricevo da google il messaggio:
Google siamo spiacenti… ma il tuo computer o la tua rete potrebbe inviare query automatiche

Chill-Out
13-02-2013, 16:28
Fai un controllo con HitmanPro >> Vedi http://www.hwupgrade.it/forum/showthread.php?t=2539794

>>> Come allegare un log http://www.hwupgrade.it/forum/showthread.php?t=1751598

arkhan1
13-02-2013, 22:38
Fatto....nessuna minaccia trovata...