[risolto][Win XP] rootkit spambot non identificato

[cionci]

Mi trovo a combattere un qualche spambot cazzuto. Non riesco a trovare servizi strani in esecuzione, HijackThis mi sembra normale. è stata fatta una passata con SpyBot S&D e con a-squared. L'antivirus è Avast.
Le scansioni precedenti hanno permesso di rimuovere diversi trojan, ma rimane questo spambot che in 10 minuti fa 50000 connessioni a server smtp.
Ho bloccato la porta 25 in uscita sul router altrimenti mi saturava le connessioni half-opened del router.

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 15.17.01, on 21/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvp2pmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Elisa\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [PCMCIA Resource Monitor] nvp2pmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203587876718
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Internet Connection Sharing Firewall Service (AccessSharing) - Unknown owner - C:\WINDOWS\system\wcntfysvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Con TCPView riesco a vedere il processo che effettua le connessioni: è Services.exe, quindi è un file di sistema:

services.exe:912 TCP acer-tw3wejb7nt:11652 acer-tw3wejb7nt:0 LISTENING
services.exe:912 TCP acer-tw3wejb7nt.cionci:11652 server57.appriver.com:smtp SYN_SENT
services.exe:912 TCP acer-tw3wejb7nt:11653 acer-tw3wejb7nt:0 LISTENING
services.exe:912 TCP acer-tw3wejb7nt.cionci:11653 mxlb.ispgateway.de:smtp SYN_SENT
services.exe:912 TCP acer-tw3wejb7nt:11654 acer-tw3wejb7nt:0 LISTENING
services.exe:912 TCP acer-tw3wejb7nt.cionci:11654 mail.mx4.compuserve.com:smtp SYN_SENT

Qualcuno ha qualche idea su come individuarlo ?

[cionci]

Avevo fatto male la ricerca
http://www.hwupgrade.it/forum/showthread.php?t=1669008

[cionci]

Però sul sistema quei due file .sys non ci sono

[deneb87]

ciao

mi dispiace ma fino a quando non aggiorni il sistema operato installando la Service Pack 2 (e i relativa 90 e passi aggiornamenti sucessivi compreso IE7) non riceverai assistenza, in quanto.. tempo un paio di ore e ti infetti nuovamente

aggiorna e poi posta i log freschi freschi della guida alla disinfezione

ciau

[cionci]

Posto che il PC non è il mio Volevo aggiornare dopo aver rimesso a posto tutto, anche perché il sistema aveva anche altri problemi.
In teoria ora sembra tutto ok, tranne per quel problema con lo spambot. Stai sicuro che ora che è in mano mia il sistema non si infetta

[deneb87]

provvedi ad aggiornare e forse il problema si risolve

non sarebbe male sostituire avast con avira (www.free-av.com)
anche un giretto su www.secunia.com (ho visto alcuni soft vecchiotti)

buona fortuna

[cionci]

Quote:

Originariamente inviato da deneb87

provvedi ad aggiornare e forse il problema si risolve

Prima il sistema era instabile, mi si è piantato l'aggiornamento al SP2 per 3 volte, per questo speravo di risolvere prima anche questo problema. In ogni caso bloccando la porta 25 sul router sembra molto più stabile, ora provo.

[cionci]

Ho aggiornato ed il problema è rimasto.
Sembra che sia un rootkit, almeno da quanto dicono Gmer e CSI.
Allego il log di CSI.

Questo computer era affetto dagli stessi sintomi del thread che ho linkato sopra, ma sembra che il problema sia leggermente diverso oppure ce n'è più di uno di rootkit.

http://rapidshare.com/files/93751904/CSI.zip.html

[deneb87]

Quote:

Originariamente inviato da cionci

Ho aggiornato ed il problema è rimasto.
Sembra che sia un rootkit, almeno da quanto dicono Gmer e CSI.
Allego il log di CSI.

Questo computer era affetto dagli stessi sintomi del thread che ho linkato sopra, ma sembra che il problema sia leggermente diverso oppure ce n'è più di uno di rootkit.

http://rapidshare.com/files/93751904/CSI.zip.html

i log andrebbero allegati alla discussione non zippati utilizzando il servizio www.fileup.itadib.com

[cionci]

log PrevX CSI
log gmer

[deneb87]

Quote:

Originariamente inviato da cionci

log PrevX CSI
log gmer

confermo il pc è pieno di rootkit
utilizza questi programmi e posta il report:

Panda Antirootkit
http://research.pandasoftware.com/bl...ntiRootkit.zip

scansione con Dr.Web Cure it

[cionci]

Ho fatto una scansione con nanoscan, ma non ha trovato niente, ora provo con Dr.Web Cure it.

[deneb87]

Quote:

Originariamente inviato da cionci

Ho fatto una scansione con nanoscan, ma non ha trovato niente, ora provo con Dr.Web Cure it.

nanoscan non serve, quasi, a niente

utilizza quei due programmi

[cionci]

Intanto allego il report di Panda, non ho corretto perché me lo rileva come sconosciuto.
Clicca qui per scaricare

Per l'altro dopo cena...grazie

[deneb87]

Quote:

Originariamente inviato da cionci

Intanto allego il report di Panda, non ho corretto perché me lo rileva come sconosciuto.
Clicca qui per scaricare

Per l'altro dopo cena...grazie

non hai corretto in che senso?
I rootkit sono da eliminare

vediamo cosa sistema drweb
scansioni antivirus ne hai fatto? se no vai con bitdefender online

poi un altra scansione con prevxcsi

se non si risolve io direi di provare con la trial di kaspersky
prima direi di sentire il parere dei soci

[cionci]

Non ho corretto perché non riconosceva tutti i file, ma solo il file Vcbp29 e gli dava il nome "unknown".
DrWeb mi ha crashato il sistema con una schermata blu, ora riavvio.

[cionci]

Niente...DrWeb mi crasha tutto, schermata blu con scritto: "il sistema è stato arrestato per impedire che fossero causati danni".
Ci sta che sia perché è su FAT32 ?
Ora faccio un in-depth scan con Panda...

[cionci]

BitDefender non ha trovato il rootkit, ha solo cancellato i resti dei trojan che erano rimasti a giro.

[xcdegasp]

prova VirIT light explorer dovrebbe darci qualcosa di utile

se puoi intanto installa su quel pc Online Armor così possiamo meglio capire che interazioni ci sono nel sistema:
http://www.download.com/Online-Armor...=uo&tag=button
questa è la free

potresti anche già fare la scansione con http://noahdfear.geekstogo.com/FindAWF.exe e vediamo se hai le directories bak

[Chill-Out]

Non capito se i servizi identificati come Rootkit da Gmer sono stati falciati da Gmer stesso (DELETE SERVICE)