Invio continuo email,e l'AV non rileva nulla

[Gerardover]

In primis un "salve a tutti" essendo un utente appena arrivato su questo forum.Ho effettuato numerose ricerche per vedere di venire a capo del problema che affligge il mio pc,ma sfortunatamente senza esito,mi affido a voi come ultima spiaggia.Ma andiamo per gradi:ho un pc con Windows XP Professional SP1 (la 2 mi ha creato problemi perciò come l'avevo installata,l'avevo anche rimossa).
Tutto è cominciato circa un mese fa quando ho notato che era comporsa l'icona del controllo email di Avast,benchè non stessi inviando niente.Analizzando nel dettaglio si trattava di un invio massiccio di email,facendomi pensare si trattasse di un mass mailer o giù di li.Scansione immediata con Avast ma nulla,scansione con Ad-Aware e medesimo risultato.Da li è cominciata l'epopea degli antivirus/antispyware:è stata effettuata la scansione con MicroTrend,BitDefendere,AVG Free,al momento Kaspersky abbinato a PreVX,tutte senza esito.Ho provato anche altri AS come SpyBot e Ewido/AVG ma anche in questo caso nulla.
Oltre al continuo invio di email,c'è un problema di maggiore rilevanza:dopo un tot di tempo (variabile,dai 10 minuti alle 4 ore circa) windows "congela":non si blocca nulla (eventuali scansioni o P2P procedono,l'orologio di sistema avanza) ma non è più possibile avviare qualsiasi nuovo eseguibile:nella fattispecie,si naviga in internet,la pagina si blocca durante il caricamento,si chiude IE per poi riavviarlo ma da li non si avvia più nulla,tantomeno risulta possibile terminare la sessione di wiondows,costringendomi a ricorrere al tasto reset...
Nella ricerca di informazioni su questo comportamento,avevo trovato riscontro su certi sintomi causati dai rootkit,in particolare la presenza di un "nuovo utente" sconosciuto....Seguendo le varie indicazioni comunque questo problema sembra sia stato debellato (il tool di MCAfee non trova nulla e nuovi utenti non ne sono più comparsi),ma il problema principale ancora permane.
Un'altra cosa da sottolineare è come all'avvio PreVX individui e blocchi sempre almeno un paio di malware (spesso il famigerato eraseme...ma anche qui,oltre al rilevamento all'avvio non viene trovato più niente...).Nella cartella di Windows c'è inoltre un file Macromediasensor.exe che quasi tutti gli antivirus provati individuano come probabile Trojan ma che nessuno è riuscito a eliminare,in quanto "file protetto".Nulla da fare anche con la rimozione manuale o con tool di rimozione come killbox.
Se può essere utile posto un log di HJT.
Al momento non ho un firewall attivo (e qui mi sentirò sommergere di insulti,ma i vari che ho provato andavano in conflitto con altre applicazioni,Kerio e PreVX ad esempio causavano l'istantaneo riavvio del pc.ZoneAllarm l'avevo usato in passaro con risultati analoghi....) e Kaspersky continua a segnalarmi che sta controllando email in uscita,dicendomi che sono pulite così come i loro allegati,ignorando che ne vengono inviate migliaia in pochi minuti...
Un ringraziamento a tutti del forum

[giannola]

aggiorna xp con le patch più recenti
fai una scansione online.
posta il log di hijackthis nel 3d ufficiale.

[wizard1993]

Quote:

Originariamente inviato da giannola

aggiorna xp con le patch più recenti
fai una scansione online.
posta il log di hijackthis nel 3d ufficiale.

e fai un passaggio con gmer; e rootkit unhooker

[Gerardover]

Grazie per le risposte.Gmer l'ho già utilizzato ma senza fortuna,proverò con rootkit unhooker.Per quanto riguarda le scansioni online ho eseguito quelle con Panda e Kaspersky ma entrambe hanno trovato poco,qualche tracking cookie e nulla più.Provvederò ora a passare con Unhooker e a postare il log di HJT.Grazie ancora

[Gerardover]

Logfile of HijackThis v1.99.1
Scan saved at 19.54.21, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Software Bluetooth\BTTray.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - Global Startup: BTTray.lnk = C:\Programmi\Software Bluetooth\BTTray.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1168979102796
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E80E8BD-F3F2-40BC-8231-B0FFB42A2326}: NameServer = 85.255.116.100 85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.100 85.255.112.169
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programmi\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Rilevamento Plug&Play (rltpp) - Unknown owner - C:\WINDOWS\Downlo~1\q3aqb\lj9nk.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

[giannola]

Quote:

Originariamente inviato da Gerardover

Fixa questo.

O23 - Service: Rilevamento Plug&Play (rltpp) - Unknown owner - C:\WINDOWS\Downlo~1\q3aqb\lj9nk.exe (file missing)

[wizard1993]

Quote:

Originariamente inviato da giannola

Fixa questo.

O23 - Service: Rilevamento Plug&Play (rltpp) - Unknown owner - C:\WINDOWS\Downlo~1\q3aqb\lj9nk.exe (file missing)

pienamente d'accordo

[Gerardover]

Ho provato a fixare questa voce

O23 - Service: Rilevamento Plug&Play (rltpp) - Unknown owner - C:\WINDOWS\Downlo~1\q3aqb\lj9nk.exe (file missing)

ma a un successivo scan è ancora presente.
Ho inoltre recuperato il Rootkit Unhooker,ma è abbastanza criptico per me...
Potreste darmi un indicazione riguardo a cosa prestare attenzione in una scansione con questo tool?

[giannola]

Quote:

Originariamente inviato da Gerardover

Ho provato a fixare questa voce

O23 - Service: Rilevamento Plug&Play (rltpp) - Unknown owner - C:\WINDOWS\Downlo~1\q3aqb\lj9nk.exe (file missing)

ma a un successivo scan è ancora presente.
Ho inoltre recuperato il Rootkit Unhooker,ma è abbastanza criptico per me...
Potreste darmi un indicazione riguardo a cosa prestare attenzione in una scansione con questo tool?

vuol dire che c'è un malware che ricrea quella voce.
Fai una scansione con l'antirootkit e fixa quello che ti dice di fissare.

[wizard1993]

Quote:

Originariamente inviato da Gerardover

Ho provato a fixare questa voce

O23 - Service: Rilevamento Plug&Play (rltpp) - Unknown owner - C:\WINDOWS\Downlo~1\q3aqb\lj9nk.exe (file missing)

ma a un successivo scan è ancora presente.
Ho inoltre recuperato il Rootkit Unhooker,ma è abbastanza criptico per me...
Potreste darmi un indicazione riguardo a cosa prestare attenzione in una scansione con questo tool?

hai disattivato il rispristino di configurazione di sistema?

[Gerardover]

Quote:

Originariamente inviato da wizard1993

hai disattivato il rispristino di configurazione di sistema?

Si,l'ho disattivato.L'antirootkit di McAfee non rileva nulla e con Rootkit Unhooker sono un po' in alto mare perchè non ho ben capito come utilizzarlo,o meglio,non so come inerpretarne i risultati...

[wizard1993]

Quote:

Originariamente inviato da Gerardover

Rootkit Unhooker sono un po' in alto mare perchè non ho ben capito come utilizzarlo,o meglio,non so come inerpretarne i risultati...

non sei l'unico

[giannola]

Quote:

Originariamente inviato da Gerardover

Si,l'ho disattivato.L'antirootkit di McAfee non rileva nulla e con Rootkit Unhooker sono un po' in alto mare perchè non ho ben capito come utilizzarlo,o meglio,non so come inerpretarne i risultati...

prova avg antirootkit beta e ci dici come funzia.
Semplice è semplice premi un tasto e lui controlla tutto poi l'altro tasto se vuoi riparare.

[Gerardover]

Quote:

Originariamente inviato da giannola

prova avg antirootkit beta e ci dici come funzia.
Semplice è semplice premi un tasto e lui controlla tutto poi l'altro tasto se vuoi riparare.

Ok,proverò l'antirootkit di AGV.Mi è sorto anche un dubbio di carattere "teorico" sui rootkit:se i malware che utilizzano questa metodologia fanno della capacità di nascondersi praticamente a tutto la loro arma principale,non sarebbe ,in un certo senso, controproducente per loro che inviino email quando questo processo viene facilmente rilevato dagli antvirus?Nel senso,un invio occasionale sarebbe tranquillamente confuso con l'utilizzo convenzionale della posta elettronica,ma un invio così massiccio sarebbe sicuramente una cartina tornasole della loro presenza.Dopo andare a trovare dove si annidano e trovare un modo efficace per eliminarli è un'altro paio di maniche...però già sapere che una minaccia c'è è sicuramente un vantaggio per chi deve debellarla...

[bReAkDoWn]

Quote:

Originariamente inviato da Gerardover

Ok,proverò l'antirootkit di AGV.Mi è sorto anche un dubbio di carattere "teorico" sui rootkit:se i malware che utilizzano questa metodologia fanno della capacità di nascondersi praticamente a tutto la loro arma principale,non sarebbe ,in un certo senso, controproducente per loro che inviino email quando questo processo viene facilmente rilevato dagli antvirus?Nel senso,un invio occasionale sarebbe tranquillamente confuso con l'utilizzo convenzionale della posta elettronica,ma un invio così massiccio sarebbe sicuramente una cartina tornasole della loro presenza.Dopo andare a trovare dove si annidano e trovare un modo efficace per eliminarli è un'altro paio di maniche...però già sapere che una minaccia c'è è sicuramente un vantaggio per chi deve debellarla...

Hai ragione, dovresti chiederlo a chi ha scritto quel malware in particolare.. Non sono sarcastico.. sono serio
A parte questo, se vuoi postare i due log di gmer autorun e rootkit, gli diamo un'occhiata e possiamo consigliarti più precisamente come muoverti.
Ciao!

[giannola]

Quote:

Originariamente inviato da Gerardover

Ok,proverò l'antirootkit di AGV.Mi è sorto anche un dubbio di carattere "teorico" sui rootkit:se i malware che utilizzano questa metodologia fanno della capacità di nascondersi praticamente a tutto la loro arma principale,non sarebbe ,in un certo senso, controproducente per loro che inviino email quando questo processo viene facilmente rilevato dagli antvirus?Nel senso,un invio occasionale sarebbe tranquillamente confuso con l'utilizzo convenzionale della posta elettronica,ma un invio così massiccio sarebbe sicuramente una cartina tornasole della loro presenza.Dopo andare a trovare dove si annidano e trovare un modo efficace per eliminarli è un'altro paio di maniche...però già sapere che una minaccia c'è è sicuramente un vantaggio per chi deve debellarla...

gli usi che si possono fare del malware sono molteplici.

Generalmente sarebbe possibile che un virus (chiamiamolo così per semplicità) resti ibernato per un certo tempo e poi si attivi incasinando li pc (rinominando files, ecc).
Oppure che il virus sia attivo ma nascosto e che prenda nota delle attività dell'utente, poi quando ha analizzato abbastaza magari spedisce delle mail ad indirizzi che il pirata sia in grado di utilizzare senza essere scoperto.
Oppure ancora può essere che il virus abbia preparato il campo per un'attacco ddos o per massmailing (avendo un timer sincronizzato con altri virus di migliaia di computer) in modo da destabilizzare la rete.

Queste sono solo alcuni dei possibili usi che si possono fare.
Dipende molto dagli scopi dei creatori.

questo anche per dire che anche se viene scoperto potrebbe semplicemente aver potato a termine il suo scopo.

[wizard1993]

Quote:

Originariamente inviato da giannola

gli usi che si possono fare del malware sono molteplici.

Generalmente sarebbe possibile che un virus (chiamiamolo così per semplicità) resti ibernato per un certo tempo e poi si attivi incasinando li pc (rinominando files, ecc).
Oppure che il virus sia attivo ma nascosto e che prenda nota delle attività dell'utente, poi quando ha analizzato abbastaza magari spedisce delle mail ad indirizzi che il pirata sia in grado di utilizzare senza essere scoperto.
Oppure ancora può essere che il virus abbia preparato il campo per un'attacco ddos o per massmailing (avendo un timer sincronizzato con altri virus di migliaia di computer) in modo da destabilizzare la rete.

Queste sono solo alcuni dei possibili usi che si possono fare.
Dipende molto dagli scopi dei creatori.

questo anche per dire che anche se viene scoperto potrebbe semplicemente aver potato a termine il suo scopo.

o potrebbe essere un deficentissimo retro virus creato per windows 2000 che non usa nessuna tecnica moderna; ma so9lo tecniche alemtne vecchie da non rientrare più negli schemi di analisi dei software antivirali

[Gerardover]

Grazie per le spiegazioni "teoriche"!
Tornando invece alla "pratica",ho fatto lo scan con l'AVG antirootkit ,il quale ha trovato lzx32.sys
Cercando in rete questo file è direttamente correlato al rootkit Rustock.Ho eseguito le varie operazioni per eliminarlo,prima dal tool e poi andando ad eliminare il servizio pe386.L'unica cosa che non mi fa dormire sonni tranquilli riguardo la sua totale rimozione è che negli altri casi di infezione di cui ho letto esso era sempre accompagnato dal file winsys.exe,file che invece io non ho trovato,così come non sono state individuate le chiavi di registro che avrebbero dovuto essere cancellate...Ritengo comunque che ci sia la possibilità che esse siano state rimosse già dall'antirootkit,ma non ne sono proprio sicurissimo...

[wizard1993]

Quote:

Originariamente inviato da Gerardover

Grazie per le spiegazioni "teoriche"!
Tornando invece alla "pratica",ho fatto lo scan con l'AVG antirootkit ,il quale ha trovato lzx32.sys
Cercando in rete questo file è direttamente correlato al rootkit Rustock.Ho eseguito le varie operazioni per eliminarlo,prima dal tool e poi andando ad eliminare il servizio pe386.L'unica cosa che non mi fa dormire sonni tranquilli riguardo la sua totale rimozione è che negli altri casi di infezione di cui ho letto esso era sempre accompagnato dal file winsys.exe,file che invece io non ho trovato,così come non sono state individuate le chiavi di registro che avrebbero dovuto essere cancellate...Ritengo comunque che ci sia la possibilità che esse siano state rimosse già dall'antirootkit,ma non ne sono proprio sicurissimo...

fai un passaggio con f-secure black light e con a-squared free edition aggiornati

[giannola]

Quote:

Originariamente inviato da Gerardover

Grazie per le spiegazioni "teoriche"!
Tornando invece alla "pratica",ho fatto lo scan con l'AVG antirootkit ,il quale ha trovato lzx32.sys
Cercando in rete questo file è direttamente correlato al rootkit Rustock.Ho eseguito le varie operazioni per eliminarlo,prima dal tool e poi andando ad eliminare il servizio pe386.L'unica cosa che non mi fa dormire sonni tranquilli riguardo la sua totale rimozione è che negli altri casi di infezione di cui ho letto esso era sempre accompagnato dal file winsys.exe,file che invece io non ho trovato,così come non sono state individuate le chiavi di registro che avrebbero dovuto essere cancellate...Ritengo comunque che ci sia la possibilità che esse siano state rimosse già dall'antirootkit,ma non ne sono proprio sicurissimo...

c'è un articolo che spiega quali sono le voci sospette:
http://www.megalab.it/articoli.php?id=943