Infezione che usa COM+ ?!?!?!?!

Nockmaar · 09-05-2008, 09:30

Alla fine anche io ho dovuto capitolare e chiedere aiuto per la rimozione di un malware ( worm, trojan, rootkit... ai posteri l' ardua sentenza )...

La faccio breve: kaspersky mi becca una infinità di messaggi di spam con una variante del Trojan-Spy.HTML.Fraud.gen.

Il problema è che non sono infetto con quel trojan, bensì sto mandando messaggi di spam in giro con quel trojan nel corpo delle email. Me ne sono accorto perché vedo parecchie connessioni verso un SMTP server che ovviamente non dovrebbero esserci.

E chi è che si connette a quel SMTP e manda le email? Qui sta il problema: svchost -k DcomLaunch. Ovviamente questo è un processo di sistema ( Utilità di avvio processo server DCOM ) che fa partire tutti gli oggetti COM+ che servono, il problema è che tra quelli c' è anche questo figlio di buona donna.

Qualcuno ha già avuto a che fare con questo? L' alternativa è spulciarmeli tutti sperando di trovare il responsabile...

P.S.

Tenete conto che:

1) Non posso fare prove real time perché sto in ufficio
2) Hijackthis come prevedibile non è granché utile

juninho85 · 09-05-2008, 09:39

più che hijackthis in questi casi sarebbe utile vedere,con gmer o process explorer,quali dll/exe vengono caricati sotto svchost.exe

Nockmaar · 09-05-2008, 10:59

Quote:

Originariamente inviato da juninho85

più che hijackthis in questi casi sarebbe utile vedere,con gmer o process explorer,quali dll/exe vengono caricati sotto svchost.exe

Process Explorer non mi è stato molto utile. Proverò con gmer appena possibile.

juninho85 · 09-05-2008, 11:01

Quote:

Originariamente inviato da Nockmaar

Process Explorer non mi è stato molto utile. Proverò con gmer appena possibile.

devi metterti a video glio svchost uno alla volta e "a naso" notare quali componenti sospetti vengono caricati
a meno che non si tratti di un rootkit(dovrebbe esserlo comunque)gmer non segnalerà nulla di sua iniziativa

**Chill-Out** · 09-05-2008, 11:37

Utile anche un log del tool indicato al punto 6 della presente Guida

09-05-2008, 09:30	#1
Nockmaar Senior Member Iscritto dal: Sep 2005 Città: Roma Messaggi: 1609	Infezione che usa COM+ ?!?!?!?! Alla fine anche io ho dovuto capitolare e chiedere aiuto per la rimozione di un malware ( worm, trojan, rootkit... ai posteri l' ardua sentenza )... La faccio breve: kaspersky mi becca una infinità di messaggi di spam con una variante del Trojan-Spy.HTML.Fraud.gen. Il problema è che non sono infetto con quel trojan, bensì sto mandando messaggi di spam in giro con quel trojan nel corpo delle email. Me ne sono accorto perché vedo parecchie connessioni verso un SMTP server che ovviamente non dovrebbero esserci. E chi è che si connette a quel SMTP e manda le email? Qui sta il problema: svchost -k DcomLaunch. Ovviamente questo è un processo di sistema ( Utilità di avvio processo server DCOM ) che fa partire tutti gli oggetti COM+ che servono, il problema è che tra quelli c' è anche questo figlio di buona donna. Qualcuno ha già avuto a che fare con questo? L' alternativa è spulciarmeli tutti sperando di trovare il responsabile... P.S. Tenete conto che: 1) Non posso fare prove real time perché sto in ufficio 2) Hijackthis come prevedibile non è granché utile __________________ LaYrA-ProgRockItaliano

09-05-2008, 11:37	#5
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Utile anche un log del tool indicato al punto 6 della presente Guida __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 09-05-2008 alle 22:02.

09-05-2008, 09:39	#2
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	più che hijackthis in questi casi sarebbe utile vedere,con gmer o process explorer,quali dll/exe vengono caricati sotto svchost.exe

Strumenti
Mostra una versione stampabile Invia questa pagina per email