Infezione Profonda - 31.170.178.2 - sniffing traffico in corso

arkhan1 · 12-02-2013, 23:08

Salve a tutti,

Credo (ne sono praticamente sicuro) di essere infettato da un malware, sono 2 settimane che cerco di liberarmene ma non ci riesco, come ultimo tentativo, faccio appello a qualche professionisti del settore per cercare di vincere questa sfida...

Il mio traffico viene rediretto in Repub Ceca, me ne sono accorto guardando i banner pub nei siti che comparivano in lingua ceca ed avevo una connessione lentissima.

Ho verificato con "netstat -anob" la presenza di porte anomale e con VisualRout ho verificato che 31.170.178.2 punta in Rep.Ceca.

WHOIS Lookup result of 31.170.178.2

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '31.170.178.0 - 31.170.179.255'

inetnum: 31.170.178.0 - 31.170.179.255
netname: GRANSY
descr: Gransy s.r.o.
country: CZ
admin-c: MS1962-RIPE
tech-c: DR4240-RIPE
status: ASSIGNED PA
mnt-by: MNT-2CONNECT
source: RIPE # Filtered

person: Daniel Rimal
address: Vysokoskolska 142, Praha 6, 160 00
phone: +420 246083380
nic-hdl: DR4240-RIPE
source: RIPE # Filtered
mnt-by: MNT-2CONNECT

person: Martin Semrad
address: Nad Vypusti 142
address: Praha 4
address: 149 00
address: The Czech Republic
phone: +420.246083111
nic-hdl: MS1962-RIPE
mnt-by: MNT-2CONNECT
source: RIPE # Filtered

% Information related to '31.170.176.0/21AS35236'

route: 31.170.176.0/21
descr: 2 connect a.s.
origin: AS35236
mnt-by: MNT-2CONNECT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.51.1 (WHOIS1)

Qualsiasi programma accede ad internet: Skype Chrome IE apre decine di connessioni.

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
RpcSs
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING 2284
[vmware-authd.exe]
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING 2284
[vmware-authd.exe]
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1400
CryptSvc
[svchost.exe]
TCP 0.0.0.0:8081 0.0.0.0:0 LISTENING 1928
[FrameworkService.exe]
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 560
[wininit.exe]
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 1016
eventlog
[svchost.exe]
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 1112
Schedule
[svchost.exe]
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 608
[services.exe]
TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING 624
[lsass.exe]
TCP 10.66.175.228:49503 74.125.134.125:5222 ESTABLISHED 4452
[googledrivesync.exe]
TCP 10.66.175.228:49506 31.170.178.2:8080 CLOSE_WAIT 4452
[googledrivesync.exe]
TCP 10.66.175.228:49516 31.170.178.2:8080 CLOSE_WAIT 4452
[googledrivesync.exe]
TCP 10.66.175.228:51946 31.170.178.2:8080 CLOSE_WAIT 4452
[googledrivesync.exe]
TCP 10.66.175.228:53724 31.170.178.2:8080 CLOSE_WAIT 6256
[iexplore.exe]
TCP 10.66.175.228:53725 31.170.178.2:8080 CLOSE_WAIT 6256
[iexplore.exe]
TCP 10.66.175.228:53727 31.170.178.2:8080 CLOSE_WAIT 6256
[iexplore.exe]
TCP 10.66.175.228:53975 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53978 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53979 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53984 31.170.178.2:8080 CLOSE_WAIT 6276
[iexplore.exe]
TCP 10.66.175.228:53992 31.170.178.2:8080 CLOSE_WAIT 3460
[GoogleCalendarSync.exe]
TCP 10.66.175.228:54042 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54043 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54045 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54046 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54047 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54048 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54049 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54050 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54051 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54054 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54055 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54058 31.170.179.179:80 TIME_WAIT 0
TCP 10.66.175.228:54059 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54060 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54061 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54062 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54063 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54064 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54065 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54066 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54067 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54068 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 10.66.175.228:54069 31.170.178.2:8080 ESTABLISHED 1220
[chrome.exe]
TCP 192.168.32.1:139 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 192.168.219.1:139 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP [::]:135 [::]:0 LISTENING 884
RpcSs

Ad-Aware, Malwarebyte, McAfee, Panda (online) e qualcun altro che non ricordo non hanno trovato niente.

L'analisi con Wireshark mi mostra il traffico in uscita/ingresso verso questo ip ma non ne riesco a trarre elementi utili per capire come intervenire.

Il punto di ripristino di windows ad una data antecedente al problema non ha risolto la questione.

Il firewall di windows è corrotto e la funzione di ripristino non funziona.

A questo punto...ditemi voi...

Grazie
Saluti

arkhan1 · 12-02-2013, 23:12

Aggiungo:

Che dopo l'aggiornamento di Java, quello critico anticipato da Oracle, avevo avuto l'impressione che il problema si fosse risolto, invece no...

arkhan1 · 12-02-2013, 23:19

Aggiungo:

spesso ricevo da google il messaggio:
Google siamo spiacenti… ma il tuo computer o la tua rete potrebbe inviare query automatiche

**Chill-Out** · 13-02-2013, 16:28

Fai un controllo con HitmanPro >> Vedi http://www.hwupgrade.it/forum/showthread.php?t=2539794

>>> Come allegare un log http://www.hwupgrade.it/forum/showthread.php?t=1751598

arkhan1 · 13-02-2013, 22:38

Fatto....nessuna minaccia trovata...

12-02-2013, 23:08	#1
arkhan1 Member Iscritto dal: Jan 2008 Messaggi: 40	Infezione Profonda - 31.170.178.2 - sniffing traffico in corso Salve a tutti, Credo (ne sono praticamente sicuro) di essere infettato da un malware, sono 2 settimane che cerco di liberarmene ma non ci riesco, come ultimo tentativo, faccio appello a qualche professionisti del settore per cercare di vincere questa sfida... Il mio traffico viene rediretto in Repub Ceca, me ne sono accorto guardando i banner pub nei siti che comparivano in lingua ceca ed avevo una connessione lentissima. Ho verificato con "netstat -anob" la presenza di porte anomale e con VisualRout ho verificato che 31.170.178.2 punta in Rep.Ceca. WHOIS Lookup result of 31.170.178.2 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '31.170.178.0 - 31.170.179.255' inetnum: 31.170.178.0 - 31.170.179.255 netname: GRANSY descr: Gransy s.r.o. country: CZ admin-c: MS1962-RIPE tech-c: DR4240-RIPE status: ASSIGNED PA mnt-by: MNT-2CONNECT source: RIPE # Filtered person: Daniel Rimal address: Vysokoskolska 142, Praha 6, 160 00 phone: +420 246083380 nic-hdl: DR4240-RIPE source: RIPE # Filtered mnt-by: MNT-2CONNECT person: Martin Semrad address: Nad Vypusti 142 address: Praha 4 address: 149 00 address: The Czech Republic phone: +420.246083111 nic-hdl: MS1962-RIPE mnt-by: MNT-2CONNECT source: RIPE # Filtered % Information related to '31.170.176.0/21AS35236' route: 31.170.176.0/21 descr: 2 connect a.s. origin: AS35236 mnt-by: MNT-2CONNECT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.51.1 (WHOIS1) Qualsiasi programma accede ad internet: Skype Chrome IE apre decine di connessioni. Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884 RpcSs [svchost.exe] TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 Can not obtain ownership information TCP 0.0.0.0:902 0.0.0.0:0 LISTENING 2284 [vmware-authd.exe] TCP 0.0.0.0:912 0.0.0.0:0 LISTENING 2284 [vmware-authd.exe] TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1400 CryptSvc [svchost.exe] TCP 0.0.0.0:8081 0.0.0.0:0 LISTENING 1928 [FrameworkService.exe] TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 560 [wininit.exe] TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 1016 eventlog [svchost.exe] TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 1112 Schedule [svchost.exe] TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 608 [services.exe] TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING 624 [lsass.exe] TCP 10.66.175.228:49503 74.125.134.125:5222 ESTABLISHED 4452 [googledrivesync.exe] TCP 10.66.175.228:49506 31.170.178.2:8080 CLOSE_WAIT 4452 [googledrivesync.exe] TCP 10.66.175.228:49516 31.170.178.2:8080 CLOSE_WAIT 4452 [googledrivesync.exe] TCP 10.66.175.228:51946 31.170.178.2:8080 CLOSE_WAIT 4452 [googledrivesync.exe] TCP 10.66.175.228:53724 31.170.178.2:8080 CLOSE_WAIT 6256 [iexplore.exe] TCP 10.66.175.228:53725 31.170.178.2:8080 CLOSE_WAIT 6256 [iexplore.exe] TCP 10.66.175.228:53727 31.170.178.2:8080 CLOSE_WAIT 6256 [iexplore.exe] TCP 10.66.175.228:53975 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53978 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53979 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53984 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53992 31.170.178.2:8080 CLOSE_WAIT 3460 [GoogleCalendarSync.exe] TCP 10.66.175.228:54042 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54043 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54045 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54046 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54047 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54048 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54049 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54050 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54051 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54054 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54055 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54058 31.170.179.179:80 TIME_WAIT 0 TCP 10.66.175.228:54059 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54060 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54061 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54062 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54063 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54064 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54065 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54066 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54067 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54068 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54069 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 192.168.32.1:139 0.0.0.0:0 LISTENING 4 Can not obtain ownership information TCP 192.168.219.1:139 0.0.0.0:0 LISTENING 4 Can not obtain ownership information TCP [::]:135 [::]:0 LISTENING 884 RpcSs Ad-Aware, Malwarebyte, McAfee, Panda (online) e qualcun altro che non ricordo non hanno trovato niente. L'analisi con Wireshark mi mostra il traffico in uscita/ingresso verso questo ip ma non ne riesco a trarre elementi utili per capire come intervenire. Il punto di ripristino di windows ad una data antecedente al problema non ha risolto la questione. Il firewall di windows è corrotto e la funzione di ripristino non funziona. A questo punto...ditemi voi... Grazie Saluti Ultima modifica di Chill-Out : 13-02-2013 alle 16:27. Motivo: Log rimosso non conforme alle regole di sezione

13-02-2013, 16:28	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Fai un controllo con HitmanPro >> Vedi http://www.hwupgrade.it/forum/showthread.php?t=2539794 >>> Come allegare un log http://www.hwupgrade.it/forum/showthread.php?t=1751598 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

12-02-2013, 23:12	#2
arkhan1 Member Iscritto dal: Jan 2008 Messaggi: 40	Aggiungo: Che dopo l'aggiornamento di Java, quello critico anticipato da Oracle, avevo avuto l'impressione che il problema si fosse risolto, invece no...

12-02-2013, 23:19	#3
arkhan1 Member Iscritto dal: Jan 2008 Messaggi: 40	Aggiungo: spesso ricevo da google il messaggio: Google siamo spiacenti… ma il tuo computer o la tua rete potrebbe inviare query automatiche

13-02-2013, 22:38	#5
arkhan1 Member Iscritto dal: Jan 2008 Messaggi: 40	Fatto....nessuna minaccia trovata...

Strumenti
Mostra una versione stampabile Invia questa pagina per email