Mass mailing: porte TCP impazzite!

[R1((ky]

Salve a tutti, al pc qui al lavoro sta capitando una cosa impressionante: il mio computer manda email in giro per il mondo con una frequenza impressionante. Me ne sono accorto perchè il servizio antispam del provider ha bloccato il nostro IP.

Ora installando Zone Alarm riesco ad intercettare tutte le email in uscita e a bloccarle, però il problema rimane.

Dunque, ho controllato il PC con:

HijackThis
Karspersky 6
Nod32
Avg
Avast
Spybot
Gmer
ProceXP
Zone alarm

Tutti aggiornati all'ultima versione....


Risultato: NIENTE! Pulito!

Nessuna traccia di eseguibili o dll strane, nessun servizio particolare, nessun rootkit, niente di niente.

Vedo sempre il servizio scanning Avast di email che tenta di mandare email in uscita, e zonealarm mi segnala la cosa. Ma non ho informazioni su COSA invii queste email (più di 5 al secondo)

Monitorando il traffico TCP vedo che il file c:\Windows\System32\Services.exe crea un sacco di connessioni in uscita; pensandolo un rootkit l'ho sostituito con quello di un altro pc, ma non cambia nulla.

Ora non ditemi di formattare, reinstallare service pack ecc, perchè voglio capire cosa ho senza nascondere la testa nella sabbia....

Dispongo di Windows XP SP2.

Allego un file di log di TCPView sul mio traffico TCP in uscita (notare lo scanner email di avast che tenta di spedire le email ai domini più disparati).

Questa cosa sembra abbastanza complicata, molto più evoluta dei sistemi visti fin'ora da me....


Grazie a chi mi sarà di aiuto

[xcdegasp]

spostato nella sezione corretta.

come istruzioni basi direi di leggere e seguire:
http://www.hwupgrade.it/forum/showthread.php?t=1142673

poi in base ai risultati vediamo cosa fare

ps: usa anche gmer, nel log che produce a video verifica che non ci siano righe rosse

[R1((ky]

Ehm.... ho già scritto tutto nel mio post... Gmer l'ho già usato, e anche tutte le accortezze segnalate nel post...

Secondo tutti gli antivirus risulto pulito.... il log di HijackThis se volete lo posto ma è una perdita di tempo perchè non c'è niente (non mi sto sopravvalutando ma ne capisco abbastanza). L'unica anomalia del pc sono queste connessioni TCP a IP in giro per il mondo, con il risultato che se non blocco tutto con ZoneAlarm spedisco migliaia di email dappertutto...

E la cosa brutta è che sembra che nessun processo o eseguibile faccia questo...

[lancetta]

un log di hijackthis lo posterei lo stesso con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..) e prova a fare una scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato.
anche un giro con Panda Antirootkit
decomprimi il file Zip, sul desktop
eseguilo stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

[R1((ky]

Ulteriori verifiche:

Panda Anti Rootkit: NIENTE
F-Secure Anti Rootkit: NIENTE
Sezione Ads di HijackThis: NIENTE

Il log di HijackThis è questo:

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 9.32.39, on 10/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Express ClickYes\ClickYes.exe
C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Documents and Settings\Roberto\Desktop\Tcpview.exe
C:\Documents and Settings\Roberto\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Express ClickYes] C:\Programmi\Express ClickYes\ClickYes.exe
O4 - Global Startup: Gestione servizi.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrconnect.com/main/mod/setup/ntractivex118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B38569FA-D061-4F9E-8DDB-FC02D70145E1}: NameServer = 151.99.125.1,151.99.0.100
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Curiosità rilevata: con il cavo di rete scollegato ho solo 10 processi attivi visualizzati in TcpView...non appena collego il cavo di rete mi parte qualche decina di services.exe, svchost.exe, e una marea di email in uscita nello scanner di Avast....

Boh...

[R1((ky]

BECCATO!


Ho trovato un driver xpdx.sys..... dovrebbe essere una variante del Rustock se non sbaglio...

Ora a noi 2!

[juninho85]

non sbagli

[lancetta]

Ciao scarica RegRun Reanimator http://greatis.com/reanimator.zip
Dezippa il contenuto della cartella Reanimator in una cartella dedicata avvii il file reanimator.exeClicchi su "Remove Rustock Rootkit"
Il programma ti chiederà di avviare l'utility "rootkit NO"...lo Avvii ti chiederà di riavviare il pc per rimuovere il rustock.
Dopo il riavvio il Rustock sarà eliminato usando "Partizan" che è in RegRun Reanimator, Alla fine del processo di rimozione si dovrà eliminare Partizan dal boot di windows, cliccando su Unistall Partizan.
Scarica anche Rustock Remova tool http://www.uploads.ejvindh.net/rustbfix.exe dopodichè disabilita l'antivirus ed esegui il rustbfix.exe...se trova l'infezione ti chiederà di riavviare il pc
P.S.probabilmente il pcr si riavvierà due volte una dopo l'altra, è normale.

[R1((ky]

Grazie ma avevo già fatto con il buon RootKit Revealer + The Avenger, le cose fatte a mano sono sempre le migliori .... avevo provato anche gli antirootkit di AVG + Sophos, e rustbfix.exe, ma nessuno lo vedeva, deve essere stata qualche variante modificata....

[lancetta]

Quote:

Originariamente inviato da R1((ky

Grazie ma avevo già fatto con il buon RootKit Revealer + The Avenger, le cose fatte a mano sono sempre le migliori .... avevo provato anche gli antirootkit di AVG + Sophos, e rustbfix.exe, ma nessuno lo vedeva, deve essere stata qualche variante modificata....

Effettivamente sì comunque meglio così.

Saluti