Anomalie, non so da dove iniziare...

[RaouL_BennetH]

Buonasera a tutti

Mi spiace essere stato così poco indicativo nel titolo ma il fatto è che non so se ho un'infezione o meno.

Allora, da stamattina non riuscivo più a collegarmi al server remoto.
La connessione avviene tramite un banale telnet. Il messaggio di errore che ricevo è:

Codice:

Impossibile aprire una connessione con l'host sulla porta 23.
Impossibila caricare o inizializzare il provider del servizio richiesto

All'inizio ho pensato che fosse un problema dovuto all'assenza di connessione dall'altro lato (lato server) ma, il mio collega dal suo pc invece si collegava tranquillamente.

Ho controllato quindi il cavetto di rete, le impostazioni di rete, tutto normale.
Vado su internet, scarico e invio la posta etc..

Ho cominciato quindi a pensare che ci fosse qualcosa con le impostazioni di rete che non andasse bene, e quindi ho fatto le varie procedure di ripristino, pulizia cache et similia..

Poi mi son iniziati i dubbi:

Ho fatto una passata di avira, nessun risultato
Hijack this, niente di anomalo

poi.. e qui iniziano davvero le stranezze, provo ad eseguire MalwareBytes e non parte: nessun messaggio, nessun errore, semplicemente, non viene neanche eseguito.

Lo disinstallo, lo riscarico e lo reinstallo, niente, stesso risultato (ho provato anche in modalità provvisoria)

Provo a lanciare un netstat e noto che mi da una serie di connessioni tcp established ma non riesco a vedere gli indirizzi ip, come se fossero "oscurati".

Per fugare altri miei dubbi, ho provato a lanciare telnet o connessioni ssh verso altri server aziendali, ma ricevo sempre gli stessi messaggi.

Ho provato anche a risolvere con il tool della microsoft "fix it" per ripristinare tutte le configurazioni di winsock a livello di chiavi di registro ma niente.

Sono quindi nelle vostre mani e attendo con ansia un vostro responso.

Grazie a tutti

RaouL.

[RaouL_BennetH]

Leggendo le guide in rilievo sono giunto a questo punto:


1) PrevX non rileva nessuna infezione

2) Per far partire MalwareBytes l'ho rinominato in pippo.exe ed è partito.

Ho fatto la scansione completa ma non rileva nulla.

Allo stato attuale, il pc si collega ad internet, legge e scarica regolarmente la posta elettronica.

Qualsiasi cosa invece inerente al ping o al telnet, non funziona.

Per essere sicuro che non fosse un problema di configurazione, ho preso anche il file in c:\windows\system32\drivers\etc\hosts da un altro pc e l'ho sostituito.

Nada de nada

[RaouL_BennetH]

Inizia a venir fuori qualcosa:

gmer mi ha segnalato un file sospetto "mouclass.sys" . Girovagando in rete, mentre ripassavo malwarebytes, ho trovato che è legato al trojan Alureon.

Finita la scansione malwarebytes mi ha segnalato anche lui tre infezioni con il nome Alureon. Li ho selezionati e rimossi. Mi ha chiesto di riavviare il sistema e l'ho fatto, ma l'infezione a quanto pare è ancora presente

Edit: piccola dimenticanza:

se provo a fare scansioni on line con tools tipo hitman pro, f-secure, non si avviano. Nel caso di hitman pro mi dice addirittura che non c'è connessione ad internet.

[RaouL_BennetH]

eccolo qui:

http://www.brighthub.com/internet/go...les/66090.aspx

[RaouL_BennetH]

Sono riuscito a risolvere il problema, spero tanto che possa servire a qualcun altro:

ho scaricato un altro dei tools presenti sulle guide ufficiali della sezione, tdsskiller.

Ho eseguito la scansione e in c:\windows\system32\drivers\

mi ha trovato ben 14 file infetti. Ho lasciato l'azione di default per ogni voce: "Cure", mi ha chiesto di riavviare, l'ho fatto, ed ora tutto rifunziona perfettamente.