www.MegaLab.it

da **Guercio** » dom apr 06, 2008 1:10 pm

Ciao a tutti [:)]

.. da stamattina è apparsa nella taskbar dell'avvio veloce l'icona di "Avast mail scanner" che sta controllando la posta in uscita.. MA io non ho configurato Outlook (o client simili) per il controllo della posta poichè utilizzo il servizio webmail, nè tantomeno ho modificato la configurazione di avast recentemente.
In più, cosa fondamentale, il mittente e destinatario di queste mail sono indirizzi "strani" e a me sconosciuti, come potrete vedere dall'immagine allegata.

Cosa ho beccato?? Sapreste aiutarmi.

Grazie a tutti [^]

da **Edain** » dom apr 06, 2008 1:34 pm

temo ci sia uno spyware, fai la scansione con hijackthis e posta il log.

da **Guercio** » dom apr 06, 2008 2:08 pm

Ciao Edain, grazie per la risposta [^]

Comunque nel frattempo ho fatto una scansione all'avvio con Avast ma non ha trovato alcun file infetto... poi ho fatto una scansione in modalità provvisoria con "SUPERAntiSpyware Professional" e ha mi riportato:

- Trojan.Unclassified-Packed/Suspicious = 5 items
- Rootkit.Runtime3/Mutant = 7 items
- Adware.Tracking Cookie = 129 items

Ho fatto la pulizia e riavviato il pc, all'accensione si è presentato questo avviso:

Immagine

Il log di hijackthis (dopo le due scansioni) :

Logfile of HijackThis v1.99.1
Scan saved at 15.10.32, on 06/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Salvataggio C\Downloads\Archives\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PATHPILOT] C:\Programmi\Smart Sound Recorder\RecSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programmi\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F57DB5A-0857-4BB9-9A81-D7CAD27A4F01}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

da **crazy.cat** » dom apr 06, 2008 2:32 pm

Io mi preoccuperei che avast non abbia visto tutta questa roba

Guercio ha scritto:- Trojan.Unclassified-Packed/Suspicious = 5 items
- Rootkit.Runtime3/Mutant = 7 items

Hijackthis è pulito.
Come va adesso con le mail fuggiasche?

da **Guercio** » dom apr 06, 2008 2:51 pm

Si crazy.cat anche a me ha destato preoccupazione Avast nel non rilevare quei file infetti.. molto strano [8)]

Comunque dopo il riavvio del pc l'Avast mail scanner non compare più e quindi credo che il problema sia stato risolto, almeno parzialmente.. ma l'avviso del "SUPERAntiSpyware Professional" sul file "WLCTRL32.DLL" segnala la presenza di un Rootkit?? Come faccio ad eliminarlo??

Grazie ancora per l'assistenza [^]

da **crazy.cat** » dom apr 06, 2008 2:58 pm

E' una qualche schifezza
http://www.prevx.com/filenames/X3479589 ... 2.DLL.html

Usa unlocker per cancellare il file.

da **Guercio** » dom apr 06, 2008 3:09 pm

crazy.cat ha scritto:Usa unlocker per cancellare il file.

Ho provato a cercare il file WLCtrl32.dll in system32 ma senza ottenere risultato.. vuol dire che si è cancellato ed è tutto ok, o devo fare altro?? [8)]

da **The King of GnG** » dom apr 06, 2008 4:47 pm

Ah bella, mi sa che hai il PC "zombificato" in una botnet, usato dal malware come vettore di posta spazzatura....

da **crazy.cat** » dom apr 06, 2008 4:50 pm

scarica gmer http://www.gmer.net/gmer.zip e vedi se ottieni qualche voce in rosso o hiden che indichi dei rootkit

da **Guercio** » dom apr 06, 2008 5:17 pm

crazy.cat ti allego uno screen con il risultato di gmer.. fammi sapere [^]

The King of GnG non mettermi paura [:D]

da **The King of GnG** » dom apr 06, 2008 5:22 pm

Guercio ha scritto:The King of GnG non mettermi paura

Paura? No, non è questo il punto. L'allarme scattato con Avast - "troppe mail nell'arco temporale" - indica chiaramente che non hai più il controllo del PC.ù

Paura per cosa poi? E' un malware, si batte. Se poi tu sei il tipo che dice "non faccio backup, tanto questo non capita certo a me!", beh, trai le tue dovute conclusioni e comincia a backuppure continuamente, regolarmente, abbondantemente. Sicuramente XD

da **Guercio** » dom apr 06, 2008 5:26 pm

The King of GnG ha scritto:Paura per cosa poi? E' un malware, si batte. Se poi tu sei il tipo che dice "non faccio backup, tanto questo non capita certo a me!", beh, trai le tue dovute conclusioni e comincia a backuppure continuamente, regolarmente, abbondantemente. Sicuramente XD

Il problema dell'allarme "Avast mail scanner" non si presenta più per fortuna, quindi credo che, anche se parzialmente, qualcosa si sia risolto.. comunque sono il tipo che non usa backup [cry]

Aspetto il controllo del log di gmer [^]

da **crazy.cat** » dom apr 06, 2008 5:52 pm

Guercio ha scritto:Aspetto il controllo del log di gmer

Pulito.

da **Guercio** » dom apr 06, 2008 5:59 pm

Ok

Grazie mille crazy.cat e tutti gli altri che sono intervenuti per aiutarmi [^]

... come sempre un grande forum [;)]

da **Guercio** » lun apr 07, 2008 11:25 am

Il problema con il rootkit sembra non essere risolto, ho effettuato un'ulteriore scansione completa con SUPERAntiSpyware Professional e questo è il risultato:

Rootkit.Runtime3/Mutant = 1 item
C:\SYSTEM VOLUME INFORMATION\_RESTORE{264C37D2-7A7F-4549-B2AA-149ADD7FAE0C}\RP284\A0041887.SYS

Trojan.Unclassified-Packed/Suspicious = 1 item
C:\SYSTEM VOLUME INFORMATION\_RESTORE{264C37D2-7A7F-4549-B2AA-149ADD7FAE0C}\RP285\A0041905.DLL

Cosa mi consigliate di fare??? [uhm]

da **ste_95** » lun apr 07, 2008 11:44 am

Disabilita il ripristino configurazione di sistema.

da **Guercio** » lun apr 07, 2008 12:06 pm

ste_95 ha scritto:Disabilita il ripristino configurazione di sistema.

Scusa ste_95 ma lo devo disabilitare prima di un'ulteriore scansione e poi lo devo riabilitare oppure devo disabilitarlo e basta??

Se puoi, spiegami questo punto [^]