Precedente :: Successivo |
Autore |
Messaggio |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 13 Mag 2006 17:38 Oggetto: smithfraud ben nascosto |
|
|
Sto combattendo con smithfraud (così parrebbe)....sul pc di una amica e del suo mite fratellino.
La carina fanciulla in questione a suo tempo aveva conosciuto l'eScan AntiVirus Toolkit Utility, altrimenti noto come MWAV: è un tool gratuito per il controllo ma non la rimozione - per quella occorre comprare e pagare- di malware in genere, spyware e adware compresi.
E questo benedetto tool segnala
MWAV ha scritto: |
Object "smitfraud Browser Hijacker" found in File System!
Object "abetterinternet Spyware/Adware" found in File System!
Object "abetterinternet Spyware/Adware" found in File System! |
Il tool in questione ha anche una opzione per vedere le varie porte:
MWAV ha scritto: |
Protocol ______ local address _____________ remote address _____________ status
TCP ______ babe.the-killer.bz:25 (smtp) ___________ pc:0 ________________ Listening
TCP ______ babe.the-killer.bz:110 (pop3) ___________ pc:0 ________________ Listening
TCP ______ babe.the-killer.bz:119 (nntp) ___________ pc:0 ________________ Listening
TCP ______ babe.the-killer.bz:1025 ________________ pc:0 _______________ Listening
TCP ______ babe.the-killer.bz:2576 ________________ pc:0 _______________ Listening
TCP ______ babe.the-killer.bz:2576 _____________ babe.the-killer.bz:2577 ______ Established
TCP ______ babe.the-killer.bz:2577 _____________ babe.the-killer.bz:2576 ______ Established
TCP ______ babe.the-killer.bz:12080 ________________ pc:0 _________________ Listening
UDP ______ pc:1026 ____________________________ ***** ___________________ -
UDP ______ pc:137 (netbios-ns) ________________ ***** ________________________ -
UDP ______ pc:138 (netbios-dgm) ________________ ***** _______________________ -
UDP ______ babe.the-killer.bz:1031 ________________ ***** _______________________ -
UDP ______ babe.the-killer.bz:1910 ________________ ***** ________________________ -
|
quello che vedete chiamato pc è appunto il suo computer, nome originale no ?
Il problema è che la signorina è dotata di Windows ME per cui alcuni tool validi non sono utlizzabili. Compreso il noto SmitfraudFix..occorre lanciare un file .cmd da doppio click e viene chiesto con quale programmi aprirlo.
Nemmeno si riesce a lanciarli da riga di comando.
Ma già sapevo, come per Ewido, che era per XP/2000 only.
AVG e Avast correttamente installati e aggiornati non rilevano nulla.
Idem per Spybot e ADAware.
Hijackthis mi da un log che pare sbiancato con Ava Lavatrice tanto è pulito.
Al che provo a ricorrere a una scansione online...ho gli indirizzi di McAfee, Symantec e Kaspersky.
Ma scopro che....non riesco ad accedere a dette risorse in quanto tutti e tre segnalano che necessitano di scaricare un ActiveX e non ci riescono.
E non compare nemmeno la classica finestrella di protezione che chiede se permettere l'ActiveX.
Nada de nada, Symantec mi dice che ha fallito l'installazione gli altri due invece spesso non danno segni di vita e restano silenti.
Eppure i settaggi per gli ActiveX sono giusti, ho controllato.
E anche l'area di protezione è impostata correttamente, ho pure provato ad abbassarla al minimo.
Idee prima che pialli tutto risolvendo così alla radice il problema?
O che strozzi il mite fratellino incasinatore ? |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 13 Mag 2006 23:32 Oggetto: |
|
|
Questo fix dovrebbe girare anche con ME:
http://noahdfear.geekstogo.com/
Probabilmente però è infetta la dll Wininet.dll. Dato che ME non ce l'ha di backup, dovrai riuscire comunque a procurartela e a sostituirla, altrimenti mi sa che non risolvi. |
|
Top |
|
 |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 14 Mag 2006 10:45 Oggetto: |
|
|
ok, grazie..do una occhiata..
il problema sono i controlli ActiveX che non funzionano, altrimenti
Citazione: | If you?re able to place a copy of the infected wininet.dll on the desktop in Windows 95/98/ME, eTrust Online Antivirus scanner will clean it. You can then boot into the command prompt only mode to delete the infected file in the system folder, and copy the clean desktop file to the system folder. Once replaced, the bad file(s) oleadm.dll or oleext.dll can be deleted in normal mode. | potevo cavarmela forse più agevolmente..
tra l'altro ho cercato wininet.dll [mi son portato il pc appresso così faccio prima] e ne trovo ben tre, uno in WINDOWS\SYSTEM, uno in WINDOWS\SYSTEM\sfp\archive e uno in WINDOWS\VCM
la cosa curiosa è che non vedo alcun sintomo dello zozzone... |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 14 Mag 2006 16:40 Oggetto: |
|
|
in attesa che trovi modo do sostituire la dll, metti questa riga nel file hosts
Codice: | 127.0.0.1 babe.the-killer.bz |
almeno non farà la connesione
Prova anche a vedere due-tre cose:
1) se nella chiave HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
nel riquadro a destra c'è qualcosa del genere (se sì eliminalo, anche se cambia la dll):
Codice: | "AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll !\??\%System%\wininet.dll" |
2) con process explorer di Sysinternals, prova a cercare la dll wininet.dll e vedere da quali processi è usata e quali sono più attivi.
3) Gà provato a controllare la presenza di qualche rootkit? Sempre in Sysinternals, prova Rootkitrevelear |
|
Top |
|
 |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 14 Mag 2006 17:12 Oggetto: |
|
|
holifay ha scritto: | in attesa che trovi modo do sostituire la dll, metti questa riga nel file hosts
Codice: | 127.0.0.1 babe.the-killer.bz |
almeno non farà la connesione  |
yes..gli avevo anche chiuso tutte le porte utilizzate...e pure le altre giusto per abbassare le serrande (tutto chiuso tranne quello che serve)..
holifay ha scritto: |
1) se nella chiave HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
nel riquadro a destra c'è qualcosa del genere (se sì eliminalo, anche se cambia la dll):
Codice: | "AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll !\??\%System%\wininet.dll" |
|
no, c'è solo AllowProtectedRenames" = "0"
holifay ha scritto: | 2) con process explorer di Sysinternals, prova a cercare la dll wininet.dll e vedere da quali processi è usata e quali sono più attivi. |
se faccio una search, le tre wininet.dll di cui ho scritto sopra compaiono associate (handle)a SMC.exe (Sygate), MSIMN.exe (OE) ed infine EXPLORER.exe
holifay ha scritto: |
3) Gà provato a controllare la presenza di qualche rootkit? Sempre in Sysinternals, prova Rootkitrevelear |
solito problema di stare lavorando su ME... |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 15 Mag 2006 13:21 Oggetto: |
|
|
Mmmmm non sarà che MWAW sta prendendo qualche abbaglio relativo al trojan Vundo? Anche perchè l'assenza di sintomi non è normale: di solito è ben evidente l'infezione!
Su babe.the-killerbz: che ti dice il firewall (ce ne sarà uno installato )? Sarebbe utile sapere quale processo sta cercando di connettersi a quesl sito. Dal poco che ho visto in giro, e che probabilmente avrai visto già anche tu, qualcuno ha verificato che nel suo caso era Outlook, a causa di qualche email di SPAM ricevuta. Anche da altre parti (se non ho capito male) ho letto che era un allegato di una mail che cercava di connettersi a quel sito. Altrove ho trovato il suggerminento di cercare (ed eliminare) nel registro di sistema tutte le voci relatice a:
- babe.the-killer.bz
- x2b8.no-ip.info
Tra l'altro quest'ultimo è un po' strano: nessuna info in whois e se ti connetti, dopo un bel po', compare solo questa pagina di testo: Citazione: | NOTICE AUTH :*** Looking up your hostname...
NOTICE AUTH :*** Checking Ident
NOTICE AUTH :*** No Ident response |
Cioè mi pare di capire che cerca di verificare una qualche identità in base all'hostname. Bho, non so se c'entra
Tanto per provare qualche tool alternativo, questo già provato?
http://www.kephyr.com/spywarescanner/index.html
Si potrebbe poi cercare (e verificare manualmente) gli ultimi (diciamo da quando ha iniziato a pasticciarci il fratellino ) file salvati in C:\; C:\WINDOWS; C:\WINDOWS\SYSTEM e C:\TEMP. Si può creare un file bat di questo tipo:
Citazione: | cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\system1.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system2.txt
cd\
dir /a:-d /o:-d > %systemdrive%\system3.txt
Type %systemdrive%\system*.txt > %systemdrive%\log.txt
start %systemdrive%\log.txt
del %systemdrive%\system*.txt
exit |
Però è un lavoraccio  |
|
Top |
|
 |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 15 Mag 2006 15:02 Oggetto: |
|
|
holifay ha scritto: | Mmmmm non sarà che MWAW sta prendendo qualche abbaglio relativo al trojan Vundo? Anche perchè l'assenza di sintomi non è normale: di solito è ben evidente l'infezione! |
ho pensato anche a quello in effetti....il problema è anche dato dal fatto che quella utility non specifica esattamente dove è l'infezione, in quali files.
holifay ha scritto: | Su babe.the-killerbz: che ti dice il firewall (ce ne sarà uno installato )? Sarebbe utile sapere quale processo sta cercando di connettersi a quesl sito. Dal poco che ho visto in giro, e che probabilmente avrai visto già anche tu, qualcuno ha verificato che nel suo caso era Outlook, a causa di qualche email di SPAM ricevuta. [...] |
yes, il firewall è installato, lo avevo messo io a suo tempo..è Sygate.
Però non trovo riferimenti a babe.killer...
holifay ha scritto: | Altrove ho trovato il suggerminento di cercare (ed eliminare) nel registro di sistema tutte le voci relatice a:
- babe.the-killer.bz
- x2b8.no-ip.info |
trovo solo il primo, come nome di una cartella in /Current Version/Internet Settings/Zone Map/Domains ma fa parte di una lunghissima lista di url che ritengo sia correlata agli indirizzi bloccati e inseriti nell'host da Spybot S&D e tutti riportano:
Codice: | Predefinito: valore non impostato
0x00000004 (4) |
holifay ha scritto: | Tanto per provare qualche tool alternativo, questo già provato?
http://www.kephyr.com/spywarescanner/index.html |
ecco..Bazoka non me lo ricordavo più..provo pure questo
holifay ha scritto: | Si potrebbe poi cercare (e verificare manualmente) gli ultimi (diciamo da quando ha iniziato a pasticciarci il fratellino ) file salvati in C:\; C:\WINDOWS; C:\WINDOWS\SYSTEM e C:\TEMP. Si può creare un file bat di questo tipo:
[...]
Però è un lavoraccio  |
il file log.txt mi viene aperto ed è completamente bianco...per gli altri files ecco qua l'unica cosa che ottengo:
per cui non trovo nemmeno il lavoraccio
Ah, tra l'altro avevo dato uno sguardo ai tre file wininet.dll : tutti correttamente indicati come della Microsoft con versioni indicate lievemente differenti ma ritengo "logiche" [ 6.0.2800.1511 , 6.0.2800.1534 , 6.0.2800.1525 ]
Ed ovviamente li avevo sottoposti alla scansione online con VirusTotal...puliti tutti e tre su tutta la linea.
L'unica cosa che avevo notato subito, è che due hanno dimensioni identiche di 579584 bytes, il terzo 579072, lievemente più piccolo di qualche byte. |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 15 Mag 2006 15:29 Oggetto: |
|
|
lo script bat non funzionante non ti esonera dall'impegno di provare a controllare manualmente i file più recenti nelle cartelle
Prova comunque (se non l'hai già fatto, cosa che non credo )a fare una ricerca dei vari file associati allo smitfraud:
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453094215
2) e qui: http://noahdfear.geekstogo.com/smitRem_filelist.htm
e all'adware ABetterInternet
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992
Dopo di che, dato che in fondo non hai nessun sintomo della loro presenza, io mi dimenticherei di loro  |
|
Top |
|
 |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 15 Mag 2006 17:33 Oggetto: |
|
|
Utilizzato Bazooka...ma si chiama così perchè è peggio di Speedy Gonzales?
Bazooka ha scritto: | The scanning process will take about one second when running Bazooka on an Intel Celeron 400Mhz 128 MB which is a pretty slow computer. |
Comunque non segnala nulla...
holifay ha scritto: | Prova comunque (se non l'hai già fatto, cosa che non credo )a fare una ricerca dei vari file associati allo smitfraud:
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453094215
2) e qui: http://noahdfear.geekstogo.com/smitRem_filelist.htm
e all'adware ABetterInternet
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992 |
avevo già controllato i file del secondo link..
ps: che tu sappia c'è modo di implementare una ricerca multipla? Ad esempio con un .bat?
holifay ha scritto: | Dopo di che, dato che in fondo non hai nessun sintomo della loro presenza, io mi dimenticherei di loro  |
si...lo tengo sotto controllo ancora per un paio di giorni giusto per sicurezza...
E intanto mi son fatto un po' di esperienza...
Nel caso aggiornerò la situazione.. |
|
Top |
|
 |
|