Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
smithfraud ben nascosto
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 13 Mag 2006 17:38    Oggetto: smithfraud ben nascosto Rispondi citando

Sto combattendo con smithfraud (così parrebbe)....sul pc di una amica e del suo mite fratellino.
La carina fanciulla in questione a suo tempo aveva conosciuto l'eScan AntiVirus Toolkit Utility, altrimenti noto come MWAV: è un tool gratuito per il controllo ma non la rimozione - per quella occorre comprare e pagare- di malware in genere, spyware e adware compresi.
E questo benedetto tool segnala
MWAV ha scritto:

Object "smitfraud Browser Hijacker" found in File System!

Object "abetterinternet Spyware/Adware" found in File System!

Object "abetterinternet Spyware/Adware" found in File System!


Il tool in questione ha anche una opzione per vedere le varie porte:
MWAV ha scritto:


Protocol ______ local address _____________ remote address _____________ status


TCP ______ babe.the-killer.bz:25 (smtp) ___________ pc:0 ________________ Listening
TCP ______ babe.the-killer.bz:110 (pop3) ___________ pc:0 ________________ Listening
TCP ______ babe.the-killer.bz:119 (nntp) ___________ pc:0 ________________ Listening
TCP ______ babe.the-killer.bz:1025 ________________ pc:0 _______________ Listening
TCP ______ babe.the-killer.bz:2576 ________________ pc:0 _______________ Listening
TCP ______ babe.the-killer.bz:2576 _____________ babe.the-killer.bz:2577 ______ Established
TCP ______ babe.the-killer.bz:2577 _____________ babe.the-killer.bz:2576 ______ Established
TCP ______ babe.the-killer.bz:12080 ________________ pc:0 _________________ Listening
UDP ______ pc:1026 ____________________________ ***** ___________________ -
UDP ______ pc:137 (netbios-ns) ________________ ***** ________________________ -
UDP ______ pc:138 (netbios-dgm) ________________ ***** _______________________ -
UDP ______ babe.the-killer.bz:1031 ________________ ***** _______________________ -
UDP ______ babe.the-killer.bz:1910 ________________ ***** ________________________ -


quello che vedete chiamato pc è appunto il suo computer, nome originale no ?


Il problema è che la signorina è dotata di Windows ME per cui alcuni tool validi non sono utlizzabili. Compreso il noto SmitfraudFix..occorre lanciare un file .cmd da doppio click e viene chiesto con quale programmi aprirlo.
Nemmeno si riesce a lanciarli da riga di comando.
Ma già sapevo, come per Ewido, che era per XP/2000 only.


AVG e Avast correttamente installati e aggiornati non rilevano nulla.
Idem per Spybot e ADAware.
Hijackthis mi da un log che pare sbiancato con Ava Lavatrice tanto è pulito.

Al che provo a ricorrere a una scansione online...ho gli indirizzi di McAfee, Symantec e Kaspersky.
Ma scopro che....non riesco ad accedere a dette risorse in quanto tutti e tre segnalano che necessitano di scaricare un ActiveX e non ci riescono.
E non compare nemmeno la classica finestrella di protezione che chiede se permettere l'ActiveX.
Nada de nada, Symantec mi dice che ha fallito l'installazione gli altri due invece spesso non danno segni di vita e restano silenti.
Eppure i settaggi per gli ActiveX sono giusti, ho controllato.
E anche l'area di protezione è impostata correttamente, ho pure provato ad abbassarla al minimo.


Idee prima che pialli tutto risolvendo così alla radice il problema?
O che strozzi il mite fratellino incasinatore ?
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 13 Mag 2006 23:32    Oggetto: Rispondi citando

Questo fix dovrebbe girare anche con ME:
http://noahdfear.geekstogo.com/

Probabilmente però è infetta la dll Wininet.dll. Dato che ME non ce l'ha di backup, dovrai riuscire comunque a procurartela e a sostituirla, altrimenti mi sa che non risolvi.
Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 14 Mag 2006 10:45    Oggetto: Rispondi citando

ok, grazie..do una occhiata..
il problema sono i controlli ActiveX che non funzionano, altrimenti
Citazione:
If you?re able to place a copy of the infected wininet.dll on the desktop in Windows 95/98/ME, eTrust Online Antivirus scanner will clean it. You can then boot into the command prompt only mode to delete the infected file in the system folder, and copy the clean desktop file to the system folder. Once replaced, the bad file(s) oleadm.dll or oleext.dll can be deleted in normal mode.
potevo cavarmela forse più agevolmente..

tra l'altro ho cercato wininet.dll [mi son portato il pc appresso così faccio prima] e ne trovo ben tre, uno in WINDOWS\SYSTEM, uno in WINDOWS\SYSTEM\sfp\archive e uno in WINDOWS\VCM


la cosa curiosa è che non vedo alcun sintomo dello zozzone...
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 14 Mag 2006 16:40    Oggetto: Rispondi citando

in attesa che trovi modo do sostituire la dll, metti questa riga nel file hosts
Codice:
127.0.0.1   babe.the-killer.bz

almeno non farà la connesione Rolling Eyes

Prova anche a vedere due-tre cose:

1) se nella chiave HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
nel riquadro a destra c'è qualcosa del genere (se sì eliminalo, anche se cambia la dll):
Codice:
"AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll !\??\%System%\wininet.dll"


2) con process explorer di Sysinternals, prova a cercare la dll wininet.dll e vedere da quali processi è usata e quali sono più attivi.

3) Gà provato a controllare la presenza di qualche rootkit? Sempre in Sysinternals, prova Rootkitrevelear
Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 14 Mag 2006 17:12    Oggetto: Rispondi citando

holifay ha scritto:
in attesa che trovi modo do sostituire la dll, metti questa riga nel file hosts
Codice:
127.0.0.1   babe.the-killer.bz

almeno non farà la connesione Rolling Eyes

yes..gli avevo anche chiuso tutte le porte utilizzate...e pure le altre giusto per abbassare le serrande (tutto chiuso tranne quello che serve)..



holifay ha scritto:

1) se nella chiave HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
nel riquadro a destra c'è qualcosa del genere (se sì eliminalo, anche se cambia la dll):
Codice:
"AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll !\??\%System%\wininet.dll"

no, c'è solo AllowProtectedRenames" = "0"



holifay ha scritto:
2) con process explorer di Sysinternals, prova a cercare la dll wininet.dll e vedere da quali processi è usata e quali sono più attivi.

se faccio una search, le tre wininet.dll di cui ho scritto sopra compaiono associate (handle)a SMC.exe (Sygate), MSIMN.exe (OE) ed infine EXPLORER.exe



holifay ha scritto:

3) Gà provato a controllare la presenza di qualche rootkit? Sempre in Sysinternals, prova Rootkitrevelear

solito problema di stare lavorando su ME...
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 15 Mag 2006 13:21    Oggetto: Rispondi citando

Mmmmm non sarà che MWAW sta prendendo qualche abbaglio relativo al trojan Vundo? Anche perchè l'assenza di sintomi non è normale: di solito è ben evidente l'infezione!

Su babe.the-killerbz: che ti dice il firewall (ce ne sarà uno installato Wink )? Sarebbe utile sapere quale processo sta cercando di connettersi a quesl sito. Dal poco che ho visto in giro, e che probabilmente avrai visto già anche tu, qualcuno ha verificato che nel suo caso era Outlook, a causa di qualche email di SPAM ricevuta. Anche da altre parti (se non ho capito male) ho letto che era un allegato di una mail che cercava di connettersi a quel sito. Altrove ho trovato il suggerminento di cercare (ed eliminare) nel registro di sistema tutte le voci relatice a:
- babe.the-killer.bz
- x2b8.no-ip.info
Tra l'altro quest'ultimo è un po' strano: nessuna info in whois e se ti connetti, dopo un bel po', compare solo questa pagina di testo:
Citazione:
NOTICE AUTH :*** Looking up your hostname...
NOTICE AUTH :*** Checking Ident
NOTICE AUTH :*** No Ident response

Cioè mi pare di capire che cerca di verificare una qualche identità in base all'hostname. Bho, non so se c'entra Rolling Eyes

Tanto per provare qualche tool alternativo, questo già provato?
http://www.kephyr.com/spywarescanner/index.html

Si potrebbe poi cercare (e verificare manualmente) gli ultimi (diciamo da quando ha iniziato a pasticciarci il fratellino Smile ) file salvati in C:\; C:\WINDOWS; C:\WINDOWS\SYSTEM e C:\TEMP. Si può creare un file bat di questo tipo:
Citazione:
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system.txt

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\system1.txt

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system2.txt

cd\
dir /a:-d /o:-d > %systemdrive%\system3.txt

Type %systemdrive%\system*.txt > %systemdrive%\log.txt
start %systemdrive%\log.txt
del %systemdrive%\system*.txt
exit


Però è un lavoraccio Rolling Eyes
Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 15 Mag 2006 15:02    Oggetto: Rispondi citando

holifay ha scritto:
Mmmmm non sarà che MWAW sta prendendo qualche abbaglio relativo al trojan Vundo? Anche perchè l'assenza di sintomi non è normale: di solito è ben evidente l'infezione!

ho pensato anche a quello in effetti....il problema è anche dato dal fatto che quella utility non specifica esattamente dove è l'infezione, in quali files.




holifay ha scritto:
Su babe.the-killerbz: che ti dice il firewall (ce ne sarà uno installato Wink )? Sarebbe utile sapere quale processo sta cercando di connettersi a quesl sito. Dal poco che ho visto in giro, e che probabilmente avrai visto già anche tu, qualcuno ha verificato che nel suo caso era Outlook, a causa di qualche email di SPAM ricevuta. [...]

yes, il firewall è installato, lo avevo messo io a suo tempo..è Sygate.
Però non trovo riferimenti a babe.killer...




holifay ha scritto:
Altrove ho trovato il suggerminento di cercare (ed eliminare) nel registro di sistema tutte le voci relatice a:
- babe.the-killer.bz
- x2b8.no-ip.info

trovo solo il primo, come nome di una cartella in /Current Version/Internet Settings/Zone Map/Domains ma fa parte di una lunghissima lista di url che ritengo sia correlata agli indirizzi bloccati e inseriti nell'host da Spybot S&D e tutti riportano:
Codice:
Predefinito: valore non impostato
0x00000004 (4)






holifay ha scritto:
Tanto per provare qualche tool alternativo, questo già provato?
http://www.kephyr.com/spywarescanner/index.html

ecco..Bazoka non me lo ricordavo più..provo pure questo





holifay ha scritto:
Si potrebbe poi cercare (e verificare manualmente) gli ultimi (diciamo da quando ha iniziato a pasticciarci il fratellino Smile ) file salvati in C:\; C:\WINDOWS; C:\WINDOWS\SYSTEM e C:\TEMP. Si può creare un file bat di questo tipo:
[...]
Però è un lavoraccio Rolling Eyes

il file log.txt mi viene aperto ed è completamente bianco...per gli altri files ecco qua l'unica cosa che ottengo:

per cui non trovo nemmeno il lavoraccio Wink





Ah, tra l'altro avevo dato uno sguardo ai tre file wininet.dll : tutti correttamente indicati come della Microsoft con versioni indicate lievemente differenti ma ritengo "logiche" [ 6.0.2800.1511 , 6.0.2800.1534 , 6.0.2800.1525 ]
Ed ovviamente li avevo sottoposti alla scansione online con VirusTotal...puliti tutti e tre su tutta la linea.
L'unica cosa che avevo notato subito, è che due hanno dimensioni identiche di 579584 bytes, il terzo 579072, lievemente più piccolo di qualche byte.
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 15 Mag 2006 15:29    Oggetto: Rispondi citando

lo script bat non funzionante non ti esonera dall'impegno di provare a controllare manualmente i file più recenti nelle cartelle Razz

Prova comunque (se non l'hai già fatto, cosa che non credo Smile)a fare una ricerca dei vari file associati allo smitfraud:
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453094215
2) e qui: http://noahdfear.geekstogo.com/smitRem_filelist.htm

e all'adware ABetterInternet
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992

Dopo di che, dato che in fondo non hai nessun sintomo della loro presenza, io mi dimenticherei di loro Rolling Eyes
Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 15 Mag 2006 17:33    Oggetto: Rispondi

Utilizzato Bazooka...ma si chiama così perchè è peggio di Speedy Gonzales?
Bazooka ha scritto:
The scanning process will take about one second when running Bazooka on an Intel Celeron 400Mhz 128 MB which is a pretty slow computer.

Comunque non segnala nulla...




holifay ha scritto:
Prova comunque (se non l'hai già fatto, cosa che non credo Smile)a fare una ricerca dei vari file associati allo smitfraud:
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453094215
2) e qui: http://noahdfear.geekstogo.com/smitRem_filelist.htm

e all'adware ABetterInternet
1) qui: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076992

avevo già controllato i file del secondo link..

ps: che tu sappia c'è modo di implementare una ricerca multipla? Ad esempio con un .bat?




holifay ha scritto:
Dopo di che, dato che in fondo non hai nessun sintomo della loro presenza, io mi dimenticherei di loro Rolling Eyes

si...lo tengo sotto controllo ancora per un paio di giorni giusto per sicurezza...


E intanto mi son fatto un po' di esperienza... Wink
Nel caso aggiornerò la situazione..
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi