Salve e buon anno a tutti!
Ho un problema.. Ho scoperto di essere infettato da un worm che non fa altro che mandare email di spam collegandosi alla porta smtp di una lista di server di posta verso indirizzi di hotmail yahoo ed altri indirizzi. Mi sono accorto di ciò attivando nel norton il controllo della posta in entrata ed uscita, che mi ha riempito il desktop di un casino di finestre di controllo di email inviate, quando non ne stavo inviando nemmeno una!! Allora ho controllato con netstat -ao e mi sono accorto che cerano richieste di questo tipo effettivamente:
indirizzo loc indirizzo esterno stato pid
TCP Pc:1719 ya.mx.aol.com:smtp TIME_WAIT 0
TCP Pc:1729 mail75.messagelabs.com:smtp TIME_WAIT 0
TCP Pc:1737 mx1.mail-atlas.net:smtp TIME_WAIT 0
TCP Pc:1748 yb.mx.aol.com:smtp TIME_WAIT 0
TCP Pc:1753 ma.mx.aol.com:smtp TIME_WAIT 0
TCP Pc:1758 xm.mx.aol.com:smtp TIME_WAIT 0
TCP Pc:1770 imsmx08.netvigator.com:smtp ESTABLISHED 1924
TCP Pc:1772 58.38.93.227:38874 SYN_SENT 3648
TCP Pc:1776 *.s6a2.psmtp.com:smtp FIN_WAIT_1 1924
Dove i pid 0 e 1924 sono
C:\Documents and Settings\User>tasklist /FI "PID eq 1924"
Nome immagine PID Nome sessione Sessione Utilizzo mem
========================= ====== ================ ========
EXPLORER.EXE 1924 Console 0 36.556 K
C:\Documents and Settings\User>tasklist /FI "PID eq 0"
Nome immagine PID Nome sessione Sessione Utilizzo mem
========================= ====== ================ ========
System Idle Process 0 Console 0 20 K
Attravverso un packet sniffer ho trovato nei pacchetti un body di email con contenuto di spamming con altri pacchetti contenenti la conversazione tra il mio pc e tali server per l'invio di tali mail che alcuni server con il filtro antispam bloccano rispondendo che si tratta di spamming..
Finalmente norton mi apre una finestra dopo aver dovuto spegnere il pc dall'interuttore generale con perdita di dati!!, che mi dice che ha rilevato un worm che si chiama
----> smqbhaaa.exe <------
ed è contenuto nella directory system32 di windows, dove assieme ho trovato anche i suddetti file:
cwnubaaa.exe
fsqsaaaa.exe
grvgxaaa.exe
idbkuaaa.exe
thioqaaa.exe
vaphoaaa.exe
Allora rispondo al norton bloccando l'esecuzione al file smqbhaaa.exe. Facendo netstat sembra che va bene ma poi il pc ricomincia ad inviare mail! Allora dove sta il worm?
Qualcuno sa aiutarmi per risolvere tale problema dato che l'antivirus non mi rileva i suddetti file come virus???
Per di più cerco di attivare il firewall xp ma mi da qesto errore :
------
impossibile abilitare l'accesso condiviso
Errore 1060
il servizio specificato non esiste come servizio installato
-------
Non uso condivisione della connessione adsl!
Aiutoo
Grazie mille
Roby
Rispondi quotando
