Email inviate con Msn Cambiano testo, soggetto e destinatari

[mfonz85]

Ciao a tutti, ho un problema stranissimo:
Se provo ad inviare email con il mio PC fisso dalla mia casella hotmail succede che cambia radicalmente l'email inviata. Mi spiego meglio.

Email originale:
Destinatario: ****@yahoo.it
Soggetto: Prova
Testo: Prova

Email "trasformata"
Destinatario: ****@yahoo.it,37038040:dj_loverman@yahoo.com,42976 7885:djsfassk@aol.com
Soggetto: "Tiered of been passed over for that promotion because you don't have the proper Degree?"
Testo: Please call me at this number 1-415-738-5373 to verify if you could qualify for a University degree from non-accredited Universities. All you need is to have a background of professional working experience and a simple r�sum� to confirm that you really do have the experience.

Yours truly,

Fast track degree educational programs
---------------------------------------------

Cosa DIAMINE sta capitando??
Una roba del genere non l'avevo mai vista nè sentita :berto:

Questo errore lo da SOLO SUL MIO PC FISSO, perchè dal portatile le email vengono inviate correttamente.

Come faccio a scoprire qual'è il processo che intercetta il fatto che sono sulla casella di posta di hotmail e tra l'altro che riesce a modificarne soggetto, destinatario e testo prima dell'effettivo invio della mail?

[OYS]

Segui questa guida; se alcune di queste cose le hai giò fatte o cmq le fai regolarmente, passa direttamente al punto 4 e posta il log di hijackthis:
http://forum.html.it/forum/showthrea...hreadid=811189

[mfonz85]

Scansioni regolari con AVG Antivirus, e Spyware Doctor

HiJackThis Log:

codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.53.37, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG7\avgamsvr.exe
C:\PROGRA~1\AVG7\avgupsvc.exe
C:\PROGRA~1\AVG7\avgemc.exe
G:\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\PerfectDisk\PDEngine.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
G:\DAEMON Tools\daemon.exe
G:\ATI Tray Tools\atitray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
E:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: 0 - {FC60B31A-FC10-4D95-988A-C8123EBA4B2A} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RocketDock] C:\Programmi\RocketDock\RocketDock.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Programmi\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\Programmi\AVG7\avgemc.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Bginfo] C:\WINDOWS\bginfo.exe C:\WINDOWS\config.bgi /TIMER:0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AtiTrayTools] "G:\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with GetRight - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with GetRight Pro - L:\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://L:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - L:\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://*******.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3188E99-76FE-41DC-8954-4B6045BF40A9}: NameServer = 85.37.17.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgemc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - G:\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - G:\PerfectDisk\PDEngine.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WMServerTools - Apache - Apache Software Foundation - C:\WM\Apache-2.0.54\bin\Apache.exe
O23 - Service: WMServerTools - MySQL - Unknown owner - C:\WM\MySQL-4.1.12\bin\mysqld-nt.exe

--
End of file - 7183 bytes

NB:
http://*******.spaces.live.com/PhotoUpload/MsnPUpld.cab --> ho mascherato io il link

[OYS]

Il log è pulito...
Succede solo con hotmail?

[mfonz85]

Sì, solo con la posta elettronica di hotmail utilizzando il sito internet di msn ovviamente.
Questo capita sia con IE che con Firefox, il che mi pare strano...perchè vuol dire che se è un virus/trojan/malware/chicchessia è indipendente dal browser e agisce in generale proprio su quel sito...e non ho la più pallida idea di come faccia...
Dici che mettendo uno sniffer sono in grado di capirci qualcosa in più? Magari faccio un filtro sui pacchetti TCP ed estraggo tutti i pacchetti passati in quei 2-3 secondi dalla pressione sul pulsante "Invia" della pagina di invio della email...
Però con l'IP, ammesso che ne trovo uno strano, poi cosa ci faccio?? Dubito che riesco a tirar fuori informazioni e conclusioni interessanti....

Ah, aggiungo, i client di posta elettronica funzionano bene, ho provato sia Thunderbird che Outlook e non danno problemi con nessun account email...è proprio solo l'Internet Mail di msn che mi da questo problema...

[OYS]

Uhm... :master:
Prima cosa ti consiglio di comunicarlo a msn.
Prova ad utilizzare lo sniffer... Poi scrivi l'IP e vediamo di cacciare fuori qualche informazione.

[mfonz85]

Ma è strano, perchè come ti dicevo prima sul portatile funziona...domani proverò anche in ufficio, ma se tanto mi dà tanto funzionerà alla perfezione anche lì...quindi contattare msn missà che servirebbe a poco...( e forse mi manderebbero a stendere )

In ogni caso ho sniffato un pò di pacchetti, e a più riprese, provando e riprovando sono riuscito a tirarmi fuori una lista di IP dei quali rifiutare i pacchetti TCP HTML in ingresso/uscita, e tirare fuori l'ip univoco di windows live (79.140.80.26), in modo che effettuando uno sniffing (dopo aver applicato tutte le nuove restrizioni sugli ip) i pacchetti accettati in ingresso/uscita fossero solo quelli relativi all'ip 79.140.80.26...e incredibile ma vero, dopo tutto questo, continua a non funzionare.

Il messaggio è stato inviato ai seguenti destinatari:

dragonmaster173@attbi.com (che non so chi sia, e io non l'ho scritto)
dipre@sbcglobal.net (idem come sopra)
****@yahoo.it (il mio)

Il messaggio arriva sempre modificato come nel primo post.
E i destinatari aggiuntivi cambiano di volta in volta in modo casuale, ma alla lunga sono sempre gli stessi ... a volte anzi capita che l'invio fallisce perchè mi vengono aggiunti destinatari del genere:

429767885:djsfassk@aol.com
NumeroCasuale:nome@dominio.com



A sto punto è un programma residente nel mio pc che mi cambia al volo i contenuti dei form ogni volta che clicco su invia, è l'unica spiegazione che riesco a darmi...
Escludendo che sia un IP esterno a causare il cambiamento dei parametri, l'unica soluzione è che sono stato infettato da un qualcosa di rarissimo

Idee? (a parte formattare )