Explorer.exe - virus dagli strani sintomi...

[Santovasku]

Ripropongo brevemente questo mio problema di qualche giorno fà, che purtroppo non ho ancora risolto nonostante numerosi tentativi...

- IL PROBLEMA:
In breve, da qualche giorno a questa parte, ogni volta che avvio il pc il processo EXPLORER.EXE di win2000 apre in ascolto la porta 33139 e, in aggiunta, appena lancio la connessione internet, sempre lo stesso processo tenta di connettersi (su una porta a caso fra le 1031-1040) a ciascuno questi due IP:

nessun nome [69.28.141.195], port 80, TCP

www.eurodns.com [82.92.65.10], port 80, TCP

Ho già verificato con TCP-VIEW che il processo parte proprio da C:\WINNT\EXPLORER.EXE che è quindi il file originale, tanto che se si prova a terminare il processo tutto il sistema si blocca costringendo a resettare...


- COSA HO GIA' FATTO:
Ho installato e lanciato uno alla volta BitDefender 7.2, AVG 7.0 e pure F-Prot 3.14a ma anche aggiornando le firme nessuno ha trovato nulla di anomalo, nemmeno effettuando la scansione in modalità provvisoria con F-Prot (l'unico dei tre che sono riuscito ad avviare in tale modalità).

- Ho provato a fare una scansione con il McAfee STINGER, senza alcun risultato.

- Ho anche provato con Spy-Bot aggiornato ma niente nemmeno lì...

- Ho controllato manualmente il registro di windows in modalità provvisoria ma sotto la chiave "HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\Cur rentVersion\Run\" ho trovato le solite voci... niente di sospetto nemmeno lì.

- Ho dato un'occhiata agli eseguibili presenti sotto le directory di windows e ho notato questo file un pò sospetto:

C:\WINNT\DELTTSUL.EXE
C:\WINNT\SYSTEM32\DLLCACHE\DELTTSUL.EXE

Sui siti di TrendMicro, F-Prot e Pestpatrol questo file viene identificato come parte di un trojan ma lo stesso F-Prot non sembra averlo riconosciuto quando l'ho lanciato... ho provato a rimuoverli entrambi ma se ci provo windows mi chiede subito di inserire il cd di installazione per rirpistinarli da lì... è un file legittimo o un trojan ben mascherato?

Ad ogni modo, stando a quanto ho letto quel trojan agisce in maniera completamente diversa da quello che succede a me, quindi a meno che qualcuno non si sia messo a modificare il codice base, è probabile che il mio problema sia un'altro...


- CONCLUSIONI:
Questo quanto ho rilevato finora, se ho tralasciato qualcosa ditemelo... il perchè un processo come EXPLORER.EXE cerchi di connettersi a quei due IP non lo immagino davvero, uno dei due è un sito di registrazione dominii internet quindi forse è un virus progettato x effettuare un'attacco DoS verso quel sito, non sò...

Se si tratta di un nuovo virus o cos'altro non sono in grado di dirlo, mi rimetto alla vostra esperienza in materia... sò di non averlo contratto tramite e-mail, più probabile che sia successo sotto edonkey oppure bit-torrent. Qualcunque cosa sia, nessuno degli antivurus che ho provato è riuscito a identificare il problema... mi auguro di cuore qualcuno di voi possa aiutarmi.


PS: x maggior scrupolo, vi allego uno screenshot tratto dal mio kerio firewall, che ovviamente tengo settato x bloccare tutte le connessioni non autorizzate... e ci mancherebbe altro... :quipy:

[Delmak_O]

è probabile che explorer.exe sia il processo legittimo, quello che ti presenta l'interfaccia grafica di Windows, e che quando è in esecuzione carichi in memoria una qualche dll che ne devii la funzione facendogli fare altro...avevo già letto il tuo post e mi sembra effettivamente un problema, non è normale che un explorer.exe stia in ascolto (su porte con quel numero poi!)...
non sono in grado di aiutarti, però solo due cose: controlla i processi iexplorer.exe e explorer.exe, sono gli unici vero? (intendo: non ci sono doppioni, vero?) inoltre: hai per caso un "explorer.dll" (che sarebbe chiaramente illegittimo)?
secondo me hai visto giusto con quel processo nascosto, da una breve ricerca non trovo informazioni attendibili sulla sua necessità...beh, al di là della sua presenza, ti risulta si attivi? è in memoria al caricamento del sistema?
dovresti ricorrere a qualche tool che ti aiuti, è difficile manualmente intervenire in queste situazioni...

[Santovasku]

Originariamente inviato da Delmak_O
è probabile che explorer.exe sia il processo legittimo, quello che ti presenta l'interfaccia grafica di Windows, e che quando è in esecuzione carichi in memoria una qualche dll che ne devii la funzione facendogli fare altro...

E' esattamente quanto ho pensato io ma come faccio a verificare quale .DLL stà attualmente dirottando il processo explorer.exe? che tool devo utilizzare x un simile compito?

Gli antivirus e i tool consigliati in questa sezione li ho già provati, manca solo HijackThis ma non sò quanto c'entri col mio problema... quali tool posso utilizzare x raccogliere informazioni sul perchè un processo come EXPLORER.EXE si comporti in quel modo?


Purtroppo non c'è nessun file EXPLORER.DLL, fosse così plateale l'avrei già scotennato... il suddetto DELTTSUL.EXE non sembra risiedere in memoria, controllato con taskmanger... perfino nel registro di win2000 non ce n'è traccia, anche controllandolo in modalità provvisoria...

in compenso, ci sono un sacco di copie del file TASKMAN.EXE:

C:\WINNT\TASKMAN.EXE
C:\WINNT\SYSTEM32\TASKMAN.EXE
C:\WINNT\SYSTEM32\DLLCACHE\TASKMAN.EXE

se ben rammento è un file più che legittimo ma sono tutti regolari o qualcuno di essi è di troppo? cmq in memoria non ne vedo risiedere nessuno, non sò...


Please qualcuno mi aiuti, non sò più dove mettere le mani... quello che sapevo fare l'ho fatto, da qui in poi dipendo dalla vostra esperienza. Possibile che nessuno abbia un'idea su come procedere?

[Habanero]

DELTTSUL.EXE è un file legittimo (5.392 byte)
idem per tutte le copier di taskman (35.600 byte)

per un taskmanager avanzato con visualizzazione di risorse usate, dll collegate etc:

http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

il più sta nell'interpretare i dati...

[Santovasku]

Originariamente inviato da Habanero
DELTTSUL.EXE è un file legittimo (5.392 byte)
idem per tutte le copier di taskman (35.600 byte)

per un taskmanager avanzato con visualizzazione di risorse usate, dll collegate etc:

http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

il più sta nell'interpretare i dati...

grazie x il suggerimento, in effetti i dati da interpretare sono un sacco... dici che se posto il log qui qualcuno potrebbe aiutarmi?


nel frattempo, vi posto il log di una scansione fatta con Hijack This, effettuata all'avvio e senza essere connesso a internet - se preferite che ci provi in modalità provvisoria, fatemi sapere.


Logfile of HijackThis v1.97.7
Scan saved at 0.07.36, on 02/03/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programmi\Kerio\Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\programmi\powerstrip\pstrip.exe
C:\Programmi\CloneCD\CloneCDTray.exe
C:\Programmi\SICUREZZA\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PCI Audio Applications] F:\Bin\..\Drivers\Audio\C-Media\W2K-ME\app\Setup.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PowerStrip] c:\programmi\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programmi\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [RealUpdater] C:\WINNT\System32\realupd.exe
O4 - Global Startup: Adobe PhotoShop - Color Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Ecco qua, ditemi voi se vi sembra che ci sia qualcosa di sospetto... io onestamente non ho rilevato nulla ma me ne intendo poco...

[amvinfe]

Beh, ora la situazione è più chiara. Questo valore

O4 - HKCU\..\Run: [RealUpdater] C:\WINNT\System32\realupd.exe

è collegato ad una backdoor/trojan

Riavvia in modalità provvisoria.
Apri la task manager e termina se presente il valore realupd.exe.
Cerca nel disco il file realupd.exe (lo trovi in C:\Winnt\System32) ed eliminalo, anche dal cestino.
Start>Esegui scrivi regedit e portati in
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
elimina dal pannello di dx il valore
RealUpdater = "realupd.exe"

Ora portati in
HKEY_CURRENT_USER\Software\ clicca sulla cartellina gialla
Date Time
e guarda a dx che valori hai, dovresti trovare il numero della porta, il sistema operativo, il tipo di connessione d i reindirizzamenti ad altri siti, se così fosse elimina la cartella, fai click di dx sulla cartellina gialla ed eliminala.
Riavvia. Fai una scansione online con la TrendMicro!

[Santovasku]

Originariamente inviato da amvinfe
Beh, ora la situazione è più chiara. Questo valore

O4 - HKCU\..\Run: [RealUpdater] C:\WINNT\System32\realupd.exe

è collegato ad una backdoor/trojan

centrato in pieno, ho trovato sia le chiavi di registro che i file... riavvito in provvisoria e eliminato tutto, adesso sembra ritornato tuto in ordine.

a dire il vero il file era più di uno, ho trovato infatti:

C:\WINNT\SYSTEM32\Realupd.exe
C:\WINNT\SYSTEM32\Realupd32.exe
C:\WINNT\SYSTEM32\Real32.exe

tutti e tre estremamente recenti come creazione, il primo proprio a partire dal 25 febbrario (giorno in cui sono iniziati i problemi), gli altri con data di oggi... io ho eliminato tutto, ho fatto bene?


cmq resta da capire come ho fatto a prendermelo e, soprattutto, come mai SPYBOT non me l'ha rilevato... devo x caso cambiare software? :quipy:


PS: ma la scansione online con trend serve? non c'è stato un antivirus che fosse uno a rilevarmelo quel trojan, ammetto di esserci rimasto un pò male...

[amvinfe]

E perchè mai SpyBot avrebbe dovuto rilevartelo? SpyBot non è un antivirus e nemmeno un antitrojan. Quindi se t'installi un antivirus forse è meglio, visto che dal tuo Log non ne vedo installati.
L'infezione può essere avvenuta tramite canali IRC, mail, P2P, newsgroup.
La scansione online serve nel momento in cui hai contratto malware che disabilitano l'antivirus, ma tu non hai corso questo rischio visto che non ne hai installati

Un'ultima cosa, più per scrupolo che per altro controlla anche in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run che non vi sia il valore "Real Updater" = "realupd.exe"

non c'è stato un antivirus che fosse uno a rilevarmelo quel trojan

mi dici che antivirus hai installato???

[Santovasku]

Originariamente inviato da amvinfe
Un'ultima cosa, più per scrupolo che per altro controlla anche in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run che non vi sia il valore "Real Updater" = "realupd.exe"

quella chiave è stata la prima cosa che ho controllato, non c'era traccia di alcun file sospetto... avessi pensato a guardare anche sotto HKCU quel realpupd.exe probabilmente l'avrei notato...


x gli antivirus, ho scritto nel primo post quelli che ho provato a installare dopo l'infezione:

Bit Defender 7.2
F-Prot 3.14a
AVG 7.0

tutti con firme aggiornate, nessun risultato... con F-prot ho perfino fatto la scnasione in modalità provvisoria (gli altri due si rifutavano di partire sotto provvisoria) ma manco lui mi ha rilevato un'accidente...

cmq anch'io ho il sospetto di averlo preso tramite edonkey/bit-torrent, anche se in genere scarico solo filmati e musica... di certo non tramite IRC nè email... sapendo come ho fatto almeno potrei prendere provvedimenti...

[amvinfe]

Ma comunque al momento non hai installati?!? Almeno questo è quello che vedo dal Log di HJT