Ripropongo brevemente questo mio problema di qualche giorno fà, che purtroppo non ho ancora risolto nonostante numerosi tentativi...
- IL PROBLEMA:
In breve, da qualche giorno a questa parte, ogni volta che avvio il pc il processo EXPLORER.EXE di win2000 apre in ascolto la porta 33139 e, in aggiunta, appena lancio la connessione internet, sempre lo stesso processo tenta di connettersi (su una porta a caso fra le 1031-1040) a ciascuno questi due IP:
nessun nome [69.28.141.195], port 80, TCP
www.eurodns.com [82.92.65.10], port 80, TCP
Ho già verificato con TCP-VIEW che il processo parte proprio da C:\WINNT\EXPLORER.EXE che è quindi il file originale, tanto che se si prova a terminare il processo tutto il sistema si blocca costringendo a resettare...
- COSA HO GIA' FATTO:
Ho installato e lanciato uno alla volta BitDefender 7.2, AVG 7.0 e pure F-Prot 3.14a ma anche aggiornando le firme nessuno ha trovato nulla di anomalo, nemmeno effettuando la scansione in modalità provvisoria con F-Prot (l'unico dei tre che sono riuscito ad avviare in tale modalità).
- Ho provato a fare una scansione con il McAfee STINGER, senza alcun risultato.
- Ho anche provato con Spy-Bot aggiornato ma niente nemmeno lì...
- Ho controllato manualmente il registro di windows in modalità provvisoria ma sotto la chiave "HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\Cur rentVersion\Run\" ho trovato le solite voci... niente di sospetto nemmeno lì.
- Ho dato un'occhiata agli eseguibili presenti sotto le directory di windows e ho notato questo file un pò sospetto:
C:\WINNT\DELTTSUL.EXE
C:\WINNT\SYSTEM32\DLLCACHE\DELTTSUL.EXE
Sui siti di TrendMicro, F-Prot e Pestpatrol questo file viene identificato come parte di un trojan ma lo stesso F-Prot non sembra averlo riconosciuto quando l'ho lanciato... ho provato a rimuoverli entrambi ma se ci provo windows mi chiede subito di inserire il cd di installazione per rirpistinarli da lì... è un file legittimo o un trojan ben mascherato?
Ad ogni modo, stando a quanto ho letto quel trojan agisce in maniera completamente diversa da quello che succede a me, quindi a meno che qualcuno non si sia messo a modificare il codice base, è probabile che il mio problema sia un'altro...
- CONCLUSIONI:
Questo quanto ho rilevato finora, se ho tralasciato qualcosa ditemelo... il perchè un processo come EXPLORER.EXE cerchi di connettersi a quei due IP non lo immagino davvero, uno dei due è un sito di registrazione dominii internet quindi forse è un virus progettato x effettuare un'attacco DoS verso quel sito, non sò...
Se si tratta di un nuovo virus o cos'altro non sono in grado di dirlo, mi rimetto alla vostra esperienza in materia... sò di non averlo contratto tramite e-mail, più probabile che sia successo sotto edonkey oppure bit-torrent. Qualcunque cosa sia, nessuno degli antivurus che ho provato è riuscito a identificare il problema... mi auguro di cuore qualcuno di voi possa aiutarmi.
PS: x maggior scrupolo, vi allego uno screenshot tratto dal mio kerio firewall, che ovviamente tengo settato x bloccare tutte le connessioni non autorizzate... e ci mancherebbe altro... :quipy: