Salve a tutti.
Vi sottopongo una cosa curiosa capitatami giusto ieri sera: stavo controllando l'andamento delle connessioni sotto il mio Kerio Firewall e ho notato che il programma EXCEL che avevo lasciato aperto stava tentando di aprire una porta verso l'esterno (3656 mi pare, non ricordo) cosa che il firewall ovviamente gli impediva di fare.
Ho immediatamente chiuso excel e il tentativo di connessione è sparito. quando ho fatto x riaprire il file .xls incriminato, excel mi ha avvertito che il file conteneva macro potenzialmente pericolose e mi ha dato l'opzione x disattivarle, cosa che ho fatto ovviamente.
ho copiato il testo contenuto nel file sospetto in un nuovo file .xls creato da zero e cancellato quello vecchio. ho riavviato, dato un'occhiata al registro x qualche chiave sospetta e fatto una scansione con hijacktis, che allego qui sotto:
Logfile of HijackThis v1.97.7
Scan saved at 11.04.18, on 30/08/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programmi\Kerio\Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\programmi\powerstrip\pstrip.exe
C:\Programmi\CloneCD\CloneCDTray.exe
C:\Programmi\Winamp\winamp.exe
C:\WINNT\System32\taskmgr.exe
C:\Programmi\Opera\opera.exe
C:\Programmi\Kerio\Personal Firewall\PFWADMIN.EXE
C:\Programmi\Spybot - Search & Destroy\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PCI Audio Applications] F:\Bin\..\Drivers\Audio\C-Media\W2K-ME\app\Setup.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PowerStrip] c:\programmi\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programmi\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - Global Startup: Adobe PhotoShop - Color Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
il log di hijackthis non mi sembra indichi voci sospette ed'è cmq identico al log che ottengo a sistema pulito, che conservo x fare confronti in casi come questi. non ho effettuato scansioni con antivirus (non ne ho nessuno sotto mano) e il problema non si è più ripresentato, ma mi piacerebbe capiure cosa sia successo e come sia potuto accadere una cosa simile.
dal comportamento ho pensato potesse essere una backdoor, ma possibile che non lasci tracce nel registro di windows? è bastato eliminare un file di excel x liberarsene?
come poi quel determinato file di .XLS possa aver contratto un virus (se di virus di tratta) non lo immagino proprio: l'ho creato io da zero una settimana fà e sò a malapena cosa sia siano le macro, quindi non le ho certo attivate io in quel file. il mio client email è blindatissimo e non accetta allegati nè niente che non sia semplice testo ASCII e in aggiunta sono mesi che non installo alcun software nuovo nè scarico nulla dal web, ad eccezione di qualche filmato ogni tanto... non sò che pensare.
mi piacerebbe capire cosa possa essere successo x evitare che si ripeta in futuro e magari sincerarmi che il problema se ne sia davvero andato. spero qualcuno sappia aiutarmi...