Help! strane connessioni e sospetti...

[fracama87]

Ciao a tutti chiedo un aiuto.
Premessa ho installato ad agosto la nuova versione del il k-lite codec pack (dal sito ufficiale) nonostante comodo me lo mettesse in sandbox.
Ora quando eseguivo media playes classic comodo provava a sandboxarlo. Ritenendolo sicuro (lo uso da anni) gli ho detto di ignorarlo ed eseguirlo normalmente. Nel log di comodo defense + però vedoi che media player classic ogni volta che l'ho eseguito ha installato un hook e fatto un accesso alla tastiera.

(questo l'ho notato oggi dopo aver visto ciò che visto per raccontare).

è dal 10 a mezzanotte circa che diversi programmi hanno iniziato a tentare strane connessioni (risultano dal log di comodo quasi tutte bloccate).

il primo è stato dllhosts.exe, poi Preton client, poi sidebar.exe (la sidebar di windows 7) e in ultimo notepad.exe
Posso postare un log se è utile

la più strana è una connessione all'IP 127.0.0.1 con porta di destinazione 12080!!!

qualcuno mi sa aiutare? :D

 

[FDAC]

Ciao.
Scarica Malwarebytes' Anti-Malware - Free Edition: Malwarebytes : Free anti-malware, anti-virus and spyware removal download
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK ad entrambi i messaggi, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente

Infine;
Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

Buon lavoro, saluti! ;)
Francesco.

 

[fracama87]

ok eseguo... nel frattempo la situazione peggiora:

- provando ad aggiornare mbam si connette alla solita porta (porta 12080 indirizzo 127.0.0.1.... perchè si connettono tutti a una porta del mio pc cavoli???) richiesta negata

l'ho disinstallato e provato a reinstallare la nuova versione. lanciando il setup il file .tmp d'installazione si prova a connettere sempre a quella porta anche qui l'ho bloccato.

nel frattempo ho riavviato e il file di setup di avast (NB. avast era già installato ovviamente il file si è avviato da solo per aggiornarsi credo) si connette a uno strano indirizzo come per aggioornarsi (da quando l'ho installato me l'ha chiesto solo una volta di connettersi.... poi mai più e si aggiornava bene...).

sto installando mbam ma temo che non potrò aggiornare le definizioni... spero che il file di installazione di mbam sia aggiornato. Al momento non ho problemi a navigare....

 

[fracama87]

infatti non posso aggiornarlo visto che si connette a quella misteriosa porta :(

e il database delle firme è vecchia di 66 giorni... faccio lo stesso l'analisi così?

 

[FDAC]

Ciao. Mi pareva chiaro, e invece..
Non eseguire alcuna altra operazione all'infuori di quelle postate (non installare antivirus, renderesti solamente più complicata la rimozione).

Se MalwareBytes non vuole aggiornarsi, allega intanto un report di hijackthis, forse ho individuato il problema.

Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

 

[fracama87]

era quello che mi aspettavo di fare dall'inizio, avevo già scaricato il programma :D

ecco il log hijackthis.log

grazie mille :)

 

[FDAC]

Disinstalla Avast (ce lo togliamo dai piedi, evita di navigare in siti diversi, consulta solo questa discussione, fino a quando rimarrai senza antivirus).
Per disinstallare Avast!:
● cessane l'esecuzione dalla Traybar (vicino all'orologio)
● clicca su Start - Pannello di Controllo - Installazione Applicazioni e disinstalla Avast!

Scarica Aswclear: http://files.avast.com/files/eng/aswclear.exe
● posiziona il file sul Desktop
● doppio click sul tool per eseguirlo
● clicca sul tasto Remove
● riavvia il sistema

Poi;
Disinstalla la versione attualmente installata di Hijackthis, è vecchia, e installa quella che ti ho proposto nel precedente post.
Esegui la scansion ed allega il log.

Al termine, scarica ed esegui, come indicato sopra, ComboFix.

 

[fracama87]

log hijackthis hijackthis.log

ora cerco e posto il log di combo

al momento non si vedono connessioni strane :D

con l'antivirus poi cosa faccio rimetto avast? (lo ritenevo il migliore ma è la seconda volta che mi tradisce in tre mesi...)

 

[fracama87]

ComboFix.txt ecco anche il log di combo :P

ma si capisce che diavolo era successo? :D e soprattutto i miei sospetti su k-lite codec pack erano fondati? (l'ho disinstallato stamane, PRIMA di chiedere aiuto qui quando speravo di farcela io...)

 

[fracama87]

in attesa di una tua risposta per non rimanere senza ho scaricato avast dal sito ufficiale e l'ho installato.

appena finita l'installazione son ripartite le connessioni a quella porta 12080! notare che non c'erano dalla tarda sera, dalla disinstallazione o forse da quando ho eseguito combofix :(

EDIT:
Stamane ho cercto un po' di info e ho trovato questa discussione http://forum.avast.com/index.php?topic=37684.0

ci starebbe mi sembra di capire che i BROWSER si connettano a quella porta... ma perchè hanno cominciato a farlo gli altri programmi? O.o

 

[FDAC]

Proprio avast dovevi scaricare? ;)

Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe
● posiziona il file scaricato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt

Infine; prova ad aggiornare MalwareBytes ed eseguire una scansione completa.

Se non riesci;
Scarica RandMBAM: http://kixhelp.com/wr/files/mb/randmbam.exe
Nota: Il programma crea un nome temporaneo, e lo associa a MBAM

● posizionalo nella stessa cartella in cui è installato MalwareBytes
● se MalwareBytes riesce ad avviarsi esegui una Scansione completa, cercando prima di aggiornarlo

 

[fracama87]

[TDSSKiller non ha trovato nulla (all'avvio ha provato a collegarsi a quella simpatica porta, ovviamente l'ho bloccato) allego il log.
TDSSKiller.2.5.21.0_12.09.2011_18.33.47_log.txt

ho seguito le istruzioni con RandMBAM e finalmente son riuscito ad aggiornare MalwareBytes che ora sta facendo la scansione.

un paio di annotazioni sulla giornata di oggi: se guardo il log delle connesioni bloccate che puntavano alla porta 12080 indirizzo 127.0.0.1 è molto lungo anche se alla fine il numero dei programmi è ridotto:
molto frequente dropbox, tutti i programmi antispyware già presenti (SUPERAntiSpyware Free Edition, SpywareBlaster, HiJackThis, Malwarebytes' Anti-Malware) le connessioni di avst sembrano pulite (in generale ho passato la giornata praticamente a controllare l'ip di tutte le richieste di comodo prima di dare l'ok...), svchost.exe, mcupdate (aggiornamento di media center), wermgr, dllhost, wlidsvc.exe e da stasera monitor.exe (dal percorso C:\Windows\PixArt\Pac207) e mi sembra basta

e cercando su internet informazioni relative agli ip le altre connessioni che mi sembrano un po' sospette o almeno degne di nota (tutte bloccate da comodo) sono:

svchost.exe, che si connette al 255.255.255.255 e 224.0.0.252
e svchost.exe, e opera che si connettono al 239.255.255.250 (porta remota 1900)

te le ho scritte sperando siano utili poi vedi tu.

(scansione di MalwareBytes a buon punto e senza risultati per ora)
ora esco appune torno avrà finito e posto il log.

ps. hai idea di quanto sia grave e quanto mi debba preoccupare? cioè fra un analisi e l'altra posso studiare tranquillo o mi stanno fottendo tutte le password/dati importanti?

:D

a proposito di avast il fatto è che non so cosa mettere... :( potrei anche optare per la versione completa di comodo, o avira ma attendo consigli :)


EDIT log di malwarebites: mbam-log-2011-09-13 (00-27-11).txt

 

[fracama87]

tentata anche l'esecuzione di malwarebytes in modalità provvisoria senza risultati :(
ora è aggiornato, ma se provo a cliccare nuovamente su aggiorna torna a connettersi alla porta malefica :(

 

[FDAC]

Elimina i crack presenti nel tuo PC;
Scarica CKScanner: http://downloads.malwareremoval.com/CKScanner.exe
● salva il file scaricato sul Destkop
● avvia il programma con un doppio click
● clicca sul pulsante Search For Files
● attendi il termine della scansione: dura poco più di un paio di secondi
● clicca sul pulsante Save List To File: salva il Report sul Desktop
● allega il file CKFiles.txt

Disinstalla Avast!, con la procedura di qualche mio post fa.

Poi, installa e configura Avira Free, come da guida;
Avira antivir « VirusDefender

 

[fracama87]

fatto fra poco scansiono e posto il log

riguardo l'antivirus per avira avrei trovato una licenza promo per la security suite per 180 giorni (legale, è il sito di avira! se vuoi posto il link) :D

la uso o mi conviene la versione free? in comodo ho firewall+ defense+ non vorrei andassero in conflitto ma mi sembra che facciano operazioni diverse

grazie ancora