Condividi:        

Svchost.exe e Invio non voluto di email

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Svchost.exe e Invio non voluto di email

Postdi piercing » 25/10/07 22:47

Ebbene si... è successo... e non so come...

sparo email in giro per il mondo...

tralascio il come me ne sia casualmente accorto... comunque ho verificato con uno sniffer... e purtroppo è vero...

il processo responsabile sembrerebbe essere l'istanza di svchost.exe che gestisce i servizi terminal e il distributed com... che si collega a diversi ip pubblici sulla porta 25... e con lo sniffer ho verificato che effettivamente quelle che partono sono email.

questo processo e le 64 librerie collegate sono tutte regolarissimi file di microsoft, o comunque li ho controllati uno per uno...

aggiungo che su questo pc non ho alcun client di posta elettronica configurata, ne lo uso per scaricare alcunchè...

ho effettuato tutte le scansioni possibili (NOD32, HJT, GMER) tutte con esito negativo...

Per concludere, in maniera abbastanza randomica, quando il pc è connesso alla LAN, mi compare la mascherina dello spegnimento del PC dopo un minuto, causato dal DCOM (per intenderci quella del vecchio Sasser).

Se avete qualche idea un pò più evoluta di dove andare a cercare, o avete sentito qualche informazione su problematiche del genere, mi farebbe molto piacere avere qualche riscontro...

Non seguo da un pò il mondo della security, e quindi non so se è uscito il "supervirus" dell'anno... ma non mi sembra di aver trovato in rete alcuna informazione utile...

grazie...
Immagine
:P www.langame.it vieni a trovarci! ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Sponsor
 

Postdi Luke57 » 26/10/07 07:34

Ciao, vai qui:
http://www.suspectfile.com/forum/viewtopic.php?t=466
e scarica systemscan per un controllo approfndito. Lo utilizzi come descritto nel link e poi potrai verificare il report che trovi in una cartella .zip in C:\suspectfile.
Se vuoi metterlo a disposizione per una doppia verifica, siccome è molto lungo, inserisci il file .zip in un sito di hosting (tipo easyshare et similia) indicando il link per poterlo vedere
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi piercing » 26/10/07 15:58

http://www.webconcept.it/public/pcf/26_ ... report.zip

non mi sembra di riscontrare anomalie particolari...

PS: il problema si verifica solo quando il pc è connesso alla rete, mentre la scansione è stata realizzata senza cavo di rete collegato, altrimenti il pc si spegne dopo poco con il solito alert di NT Authority System.
Immagine
:P www.langame.it vieni a trovarci! ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi kadosh » 26/10/07 23:44

Quando è connesso alla rete la CPU del thread svchost schizza al 100%?
Lo fa anche quando il cavo è staccato?
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi piercing » 27/10/07 00:39

no.. non schizza al 100%... rimane abbastanza quieta...

quando il cavo è staccato il pc non da problemi...
Immagine
:P www.langame.it vieni a trovarci! ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Dylan666 » 27/10/07 00:58

Il contenuto delle mail in uscita? Hanno allegati virulenti?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi piercing » 27/10/07 20:37

grazie agli amici di suspectfile il problema è risolto...

la soluzione è stata piuttosto complessa... ed ha coinvolto anche la decompilazione di 2 dll...

riteniamo sia qualche malware per il quale ad oggi la maggioranza degli antivirus non ha ancora le firme...

come l'abbia preso... non si sà...

se ho aggiornamenti sulla faccenda... vi farò sapere... e non posso invitarvi come sempre alla massima attenzione...
Immagine
:P www.langame.it vieni a trovarci! ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Dylan666 » 28/10/07 01:45

si possono sapere quali erano le dll incriminate?
Si è capito le mail cosa contenessero?
Avete inviato i file a qualche laboratorio di analisi di antivirus?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi piercing » 28/10/07 16:26

il nome della dll pare sia casuale... nel mio caso wmpvis32.dll

la particolarità è che nelle proprietà del file sembra un normale file di microsoft...

solo dalla verifica del sistema di compattazione della dll che non è quella tipicamente microsoft... abbiamo capito qualcosa...

qui i dettagli della soluzione...
Immagine
:P www.langame.it vieni a trovarci! ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma


Torna a Sicurezza e Privacy


Topic correlati a "Svchost.exe e Invio non voluto di email":

Password Imap (email)
Autore: lukarello7
Forum: Discussioni
Risposte: 8

Chi c’è in linea

Visitano il forum: Nessuno e 44 ospiti

cron