Condividi:        

il mio pc spedisce e-mail da solo!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

il mio pc spedisce e-mail da solo!

Postdi kaibrep » 03/03/05 09:36

Da alcuni giorni, durante la navigazione, mi appare continuamente il pop up di AVG che mi avvisa prima di una ricerca di uno o più server e poi procede alla scansione di centinania di e-mail in uscita.
Il task manager mi dice che outlook-express è stato evocato.
Apro outlook-express e ci trovo altrettante e-mail ricevute da avgmailer@localhost in cui si dice che le e-mail contengono un virus.
Credo, anzi spero, che queste e-mail non arrivino da nessuna parte, che tutto avvenga nel mio pc, non fosse altro perchè ho un account di posta su tin.it ma mi connetto con altro provvider e per leggere la posta devo usare freepops.
Fatte scansioni con AVG, ADWARE,SPYBOOT....niente, hijackthis nulla di anormale.
Nessuna altra connessione ad internet è stata creata, nessun nuovo account di posta è statto creato, nessunn altro client di posta è installato.
Divertente no?
Se qualcuno mi aiutasse gliene sarei davvero grato.
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

Sponsor
 

Postdi Dylan666 » 03/03/05 13:58

prova a trascrivere un log di HijackThis e magari comincia a installare un firewall che blochi l'accesso di Outlook, anche se l'antivirus dovrebbe già impedire l'uscita delle mail a quanto leggo.
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

il mio pc invia e-mail da solo

Postdi kaibrep » 03/03/05 15:23

grazie Dylan, ma vorrei scoprire chi è cosa provoca l'invio delle e-mail.
Trascriverò il log.
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

Postdi Dylan666 » 03/03/05 15:32

Non è detto che il firewalla non aiuti pure in questo, perché non è detto che la mail sia l'unico mezzo con cui il virus si propaga via rete. Inoltre se permetti la priorità è fermare la diffusione: se malauguratamente una mail per una ragione qualsiasi passa il controllo dell'antivirus potresti infettare uno de tuoi contatti in rubrica.
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi kaibrep » 03/03/05 16:10

Ok Dylan, farò in modo che stanotte nella rete ci siano un miliardo di e-mail infette meno le mie cento.
I miei contatti, pochissimi, non hanno ricevuto nulla da me, avevo controllato ieri.
Gli indirizzi dei destinatari delle e-mail sono tutti del tipo xvdjhg...@aol.com, ma naturlamente non ho potuto leggerli tutti.
In pratica è come se avessi un client di posta che agisce su più account e che invia e-mail utilizzando un suo database di indirizzi.
Questa sera, sperando di non scocciare, proverò a postare l'header di una di queste e-mail, nonchè la versione di outlook in uso.

Ti ringrazio davvero per l'interesse dimostrato.
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

HijackThis log

Postdi kaibrep » 04/03/05 00:45

Questo è il log di HijackThis quando con il pc connesso inizia l'invio delle email

di seguito un altro log con il pc non connesso
Logfile of HijackThis v1.97.7
Scan saved at 23.08.40, on 03/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Documents and Settings\pinosso\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9805814750
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 9813425926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6694BD2C-BE85-42A4-9275-7939A5462129}: NameServer = 151.99.125.2 151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{6694BD2C-BE85-42A4-9275-7939A5462129}: NameServer = 151.99.125.2 151.99.125.3

secondo log

Logfile of HijackThis v1.97.7
Scan saved at 23.10.01, on 03/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Documents and Settings\pinosso\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9805814750
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 9813425926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

una e-mail di esempio

Postdi kaibrep » 04/03/05 00:52

Questo il dettaglio dei messaggi di posta

From: AVG for Email <avgmail@localhost>
To: tessaoiqailqhbisj@comcast.net
Subject: Undelivered Mail Returned to Sender
Date: Wed, 02 Mar 2005 01:14:42 +0100
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="===AVG-491C440D==="

--===AVG-491C440D===
Content-Description: Notification
Content-Type: text/plain; charset=windows-1250
Content-Transfer-Encoding: 8bit

This is the AVG E-mail Scanner program.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

-------------------------------------------------------------------
Cannot open smtp connection to '64.12.137.121'
Receive: : Operazione completata. (0)

-------------------------------------------------------------------

Your e-mail message is being returned to you in the next part of this
message. Try to send the message again.

Should you need assistance, please contact your administrator or your
internet service provider.
--===AVG-491C440D===
Content-Description: Undelivered Message
Content-Type: message/rfc822

Received: from 127.0.0.1 (AVG SMTP 7.0.300 [266.5.1]); Wed, 02 Mar 2005 01:08:45 +0100
Received: from [66.169.136.50] (HELO THlywWG) by host172-136.pool80104.interbusiness.it with Microsoft SMTPSVC(5.0.2195.5600);
Tue, 1 Mar 2005 16:08:37 -0800
From: "Tessa" <tessaoiqailqhbisj@comcast.net>
Date: Tue, 1 Mar 2005 16:08:28 -0800
Message-ID: <1f4201c51e7a$0e6b596c$559cf320@host172-136.pool80104.interbusiness.it>
To: ddhh2233@aol.com
Subject: SEXUALLY-EXPLICIT: Nude College girls living on an island paradise, TOGETHER!
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1409
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="=======AVGMAIL-422504185824======="

--=======AVGMAIL-422504185824=======
Content-Type: multipart/alternative; boundary="----=_NextPart_000_7E70_57CC0DFC.7AAAEB28"

------=_NextPart_000_7E70_57CC0DFC.7AAAEB28
Content-Type: text/plain; charset=iso-8859-1

http://uk.geocities.com/lin43149kezkar/ ... TE0MDUyMjI

4e u5 n354 881a 0ni59yirxk l634r05u347h
06x6 8x 79hm 9y1s m90z 28mz 6i89
20n1by 83 q910 g99d 43rk o09h tk84
19 fqwl 48 7n3w 40i6 m20p gqmx b88f79c975hl
s1 035g 38 g143 7qg3 pd8p 2853 0r23
x5 a94b64 bo3r 6v82 5hwl 4l7g g0h6
ts my6x e6p0 dgl2 1x15 67sv t7ev
nn zb 89t70292ia ga9sv1q0np d03howv6rapg




h107v5uk 1e85br5tby 65t3 6t2m 56w5q3219707 759817kko8 0b5t0yt4t3sz
s0o2 sd xkvx 9bq5 01pg 61xw b501 95v9 6o e161
7210 g024 5v9z 0n30 1r4c 2v96 dz8c 29n7
2p3i t0x7 2k22 133g 9pc7 q7476fipfgio 9016 1px9lr8202m1
066g 3ma7 asci u318 3354 844p gfm6 bw6w2r g157
br60 7x22 6g5i hz56 kr0e f7fc 45nn n127 74e4
1445 gb l6d0 96m3 of1g q97k h883 i540 t265 207z
ln8x7s7k 5onlh98y52 xvd13cv41lt9 964f7h9vy0d4 4ay8572b6695 200x98g41684 84dvt11146i1


http://uk.geocities.com/lin43149kezkar/ ... TE0MDUyMjI


------=_NextPart_000_7E70_57CC0DFC.7AAAEB28
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1400" name=GENERATOR>
<STYLE></STYLE>
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

Postdi Dylan666 » 04/03/05 01:01

Niente SP2 vedo.
Se una scansione antivirus completa non dà risultati interessanti comincia a pensare a usare un programma tipo questo:

http://www.pc-facile.com/Process_Logger_s317/

Mi chiedo se sei abbastanza protetto pure dai worm e se non hai qualche porta/servizio configurato molto molto male.
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

DOWNLOADER-NL e BACKDOOR-CGZ

Postdi kaibrep » 04/03/05 01:04

ho eseguito una scansione on line dal sito di Mcafee e mi ha trovato due files

backup-20050228-002301-186.dll identificato come DOWNLOADER-NL E
msexploren.exe identificato come BACKDOOR-CGZ

la cosa comica è che il primo file, la dll, si trovava nella directory di HijackThis insieme ad altre 8 dll....

ho cancellato i files di cui sopra, ma naturalmente non è cambiato nulla.
Ho controllato la directory Sistem Volume Information e non sembra vi siano cose che non dovrebbero.

Ringrazio anticipatamente chi vorrà consigliarmi, o quantomeno indicarmi qualche altra discussione simile su questo forum.
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

Postdi Dylan666 » 04/03/05 01:10

Ecco appunto, abbiamo ospiti indesiderati.
Io comincerei a pensare seriamente a:

1) aggiornare l'antivirus e passarlo in modalità provvisoria

2) passare un programma anti-spyware

3) installare un firewall

4) mettere il SP2

Insomma, essere aggiornati sul fronte della prevenzione e della difesa. Magari anche usando un HijackThis aggiornato.
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46

Postdi kaibrep » 04/03/05 01:12

Grazie Dylan, domani preleverò quel programma.
Per quanto riguarda la configurazione di qualche servizio non so cosa dire,
è una installazione di default non ho configurato nulla.
Ho una connessione su cui ho attivato il firewall di XP, che credo non serva a molto...ma per il resto....
Ho rimosso tutti gli account di posta in outlook, adesso il pop up di avg si apre, tenta di inviare qualcosa, rimane lì per un pò e si chiude
A domani.
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

sembra risolto

Postdi kaibrep » 04/03/05 22:36

Ho scaricato l'ultima versione disponibile di HijackThis e mi ha trovato alcune voci strane e una dll nella directory di sistema che ho rimosso in modalità provvisoria.
Purtroppo non posso postare il log in quanto alla successiva scansione di HijackThis è stato riscritto.
Confermo che Avg ha bloccato le e-mail in uscita, ma l'ultimo live update è al 03/03/2005, BACKDOOR-CGZ risulta conosciuto dal 15/02/2005 e non lo ha rilevato. del resto anche Adware e Spyboot entrambi aggiorrnati non hanno rilevato nulla.
Ringrazio Dylan per l'assistenza, anche se aggiornare a SP2 un sistema infetto, senza formattare, non mi sembra una scelta felice, l'antivirus e lo spyware erano aggiornati.
kaibrep
Utente Junior
 
Post: 16
Iscritto il: 02/05/04 14:46

Postdi Dylan666 » 04/03/05 22:50

Il funzionamento del SP2 non è per froza pregiudicato dalla presenza dei virus, anzi contiene molte patch atte a coprire vulnerabilità spesso sfuttate su computer già infetti.
Avatar utente
Dylan666
Moderatore
 
Post: 39983
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "il mio pc spedisce e-mail da solo!":


Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti