Malware in azione?

[jolly86]

Ciao a tutti, amici! Volevo mettervi al corrente di una cosa curiosa che mi è capitata e allo stesso tempo chiedere un vostro parere.
Da qualche tempo, usando Emule Adunanza, mi capita che nonostante non vi siano file da uplodare nella schermata degli upload rimanga una richiesta di upload file sconosciuto. Una volta ho anche visto comparire il pop up di avg che controllava una mail in uscita che non ero stato io a spedire.
Ho come l'impressione che "qualcuno" continui a tirare fuori dei dati dal mio pc... Secondo voi è possibile? Cosa potrei fare per controllare? Tutti gli antivirus e anti spyware/malware usati dicono che è tutto pulito... Grazie in anticipo per i vostri consigli!

 

[VIANELLO_85]

Posta un log di hijackthis nell'apposito 3d.

Tieni aggiornati gli antivirus.

 

[jolly86]

Ciao! Riesumo questo post per chiedervi consiglio.
Sygate Firewall mi ha avvisato che AVG E-Mail Scanner è stato modificato. Nei dettagli ho notato che il Remote Name è "ANantes-156-1-21-172.w90-12.abo.wanadoo.fr" e contemporaneamente mi è apparso il pop up AVG "Scansione E-mail" in basso a dx come se stesse controllando una mail in uscita con dentro scritto "Connessione a ANantes-156-1-21-172.w90-12.abo.wanadoo.fr". Io ho negato il permesso. Ma di cosa si tratta? Può essere un malware?
Scusate se vi ho chiesto una sciocchezza...
grazie!

 

[Supernino]

hai ricevuto mail-spam ultimamente potrebbe essere quello

Non dovrebbe trattarsi niente di grave, ma comunque è "un tentativo di accesso al pc non autorizzato", anche se non c'è da preoccuparsi.

L'importante è che ogni tanto dai un controllatina al log di HiJackThis e fai una scansione antivirus...

 

[Andremales]

dal tuo client email dovresti essere in grado di controllare quali sono le email effettivamente inviate/ricevute....
L'etichetta "ANantes-156-1-21-172.w90-12.abo.wanadoo.fr" corrisponde ad un indirizzo internet di un provider francese assegnato a qualche utente che risiede nella zona di Nantes (sono tutti del tipo: Acittà-IP.wanadoo.fr)
Comunque sia, se ti interessa sapere se hai qualche connessione attiva "maligna" non devi fare altro che un netstat.
Apri una console DOS e digita:

netstat -a > connessioni.txt

poi con il notepad apri il file connessioni.txt, ed esamina tutte le righe dove hai la connessione in ESTABILISHED.
Importante: fai questo quando l'attività di rete (voluta da te) è minima, cioè senza programmi aperti tipo emule, messenger, browser internet, ecc.

Se nelle righe dove compare ESTABILISHED vedi una riga che contiene un IP con wanadoo.fr allora io comincerei ad avere qualche sospetto.

 

[jolly86]

Grazie! Posto qui il risultato dell'operazione che mi hai consigliato. Che ne dici?

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP Jolly:echo Jolly:0 LISTENING
TCP Jolly:discard Jolly:0 LISTENING
TCP Jolly:daytime Jolly:0 LISTENING
TCP Jolly:qotd Jolly:0 LISTENING
TCP Jolly:chargen Jolly:0 LISTENING
TCP Jolly:epmap Jolly:0 LISTENING
TCP Jolly:microsoft-ds Jolly:0 LISTENING
TCP Jolly:netbios-ssn Jolly:0 LISTENING
TCP Jolly:1041 Jolly:0 LISTENING
TCP Jolly:1062 localhost:10080 CLOSE_WAIT
TCP Jolly:5152 Jolly:0 LISTENING
TCP Jolly:5152 localhost:1079 CLOSE_WAIT
TCP Jolly:10080 Jolly:0 LISTENING
TCP Jolly:13128 Jolly:0 LISTENING
TCP Jolly:18080 Jolly:0 LISTENING
TCP Jolly:echo Jolly:0 LISTENING 0
TCP Jolly:discard Jolly:0 LISTENING 0
TCP Jolly:daytime Jolly:0 LISTENING 0
TCP Jolly:qotd Jolly:0 LISTENING 0
TCP Jolly:chargen Jolly:0 LISTENING 0
TCP Jolly:epmap Jolly:0 LISTENING 0
UDP Jolly:echo *:*
UDP Jolly:discard *:*
UDP Jolly:daytime *:*
UDP Jolly:qotd *:*
UDP Jolly:chargen *:*
UDP Jolly:microsoft-ds *:*
UDP Jolly:isakmp *:*
UDP Jolly:1056 *:*
UDP Jolly:3544 *:*
UDP Jolly:4500 *:*
UDP Jolly:ntp *:*
UDP Jolly:netbios-ns *:*
UDP Jolly:netbios-dgm *:*
UDP Jolly:router *:*
UDP Jolly:1039 *:*
UDP Jolly:1900 *:*
UDP Jolly:ntp *:*
UDP Jolly:1057 *:*
UDP Jolly:1900 *:*
UDP Jolly:echo *:*
UDP Jolly:discard *:*
UDP Jolly:daytime *:*
UDP Jolly:qotd *:*
UDP Jolly:chargen *:*

 

[Andremales]

Le righe da analizzare come ti avevo detto erano quelle con ESTABILISHED, ma tu non ne hai nemmeno una. Hai parecchie connessioni in ascolto (LISTENING), e due connessioni appena chiuse verso te stesso (CLOSE_WAIT).
Nessuna connessione "malware" verso l'esterno (in questo momento), pertanto dovresti essere tranquillo (ripeto, perlomeno nell'istante in cui hai fatto il controllo delle connessioni - il controllo andrebbe fatto più volte nell'arco di tempo in cui il PC sta acceso).
Comunque per sicurezza fai una scansione con HiJackThis e metti il log nel thread in evidenza, come ha detto Supernino.

 

[jolly86]

Grazie mille!!
Ho postato il mio log per un controllo. Gli dai uno sguardo, per favore?
Grazie ancora!

 

[Supernino]

Il log è pulito