Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* [GUIDA] Eliminazione di win32 Trojan Agent / LinkOptimizer
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 06 Lug 2006 13:30    Oggetto: * [GUIDA] Eliminazione di win32 Trojan Agent / LinkOptimizer Rispondi citando

aggiornamento guida al 6 settembre 2006


Questa guida scritta agli inizi di luglio circa, era stata pensata per la rimozione manuale, quando i vari antivirus stentavano a riconoscere LinkOptimizer. Ora dopo un paio di mesi Symantec e altri lo riconoscono e la PrevX ha preparato un tool per la rimozione automatica. Si consiglia di provare prima ad usare questo tool (maggiori informazioni qui) e solo in caso di suo fallimento o di qualche residuo rimasto continuare con questa guida.


Visto il proliferare di richieste di aiuto relative a questo nuovo Adware, vi posto la guida fai da te per la rimozione. Quanto segue vale per la rimozione da fare in questi giorni, perchè spero che qualche softwarehouse antivirus si attrezzi presto per rimuoverlo in maniera più automatica.

Questa infezione causa i seguenti sintomi:
  • Avast segnala che uno o più file con estensione tmp, exe o dll sono infetti dal trojan Win32/Agent. Cancellarli non serve perchè si ripresentano
  • la navigazione internet rallenta fino a cadere, poi si crea una nuova connessione
  • durante la navigazione in Google compaiono dei popup pubblicitari

Sono i sintomi tipici di Linkoptimizer, un adware che si installa nel PC sfruttando l´exploit-WMF. Basta cioè navigare con Internet Explorer e il PC non patchato in qualche sito dove è presente una immagine wmf appositamente confezionata per scaricare in automatico questo adware.

E´ possibile vedere (ma non capita sempre) la presenza di LinkOptimizer nel Pannello di Controllo >> Installazioni Applicazioni. Se è così, non tentate la disinstallazione: non sembra funzionare (si viene rimandati ad un sito internet) ed inoltre è stata riportata (grazie Guia) in seguito a questo tentativo l´installazione di un rootkit.

Le ultime varianti di Linkoptimizer non si vedono dal pannello di controllo proprio perchè fanno uso di tecniche di rootkit per nascondersi. Utilizzano un tool che Bitdefender riconosce come Backdoor.HackDef.Gen.


Modifiche apportate dal trojan al PC (non è detto ci siano tutte)
  • installazione in C:/windows di una o più dll nascoste con nomi random (è il linkoptimizer vero e proprio)
  • creazione in C:/programmi o C:/windows/temp di file nascosti con estensione exe, dll, tmp. I file hanno nomi random che cambiano all´avvio. Si tratta di varianti del trojan Agent
  • creazione di una utenza nascosta nel PC con nome random. Si troverà una cartella creata alla data dell´infezione in C:/documents and /settings
  • Creazione di un nuovo servizio con nome random. Il servizio si identifica facilmente dall´elenco dei servizi (Start >> Esegui digitare services.msc e premere invio) perchè nella colonna connessione riporta un nome random.
  • Download ed avvio del tool rootkit per nascondersi alle API di Windows. Le sue caratteristiche sono:
    • un nome che fa uso dei nomi riservati in windows (com#, lpt#, nul# prn#) per rendere difficile la sua rimozione.
    • viene salvato in C:/windows/system32 nei sistemi con FAT32 e negli ADS (alternate data streams) nei sistemi NTFS.
    • E´ avviato all´apertura di qualsiasi programma o finestra GUI poichè è caricato dalla chiave di registro APPInit_DLLs key

    NOTA: in presenza di questa variante, il rootkit e le dll random NON sono visibili da explorer.exe e anche la chiave di registro APPInit_DLLs sembra apparentemente vuota. E´ possibile vedere il nome dei file facendo uso di tools antirootkit, come rootkitrevelear o GMER.
    Con Rootkirevelear in caso di infezione il log appare di questo tipo
    Citazione:
    HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 17/06/2006 10.29 66 bytes Windows API length not consistent with raw hive data.
    C:/WINDOWS/hyqtt1.del 10/07/2006 14.56 63.16 KB Hidden from Windows API.
    C:/WINDOWS/hyqtt1.dll 10/07/2006 14.56 63.16 KB Hidden from Windows API.
    C:/WINDOWS/system32/com4.igp 10/07/2006 16.39 115.04 KB Hidden from Windows API.

    In questo caso l´infezione risale al 10 luglio. La prima riga ci informa che il tool antirootkit è stato caricato dalla APPInit_DLLs (è il file com4.igp). Questo tool ha nascosto il linkoptimizer (i due file hyqtt1).


Sintomi rilevabili da HijackThis (non necessariamente)
  • R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page =
  • R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
  • R3 - Default URLSearchHook is missing
  • O2 - BHO: Class - {1A06B321-9911-88C0-89F1-281F7413084A} - C:/WINDOWS/hyqtt1.dll (file missing)
    Il nome del BHO può variare: Class o Java update console, così come la CLSID (i numeri tra le parentesi graffe). E´ abbastanza comune vedere file missing oppure no file. Sintomo che il rootkit ha nascosto la dll e HijackThis non la vede


Come risolvere
Se si ha XP o ME, la cosa più semplice e veloce per risolvere il problema è utilizzare il Ripristino configurazione di sitema per ripristinare il PC ad una data precede a quella in cui sono iniziati i problemi. Come fare è spiegato in questa guida.
Se il ripristino non ha successo, si può provare con un paio di scansioni: una online con Bitdefender e una scaricando e usando Virit (tra l´altro italiano) dalla modalità provvisoria. Prima di usarlo aggiornarlo online.

Entrambi gli antivirus riconoscono e rimuovono Linkoptimizer, ma potrebbero avere problemi con la variante che fa uso del rootkit. In questo caso si può rimuovere manualmente con la seguente procedura:

RIMOZIONE MANUALE
(se avete bisogno di aiuto leggete più avanti cosa fare, alla sezione AIUTO DAL FORUM DI ZEUSNEWS)
  1. Scaricare Rootkirevelear e fare il log. Il log va fatto senza usare il PC con tutte le applicazioni (anche l´AV) chiuse e disconnessi da Internet.
    Da quel log identificare le voci infette (sono quelle hidden from windows API create con la data dell´infezione). Deve esserci almeno una dll in C:/windows e un file con nome riservato (vedi sopra) in C:/windows/system32.
  2. Abilitare la visualizzazione dei file nascosti e di sistema (vedi in fondo alla guida come fare)
  3. cercare il nome di un utente fittizio nome random) in C:/documents and settings/ la cui cartella è stata creata il giorno dell´infezione
  4. cercare gli eventuali file con estensione exe, dll, tmp (nascosti) che hanno nomi random e si trovano in C:/programmi o C:/windows/temp e che riportano la data di creazione recente (1-2giorni).
  5. Disinstallare dal pannello di controllo tutte le versioni di java installate. Al termine della pulizia si potra reinstallare l´ultima, scaricata dal sito della SUN
  6. fixare (eliminare) con HijackThis tutte le voci R0, R1 e R3 come quelle viste prima e le righe del tipo O2 - BHO: (nome)-{xxx}-(nofile) dove XXX è una serie di lettere e numeri, ad esempio {DA39029C-D291-A968-3FF4-D0990D5CB5FC} e nome p un nome tipo class, JavaScript console
  7. Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato
  8. svuotare tutte le cartelle temporanee, di tutti gli utenti sul PC. Ad esempio C:/temp; C:/windows/temp; C:/documents and settings/nome_utente/temp e così via. Cercarle con Trova per non dimenticarne qualcuna. E´ possibile usare un tool per farlo come CCleaner, ma comunque è bene controllare manualmente
  9. Cancellare se esistente la cartella linkoptimizer (o link optimizer) dal PC con tutto quello che contiene
  10. svuotare il cestino


Ora occorre scaricare The Avenger sul Desktop.
- Estrarre l´eseguibile sul desktop.
- copiare il contenuto del riquadro qui sotto negli appunti (CTRL+C). NOTA: il contenuto va creato personalmente sulla base di quanto trovato, come spiegato qui sopra

Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\hyqtt1.dll la dll nascosta trovata nel vostro log di RKR
C:\WINDOWS\system32\com4.igp il rootkit con nome riservato trovato nel vostro log di RKR
C:\programmi\xyz.exe altri file eventualmente trovati

Folders to Delete:
c:\documents and settings\dkc eventuale cartella utente trovata
c:\windows\temp


- avviare The Avenger e selezionare Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollare quanto copiato sopra premendo Ctrl+V
- cliccare Done
- cliccare l´icona con il semaforo con la luce verde per avviare lo script
- rispondere Yes due volte

se il PC non si riavvia da solo, riavviatelo manualmente

Al riavvio se la procedura è andata bene il trojan è stato disattivato. Potete controllare nel log di Avenger (C:/avenger.txt) l´esito dello script. In C:/Avenger ci saranno i bacup di tutti i file rimossi. Se il PC funziona bene, tutta la cartella Avenger si potrà cancellare

Per finire il lavoro:
  1. Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella!
  2. in caso di NTFS: fate la scansione degli ADS con HijackThis. Aprite HijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy... e si toglie il segno di spunta dalla casella Quick Scan. Faite riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected
  3. da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.


A questo punto il PC è ripulito da LinkOptimizer Mr. Green
Consigliamo però di installare al più presto la patch per rimuovere la vulnerabilità da cui ha avuto inizio il problema. E´opportuno anche eseguire un paio di scansioni online: Bitdefender e kaspersky (con database esteso) sono ottimi. Prima della scansione disattivate la protezione realtime del vostro AV


AIUTO DAL FORUM DI ZEUSNEWS
Se non ve la sentite di seguire questa procedura da soli, ma volete essere assistiti, aprite un vostro nuovo topic e riportate queste informazioni, vi risponderemo al più presto:

  1. Log di HijackThis. Fate riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?ar=stampa&cod=4701
  2. Rootkit di Gmer: scaricate GMER.EXE. Avviatelo, andate sul Tab Rootkit , cliccate su Scan . Il risultato della scansione si può salvare premendo Copy e incollare dove volete.
  3. Autostart di GMER: allo stesso modo del punto 1 fate anche la scansione dal tab Autostart di GMER
  4. la presenza di una cartella chiamata linkoptimizer o link optimizer ed il suo percorso
  5. i nomi dei file nascosti con estensione exe, tmp, dll (o altre) che hanno nomi random, presenti in C:/programmi che sono stati creati con una data recente (1-2 giorni)
  6. il nome delle cartelle con la loro data di creazione presenti in C:/Documents and settings



Mentre aspettate la risposta del forum, se possibile NON RIAVVIATE, altrimenti i nomi dei file random nascosti potrebbero cambiare.


----------------------------------------------------------

IMPORTANTE: Quando cercate i file o cartelle, abilitate prima le visualizzazione dei file nascosti e di sistema:
Citazione:
- aprire gestione risorse
- dal menu selezionare strumenti >> opzioni cartella
- selezionare il tab visualizzazione
- mettere la spunta alla casella visualizza file e cartelle nascoste
- togliere la spunta alla casella nascondi file di sistema (consigliato) (ozione più in basso)
- cliccare Si, poi Applica, poi OK.


L'ultima modifica di holifay il 25 Set 2006 13:40, modificato 17 volte
Top
Profilo Invia messaggio privato
guia
Eroe
Eroe


Registrato: 21/04/05 18:16
Messaggi: 63

MessaggioInviato: 08 Lug 2006 14:35    Oggetto: Rispondi citando

Holifay, ti posto qualche altra notizia sul LinkOptimizer, purtroppo senza files da allegare
Ieri mi hanno portato un Xp Home da mettere a posto e ci ho trovato il Link Optimizer un po' gia' "sciancato" (non so dirti se perche' l'antivirus qualcosa ha fatto o perche' era ormai parecchio che girava in buona compagnia (c'erano anche InfoStealer e Dialer PV)
Ecco cosa ho trovato che non avevo trovato nelle altre 2 infezioni :
- in c:\Windows una serie di tmp con nome in esadecimale (3.tmp, A.tmp, 1C.tmp etc), copie del LinkOptimizer.dll
- Il nuovo utente con nome lungo (pzJLH....) il quale si era "impossessato" della proprieta' e gestione della chiave registro relativa ai BHO (non ho ancora finito di spulciare il registro per vedere se e di quali altre chiavi si fosse impossessato.
- Un servizio passato come Symantec password protec (servizio WebSrx che richiamava un file in root - non piu' presente -vbZ.exe)
- Nessuna cartella col LinkOptimizer
- Inoltre, per errore causa mouse difettosp, ho avviato la disinstallazione (questa si c'era!) del LinkOptimizer: non e' vero che non fa nulla, parte l'installazione di un rootkit, in questo caso c:\Windows\ffcfy1.dll anche senza effettuare l'accesso ad Internet.
Dei file sospetti ho solo i tmp ed il file del Dialer Pv
Per ora non ho trovato altre cose "nuove"
Ciao
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 08 Lug 2006 15:48    Oggetto: Rispondi citando

@guia: grazie delle info. Mi fai capire meglio? io lo disinstallo dal Pannello di controllo e questo mi installa un rootkit, anche senza collegarsi ad internet?

Quello che ho provato a fare personalmente, non è cliccare su disinstalla (io non avevo linkoptimizer), ma controllare il sito web a cui si collega quando cerchi di disinstallarlo dal pannello di controllo. Si apre una pagina con un pulsante con scritto uninstall e se premi quel pulsante compare la scritta thanks. E´ questo link internet che non porta a niente che citavo... non è collegato a nessuno script... bho.

Mi avrà installato un rootkit? Shocked

Wink


PS, ti ho spostato qui perchè in quell´altro topic così lungo queste informazioni avrebbero finito per andare perse, così sono più in evidenza.
Top
Profilo Invia messaggio privato
guia
Eroe
Eroe


Registrato: 21/04/05 18:16
Messaggi: 63

MessaggioInviato: 08 Lug 2006 20:10    Oggetto: Rispondi citando

Gia'!
In questi casi normalmente NON uso la disintallazione ma in questo periodo sono sotto attacco di emicrania (da parecchi giorni) e cosi fra rinscemimento mio e complice il mouse fonfo del portatile mi e' scappato un click; per fortuna avevo installato spyware Guard che ha subito beccato il tentativo di installazione.Percio' il disinstalla del Link Optimizer comunque installa un rootkit e poi va su quella pagina (che avevo guardato anch'io a suo tempo) Non so dirti se anche dalla pagina web lo installi.
PS ho visto il log ultimo di Excelsis, fagli controllare quel servizio Soundman, nel Win Me che aveva il LinkOptimizer c'era un Soundman non legittimo e collegato al "bastardello"
Ciao
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 10 Lug 2006 12:07    Oggetto: Rispondi citando

Aggiungo ancora qualche info oltre a quelle di Guia:

In un altro computer la situazione era questa:

Nascoste dal rootkit queste dll (il nome è random)
C:/WINDOWS/watca1.dll
C:/WINDOWS/watca1.upd

IL rootkit era negli ADS della cartella System32
C:/WINDOWS/system32:c_285tz.nls

Il nome utente proprietario delle chiavi del registro era lungo:
c:/documents and settings/FgKHzLTbBPUnetv

Una volta richiamato dalla chiave APPInit:_DLLs il rootkit provvedeva a rendere invisibili i due file di prima, se stesso e il link richiamato dalla chiave di registro. HijackThis e silentrunners infatti la vedevano vuota


Il rootkit si connette in modalià stealth a questi indirizzi (grazie al forum di sysinternals per l´aiuto):

Citazione:
hťťp://www.flashkin.net/sl.php
hťťp://www.flashkin.net/common/template.php
hťťp://www.flashkin.net/sh.php
hťťp://www.flashkin.net/bs.php
hťťp://www.flashkin.net/wl.php
hťťp://www.flashkin.net/wlink.php
hťťp://www.flashkin.net/ws.php
hťťp://www.flashkin.net/gc.php
hťťp://washerner.com/
hťťp://chongchua.com/
hťťp://livingcert.com/
hťťp://fogcu.com/
Top
Profilo Invia messaggio privato
Rjoga
Comune mortale
Comune mortale


Registrato: 22/08/06 20:47
Messaggi: 1

MessaggioInviato: 22 Ago 2006 20:55    Oggetto: Re: Eliminazione di win32 Trojan Agent / LinkOptimizer Rispondi citando

holifay ha scritto:
aggiornamento guida al 13 luglio 2006


[*]Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato.....
[/quote]

Salve a tutti, è il mio primo post e vi chiedo scusa se inizio proprio così, ma non ho capito bene dove si trova l'elenco dei servizi citato e quando e dove è stato creato il servizio random?
Se siete così gentili da illuminarmi ve ne sarò eternamente grato.
Top
Profilo Invia messaggio privato
Gateo
Dio maturo
Dio maturo


Registrato: 17/11/03 18:16
Messaggi: 12379

MessaggioInviato: 23 Ago 2006 14:11    Oggetto: Rispondi citando

L'elenco dei servizi lo ottieni scrivendo in start/esegui

service.msc

seguito da invio.

Nella lista cosi' ottenuta potrai notare sulla destra una colonna "connessioni" tra le quali dovrebbe essere evidente il nome che non centra (normalmente son tutti "servizio di rete" o "servizio locale").

E benvenuto!
E, non si scrive Ryoga?
E, se si scrive Ryoga, come hai fatto a trovarci?
Top
Profilo Invia messaggio privato
Typhoon90
Dio maturo
Dio maturo


Registrato: 01/06/06 15:17
Messaggi: 1019
Residenza: Vivere per niente o morire per qualcosa. Scegli tu.

MessaggioInviato: 23 Ago 2006 20:45    Oggetto: Rispondi citando

domanda: ma non c'è un antivirus che lo rileva???
in caso basterebbe farlo presente ai vari "labs"
Top
Profilo Invia messaggio privato HomePage
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 23 Ago 2006 23:27    Oggetto: Rispondi citando

Typhoon90 ha scritto:
domanda: ma non c'è un antivirus che lo rileva???
in caso basterebbe farlo presente ai vari "labs"
Presumo sia già stato fatto: se ho ben capito holifay è solita far pervenire ai vari labs tutti i virus "sconosciuti" che vengono segnalati nel forum.
Top
Profilo Invia messaggio privato
amvinfe
Comune mortale
Comune mortale


Registrato: 17/04/06 20:21
Messaggi: 1

MessaggioInviato: 25 Ago 2006 11:01    Oggetto: Rispondi citando

chemicalbit ha scritto:
Typhoon90 ha scritto:
domanda: ma non c'è un antivirus che lo rileva???
in caso basterebbe farlo presente ai vari "labs"
Presumo sia già stato fatto: se ho ben capito holifay è solita far pervenire ai vari labs tutti i virus "sconosciuti" che vengono segnalati nel forum.
ciao a tutti,
esattamente.
Il problema è che al momento non v'è nessun antivirus in grado di rimuovere tutti i valori che il trojan installa; ne esistino principalmente due varianti, una che installa in C:\Windows\Temp il file ****1.exe dove * è = a 4 lettere random, ed una che installa in C:\Windows il file *****1.dll dove * è = a 5 lettere random questi sono i primi due sintomi per capire se si è infetti dal trojan.
Altro utile controllo è quello di verificare se è stato creato uno o più Account utente, per verificarlo da

Start>Esegui
scrivere
control userpasswords2
e dare l'OK. Dobbiamo trovare oltre ad Admininistrator, l'account ASPNET ed eventualmente il nostro, un Account utente che ha una serire di lettere maiuscole/minuscole dal nome impronunciabile è segno dai dinfezione.
Ulteriore verifica può essere quella di sincerarsi che in
C:\Programmi\File comuni\System
non vi siano dei file (uno o più) dove il nome dello stesso è scritto con caratteri di colore verde.
Top
Profilo Invia messaggio privato
Gateo
Dio maturo
Dio maturo


Registrato: 17/11/03 18:16
Messaggi: 12379

MessaggioInviato: 25 Ago 2006 13:36    Oggetto: Rispondi citando

Segnalo a tutti gli "appassionati" del Linkoptimizer che finalmente e' uscito un tool per la rimozione
Top
Profilo Invia messaggio privato
guia
Eroe
Eroe


Registrato: 21/04/05 18:16
Messaggi: 63

MessaggioInviato: 06 Set 2006 21:50    Oggetto: Ultime info su Link Optimizer Rispondi citando

Ciao Holifay, ben tornata!
E mo' ti ritrovi cona versione del Link Optimizer particolarmente agguerrita.
La situazione e' relativa ad un W2K SP4 tutte le patch applicate, av e fw funzionanti ed aggiornati.
Intanto si porta dietro un sacco di "amici", in particolare Sgrunt che si preoccupa di riattivare appena li levi.
Apparentemente non esistono files nascosti in c:\Programmi e relative sotto cartelle;
Crea il solito utente e relativo servizio;
il rootkit (se e' lui ma credo proprio di si) e' una dll nella root di Windows;
Ti lascia cancellare utente, servizio, chiavi CLSID senza problemi;
anche il BHO viene rimosso (ma senza levare la dll riappare anche dopo 3-4 riavvii e/o giorni)
NON permette l'esecuzione di Gmer, Rootkit Revealer e Avenger!!!
Se tenti di creare un file qualsiasi col nome della dll per cancellarlo poi col tool AGVPFix te lo lascia creare ma lo "rootkittizza" immediatamente! (il bast...o);
In installazione applicazioni si trova la voce Connection Services che punta al sito notetol. com (confermo legato al Link Optimizer): anche questa non va assolutamente cliccata;
se rimossa con Hijack, tende a riapparire.
Ho contattato l'autore di GMer che mi ha risposto a stretto giro, confermandomi che questa versione e' dotata di tecniche anti rootkit.
In caso di necessita' e' disponibile una beta che mi ha inviato pregamdomi di sapergli dire poi l'esito. Non so se posso riportare il link (sul sito la beta non e' citata) ma in caso o glielo chiedo o dal suo sito basta contattarlo.
Buon divertimento, ti terro' informata sull'esito del tutto.
Ora vedo se trovo qualcosa in merito a The Avnger (nell'ipotesi non riesca col GMer)
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 06 Set 2006 22:48    Oggetto: Rispondi citando

Grazie Guia, ma questa volta posso dire di essere già preparata Wink

Abbiamo anche versioni di GMER e Avenger che funzionano con queste varianti, apposta modificate.

Contattato anche tu il buon Przemy? Simpatico ragazzo, che ama l´Italia! Un paio di versioni di LinkOptimizer gliele ho mandate perchè si divertisse Wink

Il vero problema è che le ultime varianti utilizzano tecniche EFS, abbastanza nuove e speciali che la Symantec sta ancora cercando di capire del tutto e che ancora non ha pubblicato per impedire la emulazione da parte di altri.

Queste sono in effetti mooooolto difficili da eradicare. Sad
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 06 Set 2006 23:38    Oggetto: Rispondi citando

holifay ha scritto:
vero problema è che le ultime varianti utilizzano tecniche EFS,
Ahem ... detto in italiano?
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 06 Set 2006 23:55    Oggetto: Rispondi citando

Citazione:
Ahem ... detto in italiano?


tecniche di criptaggio (Encrypting File System) abbastanza particolari Smile
Top
Profilo Invia messaggio privato
guia
Eroe
Eroe


Registrato: 21/04/05 18:16
Messaggi: 63

MessaggioInviato: 07 Set 2006 07:44    Oggetto: Rispondi citando

Citazione:
questa volta posso dire di essere già preparata

Meglio cosi!
Evidentemente il Link Optimizer vuol farci divertire con una "nuova novita' " ogni volta Razz
Grazie per l'Avenger e l'IceSword, Il Gmer modificato me lo ha appunto dato Przemy; ho comunque scaricato anche quello tuo ed ho visto che differiscono.
Stamani ci provo (da remoto se mi lascia tenere il collegamento) e provo entrambi i GMer poi ti so dire.
Sei gia' riuscita ad eliminare questa variante?
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 07 Set 2006 14:57    Oggetto: Rispondi citando

non ci ho ancora provato... sono appena tornata dalle vacanze e ho trovato persone che nel frattempo sono diventate più esperte di me, quindi per ora guardo e studio Smile

E poi io non mi infetto mai (ho troppa paura) e quindi devo trovare prima una cavia disponibile Wink
Top
Profilo Invia messaggio privato
guia
Eroe
Eroe


Registrato: 21/04/05 18:16
Messaggi: 63

MessaggioInviato: 07 Set 2006 18:38    Oggetto: Rispondi citando

Citazione:
E poi io non mi infetto mai ...

Idem ma e' meglio non dirlo troppo forte! Laughing
la mia cavia "preferita" e' mio marito col suo pc all'Universita', nonostante tutti i loro sistemi, gira di tutto di piu' !!
Ti sapro' dire cosa riesco a fare con quel pc , oggi non ho potuto fare nulla
Top
Profilo Invia messaggio privato
guia
Eroe
Eroe


Registrato: 21/04/05 18:16
Messaggi: 63

MessaggioInviato: 08 Set 2006 11:56    Oggetto: Rispondi citando

Novita' buone e cattive!
Cominciamo con le cattive: ne' i 2 Gmer modificati (by Przemy e by SuspectFiles), ne' IceSword hanno funzionato: bloccati come per le ver. originali (anche cambiando nomi, ripulendo istanze precedenti etc etc).
Avenger non lo provato preferendo tenermelo di scorta nel caso di tentativi "disperati".
La buona: il tool della prevX ha funzionato, apparentemente in maniera completa (rivedro' quel pc fra 2-3 giorni)
il rootkit era in
\\?\C:\WINNT\system32\lpt6.ifu \\?\C:\WINNT\system32\lpt6.ifu
con relativa dll offuscata in C:\WINNT\ohlqh1.dll
Prima dell'uso del prevX ero comunque riuscita a ripulire tutte le chiavi relative salvo una che si ricreava ed era relativa alla voce in istallazione Applicazioni -> ConnectionServices
@Holifay: se vuoi che comunichi quanto sopra direttamente a SuspectFile fammelo sapere. Ora scrivo anche a Przemy.
Purtroppo (a meno di non essere stata capace di trovarlo), non mi pare il tool abbia fatto una copia dei files e quindi non posso inviarveli (il che sarebbe stato indubbiamente utile!)

Ulteriore nota, di cui ti terro' informata, e' che il tuo GMer, fatto usare sul Pc di mio marito (mi "puzzava" che non avesse nulla!! ed infatti vi ho trovato tracce parziali del malefico) funziona parzialmente: si lancia ma lo Scan dura pochi secondi e non aggiunge nulla, sul mio pc funziona regolarmente e ci mette un tot a fare la scansione. Sbato pomeriggio ci metto le mani di persona e cosi cerco di capire
Ciao
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 09:48
Messaggi: 2912
Residenza: Milano

MessaggioInviato: 08 Set 2006 18:03    Oggetto: Rispondi

Peccato.... ma ne avevamo il sospetto che le ultime versioni riuscivano a far chiudere GMER, anche modificato.

Provato con Rootkitrevelear? Il suo driver ed il servizio cambiano nome tutte le volte per ingannare i malware, forse andrebbe.

Comunque adesso ti consiglio si provare per prima cosa il tool della Prevx per la rimozione di Linkoptimizer. E\' uscito ai primi di settembre e funziona abbastanza bene.

Poi controlli con un antirootkit se ha completato il lavoro. Trovi il link nella guida in cima al forum

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi