Olimpo Informatico

[holifay]

Grazie Guja per la tempestiva segnalazione

Allora, jack, sei passato alla seconda parte? Quella dovrebbe servire ad eliminare il servizio del trojan e l\'utente fittizio che lo controlla. E´ quel servizio che (almeno credo) blocca Avenger e GMER.

Il tool che ha linkato guia fà la stessa cosa automaticamente, quindi forse è più semplice. Devi segnalargli il file associato al servizio. Lo riconosci perchè è un exe creato il giorno dell´infezione, di colore verde perchè è criptato. Una volta che gli segnali il file si occupa di tutto lui.

Poi dovrebbe partirti GMER e anche Avenger. Se il tool per qualche ragione non dovesse funzionare, prova con la tecnica manuale che ti ho scritto.

Ciao

[Capitan Jack Sparrow]

Cari ragazzi, ho scaricato il tool che diceva guia sono andato a vedere dov'era il file dai servizi ......gli ho detto di pulire quel file ed il risultato è questo:

Agent.VP trojan cleaner (c) Paolo Monti - Future Time S.r.l. 2006
[Info]: report started at 10/10/06 11.53.42
[Info]: OS: 5.1 build 2600 (Service Pack 2)
[Info]: C: => NTFS
[Info]: Common Files folder => C:\Programmi\File comuni
[Info]: File selected => C:\Programmi\Windows NT\mGU.exe
[Note]: Looking for trojan service process => Not active
[Note]: Deleting file C:\Programmi\Windows NT\mGU.exe => Done
[Note]: Removing trojan service key from the Registry => Failed
[Note]: Removing rogue account created by the trojan => Failed
[Note]: Removing directory tree created by the trojan => Not found


Ditemi voi ...ovviamente gmer e avenger e hijack non partono nemmeno ora!

[holifay]

Allora, prima di procedere, posta per favore un log generato da questo tool: http://www.mytempdir.com/982442

Potrebbe essere un po´ lungo, quindi non incollarlo qui, ma allega il file su www.mytempdir.com e posta qui solo il link

Poi proviamo ad eliminare quella schifezza manualmente

[Capitan Jack Sparrow]

Buongiorno carissimi, è un nuovo giorno e anche oiggi proveremo a pulire questo pc. Holifay grazie per il nuovo tool, ho seguito tutto alla lettera ed ecco il link dove poter controllare tutto!

http://www.mytempdir.com/983947

Speriamo sia la volta buona questa

[guia]

Ciao jack, manca la password per accedere al file su mytempdir o io non la vedo -, la posteresti per favore?
Grazie

[Capitan Jack Sparrow]

Ah scusate ....ops

cmq la pass è : hokuto

[guia]

Ho cominciato a guardarlo, e' un tool che non conosco quindi di sicuro mi sfugge/non capisco diverse cose
Cosi al volo vedo 2 cose: un googlespeed.exe in c:\windows di cui non trovo info su internet ed un file .bat in temp di LCService che non so a cosa serva (se sia stato creato dal tool o che altro)
Poi c'e' anche qualcos'altro ma visto che Holifay conosce il tool, lascio ovviamnete il verdetto a lei!

[holifay]

Ciao, adesso qualcosa si capisce di più come ti ha anticipato guja il problema è il googlespped.exe, caricato da questa chiave:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="c:\windows\system32\userinit.exe,"c:\windows\googlespeed.exe","

Provo a farti usare un tool ancora beta, non ti farà danni (almeno spero ) al massimo non funzionerà. Per usarlo devi avere i privilegi di amministratore.

Scarica Avrunner da qui: http://www.suspectfile.com/upload/files/tools/AvRunner.zip
oppure da qui: http://www.mytempdir.com/983484

Apri l'archivio: dovresti trovare due file. Estraili nella stessa cartella, anche il desktop. Apri il file script.txt e al posto dello script di esempio che trovi, incollaci dentro le righe qui sotto in rosso (cancella quelle pre-esistenti). Poi salvalo

Folders to delete:
C:\documents and settings\NzS

Files to delete:
c:\windows\googlespeed.exe

Files to replace with dummy:
c:\windows\googlespeed.exe

Registry values to delete:
Winlogon\SpecialAccounts\UserList|NzS


Poi avvia AvRunner.exe, premi Invio, poi digita Y e accetta il reboot. Al riavvio si dovrebbe aprire lo script di Avenger con l´esito delle operazioni fatte. Se ti sembra che non abbia fatto nulla, cioè dopo la riga Beginning to process script file: non c´è scritto cosa ha fatto, ma solo Completed script processing. , prova ad riavviare AvRunner ancora qualche volta.

Non sempre funziona al primo colpo... a volte non funziona mai

Bhe, se funziona posta il log generato (avenger.txt) e un nuovo log di HijackThis.

Se non funziona, li cancelliamo in altro modo

Ciao!

[holifay]

[guia]

Grazie delle info! Non conoscendolo, non mi sono permessa di dare indicazioni, speriamo che funzioni.
Ora me lo scarico, me lo lancio ed insieme al log di Jack vedo di studiarmelo un po' visto che si dimostra piu' che utile!
Certo che il LO si diverte a far sudare parecchio!

[holifay]

Bhe, scarica l´ultima versione: lo stiamo aggiornando in real time... abbiamo aggiunto il dumping EFS (encryption file system) e poi aggiungeremo la ricerca dei file compressi con UPX ed altri sistemi inusuali.

In ogni caso sistemeremo anche l´output per renderlo più leggibile: così come è era fatto per un uso interno

[guia]

ottimo lavoro, complimenti!

[Capitan Jack Sparrow]

Buongiorno a tutti, allora eccomi di buon ora dopo aver completato l'ennesimo esperimento ed ecco il risultato dell'ultimo tool che mi hai fatto provare Holifay! Ecco i risultati di AvRunner:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kvdjappm

*******************

Script file located at: \??\C:\vmrpleyh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\documents and settings\NzS deleted successfully.
File c:\windows\googlespeed.exe deleted successfully.


File c:\windows\googlespeed.exe not found!
Replacement with dummy of file c:\windows\googlespeed.exe failed!

Could not process line:
c:\windows\googlespeed.exe
Status: 0xc0000034


Error: Winlogon\SpecialAccounts\UserList|NzS does not appear to be a valid registry path.
Deletion of registry value Winlogon\SpecialAccounts\UserList|NzS failed!
Status: 0xc000003e


Completed script processing.

*******************

Finished! Terminate.

Ed ecco finalmente che dopo tanto tempo è partito Hijack, ed eccovi il LOG!

Logfile of HijackThis v1.99.1
Scan saved at 8.12.30, on 12/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\LCSERVICE\Documenti\Jack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\googlespeed.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programmi\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4672728-2AA5-442B-87A8-6084E46FA18A}: NameServer = 151.99.125.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SrvSxc - Unknown owner - C:\Programmi\Windows NT\mGU.exe (file missing)

Aspetto vostre risposte, dovremmo aver finito?

[holifay]

Quasi, elimina questi dal log di HijackThis: metti un segno di spunta accanto a queste voci e poi premi fix checked

[holifay]

ah, dimenticavo... mi mandi il file backup.zip che trovi in C:/avenger? Dentro dovrebbe esserci il file googlespeed.exe, vorrei studiarlo un po´

Mandalo a www.suspectfile.com

Grazie

[Capitan Jack Sparrow]

Domani quando torno in ufficio ti posto tutto . Cmq me ne intendo parecchio di PC, avevo anke visto quali file fixare da hijack solo ke volevo sentire la tua risposta, non si sa mai quello che mi volevi far fare Poi domani ti farò sapere, intorno alle 9 avrai tutto

[Capitan Jack Sparrow]

Buongiorno, la notizia di stamattina è bellissima, finalmente il Pc è stato pulito definitivamente, ho seguito tutto alla lettera controllato più volte ed è perfetto. Ringrazzio guia, Holifay e tutti quelli che mi hanno aiutato in quest'impresa Comunque ora che vi ho conosciuto su questo forum, continuerò a seguire e magari a dare una mano a qualcuno, io di mio per fortuna usando Linux non ho mai di questi problemi, ma qui in ufficio da me ho sempre tanto lavoro per i guai che combinano gli altri.

Holifay, ora proteggero questo pc con un firewall che ritengo buono, e speriamo che non se li vadano a cercare di nuovo questi virus

Ho mandato quel file backup al sito che mi hai chiesto, spero riusciate ad analizzarlo per bene

[chemicalbit]