Olimpo Informatico

[spider]

ti consiglio un programma anti rootkit già conosciuto ma forse poco apprezzato
avg anti rootkit beta
http://beta.grisoft.cz/beta/betarep.files/antirootkit/AVG_AntiRootkit_1.0.0.13.exe

in inglese.

anche se è abbastanza criticato devo dire che è mi è piaciuto parecchio.
ha due tipi di scansione. "scan for rootkit" che è più "leggera" e "perform a in-depth scan".
in entrambi i casi ci ha messo poco (2 minuti per 20 gb per la scansione profonda).

anche se è molto veloce (tanto da far pensare che non sia efficace) riesce a trovare e rimuovere (seppur non al 100% ma li rende inoffensivi) i componenti rootkit di rustock.B e dial call che stanno facendo una strage in internet.

[trifoglio]

L'ho appena scaricato e fatto la scansione: me ne rileva uno ma ho un pò paura cancellarlo:

E:\WINDOWS\winsys.exe hidden application

[spider]

prova anche con quello della sophos

http://www.sophos.it/products/free-tools/sophos-anti-rootkit.html

[Smjert]

[cucciolo83]

scusate se mi intrometto.. ma questo è lo stesso trojan che ha il mio amico e di cui ho parlato nel 3d "help.. penso a un dialer..." e io con virit ho trovato 6 virus.. e uno di questi era WYNSYS.EXE.. anchese non nessuno ha ancora risposto al 3d..

[trifoglio]

Vi devo ringraziare ancora una volta...

[Smjert]

Hai il Clicker (scusa la risposta in ritardo) ma quello non è l'unico suo file!

Riavvia il pc in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità).

[CM]

Ho contratto un virus con un'icona simile, da un sito che si presentava come archivio di materiale scolastico.
Il virus produce vari effetti, elencati non necessariamente in sequenza cronologica:

- crea un dialer, sempre con un nome diverso formato da sei lettere, per esempio zzuyea.exe, pockba.exe, etc. nella cartella WINNT/Temp, con l'icona delle solite labbra rosse

- esegue il dialer creando un processo omonimo, rilevato dal Task Manager

- crea una connessione denominata Internet, di cui non è visibile il numero telefonico

- crea un registro con il nome del dialer in HKLM/Software/Microsoft/Windows/CurrentVersion/Run

Questo comportamento si riproduce a distanza di qualche giorno, anche dopo la cancellazione degli oggetti (eseguibili, connessioni, registri) sopra elencati.

Al momento dell'infezione sul PC (che usa Windows 2000) era attivo AV Guard (Personal Edition), aggiornato. Tutte le scansioni effettuate, anche con gli aggiornamenti successivi, hanno dato risultato negativo, anche con AVG anti Rootkit. AV PE sembra non rilevare come virus nemmeno gli eseguibili creati.

Mi sembra presenti punti in comune con quelli descritti nel topic.
Qualcuno ha sperimentato un modo efficace di rimuoverlo?

[amigos1]

io ho avuto lo stesso problema"dialer labbra rosse",seguendo i vostri suggerimenti sono riuscito a toglierlo,ma dopo alcuni giorni si ripresentava di nuovo,facendomi riscaldare la bolletta telefonica(in quanto anke a me,andava a creare una nuova connessione chiamata internet) ,finche nn ho installato zone labs,pare che momentaneamente il problema sia risolto.speriamo!!!ora il problema che quando accendo il pc mi da overclockin failed,da cosa è dovuto???devo portare il pc in assistenza??

[CM]

Sul mio PC il problema non si ripresenta da un paio di settimane, ma non sono affatto sicuro che sia dipeso dalle azioni intraprese.
In particolare, avevo spostato un file winlylhj.exe, non documentato sul web, che l'AV aggiornato ha poi segnalato come potenzialmente pericoloso su base euristica per la compressione adottata. La stessa scansione ha poi rilevato un DOS/One_half.3591.

Per ulteriore controllo, quando comunque il problema non si era più presentato, ho provato una scansione con NOD32, ed ho attivato un firewall (Zone Alarms).

[robix]

Ho il pc infetto da questo fastidioso rootkit. Fra tutti gli antivirus (e ne ho provati tanti),l'unico che me l'ha tolto è stato VirIt, ora a distanza di due mesi, l'ho ribeccato e VirIt ha esaurito i periodo di prova gratuita, e quindi si limita alla sola scansione.
Come posso fare per eliminarlo?
Grazie

[Smjert]

Prima di tutto allora fai una scansione con VirIt, segnati i file che trova e che definizione ne da.
Posta poi il risultato.

Dopodichè scarica HijackThis, decomprimilo in una cartella tutta sua non temporanea (ad esempio mettilo in C:\HijackThis).
Avvialo e premi Do a system scan and save a log file, ti si aprirà una finestra di notepad con il risultato della scansione, copia e incolla qua il suo contenuto.

[Rozzemilio]

acquistare VirIt?

[Smjert]

[robix]

Logfile of HijackThis v1.99.1
Scan saved at 15.44.36, on 05/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
c:\windows\system32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\VEXPLITE\viritexp.exe
C:\DOCUME~1\xp\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127643907218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159377129843
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.parentwatch.com/content/demo/push.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF7CDED2-D800-4D8E-BAF6-8661F0C2E5C6}: NameServer = 85.37.17.46 85.38.28.84
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[robix]

..e qusto è il risultato della scansione di VirIt:

05/03/2007 - 15:42:53

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\Temp\gchfaa.exe Infetto da Trojan.Win32.Dialer.IH

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 38540.
Files Totali: 38540.
Files Cancellati: 0.

[Smjert]

Molto probabilmente hai il rootkit Rustock.

Scarica CCleaner, installalo.
Avvia CCleaner e vai su Opzioni->Avanzate, togli la spunta a "cancella file in windows temp solo se più vecchi di 48 ore",
torna su Cleaner e fai Analizza, quando ha finito clicca Avvia Cleaner.

Scarica ReAnimator, scompatta l'archivio, fai partire reanimator.exe e segui queste istruzioni:
1) Clicca su Remove Rustock Rootkit,
2) Ti si apre una finestra, premi Ok,
3) Ti si apre il tool RootkitNO, premi quindi Run, aspetta che abbia finito la scansione.
4) Alla fine ti chiede di riavviare, tu accetta.

Scarica RustbFix, fai partire l'exe, posta poi il contenuto del log pelog.txt che ti si apre.

[robix]

Fatto tutto:


************************* Rustock.b-fix -- By ejvindh *************************
05/03/2007 17.08.07,15

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

[Smjert]

Come va ora?

[robix]

Non saprei dirti, potrei rifare una scan con VirIt, per vedere se il troian c'è ancora... Ora la faccio, poi ti faccio sapere..
Ah un'altra cosa: spesso faccio la scan con "xsoftspy" che mi segnala la presenza di "adwareloader", lo elimino, ma dopo qualche giorno, alla successiva scan, mi si ripresenta. Sembra sia un tool, che abbia il compito di installare nel pc svariati spyware, attraverso la navigazione, o un qcosa del genere... sai per caso come farlo fuori?