Olimpo Informatico

[Uruk]

allora tutta la parte di ccleaner son riuscito a farla compreso la cancellazione del file infetto.
per quel che riguarda il servizio con nome strano no, l'avevo gia eliminato l'altro ieri compresa la cartella strana creata in documents and settings

il tool symantec non va

[Smjert]

Hai cancellato anche l'account creato da L.O.? (non credo.. non basta cancellare la cartella in documents and settings).
Controlla l'ultima operazione che ti ho detto di fare nel post precedente.

Apri HijackThis, premi Open the Misc Tools section, poi premi Open ADS Spy, togli la spunta a Quick Scan e clicca Scan (quello più in alto).
Quando ha finito (se ha trovato qualcosa) premi Save Log e posta qua il contenuto del log AdsSpy.log (non chiudere la finestra di HijackThis se no poi devi rifare una seconda scansione).

[Uruk]

scusami forse mi son spiegato male io ma la procedura da te spiegata per eliminare il servizio "fittizio" l'avevo gia fatta l'altro ieri avevo preso spunto da un altro post fatto due giorni fa.

Comunque ho controllato i servizi quello fittizio non c'e più sulla colonna connessioni, ci sono solo due definizioni: sistema locale oppure servizio di rete.
ho fatto anche lo scan ADS Spy ma non ha trovato nulla.

[Smjert]

Nono ti sei spiegato, io dicevo questo:

[Uruk]

virit l'ho installato ma non parte.
l'altro ieri avevo rimosso anche l'account di LO (aveva un nome tipo .mntyykgf quakcosa del genere)
adesso ho installato antivir puo servire?

[Smjert]

L'unica è fare una scansione e vedere se trova qualcosa altrimenti non è servito...
Poi fai così... vai nelle cartelle C:\Windows e C:\Windows\System32 e cerca tutti i file che hanno il nome in verde, scrivimi il nome e il loro percorso (la maggior parte se non tutti sono creati dal L.O.).
Controlla sempre che la cartella C:\Windows\Temp sia vuota... altrimenti svuotala.

[Uruk]

nessun file con nome verde cartelle C:\Windows e C:\Windows\System32 cartella temp vuota .
avevo file con nomi verdi dentro programmi/windows nt
creati da LO ma li avevo gia eliminati.

[Smjert]

Allora facciamo un esperimento... fai quello che ho scritto qua (fallo da Modalità Provvisoria), se i tool li hai messi sul Desktop li ritrovi andando su C:\Documentsandsettings\nometuoutente\Desktop.
Poi prova a far partire il tool Symantec (in questo caso farai partire il tool come SYSTEM e teoricamente non può essere chiuso da nessun account, però non sono sicuro che funzioni.. perchè è molto probabile che anche il rootkit abbia privilegi da SYSTEM).

[Uruk]

ciao ho provato la procedura come da te descritta in mod provivsoria con privilegi admin esempio at 11:03 /interactive "cmd"

l'orologio segnava un min in meno ho dato l'invio ed esce servizio non avviato non si apre nessuna console nuova.

[Smjert]

Sì scusa ti ho fatto perdere tempo
ho dimenticato un passaggio: dato che in Modalità Provvisoria la maggior parte dei servizi non è in esecuzione, anche quello che ti serve nn è avviato.
Vai quindi su Start->Esegui->digita services.msc, poi dai invio.
Nella lista di servizi trova questi 2: RPC (Remote Procedure Call), Utilità di pianificazione, cliccaci sopra con il destro e fai avvia.
A questo punto dovresti riuscire a dare il comando.

Edit: ritiro tutto... da Mod Provvisoria non si può avviare lo stesso, fallo da Mod Normale però usa il tool Prevx.

[Uruk]

Sono riuscito a diventare Sistem, ho provato il tool della prevx e anche tutti gli altri ... ma non partono
gli unici che partono sono gli hjackthis e agpfix

[Smjert]

Accidenti... qui le cose da fare sono due o si aspetta Holifay che è più informata di me oppure creo un rootkit per nascondere i tool (la documentazione ce l'ho, il problema è il tempo... e ce ne vuole tanto).

Magari poi il motivo per cui i programmi non si aprono è semplice perchè se si aggiunge una chiave nel registro è possibile disabilitare l'avvio di programmi:

vai su Start->Esegui->digita regedit e dai invio, naviga fino a questa chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

C'è? non c'è? se c'è selezionala.. quali valori ha? (li leggi nello spazio bianco a sinistra).

[Uruk]

non c'è sia con privilegi system che user normale
il ramo si ferma ad explorer

[Smjert]

Ultima cosa... partendo dalla chiave HKEY_LOCAL_MACHINE ma il resto del percorso uguale.. invece di DisallowRun c'è la chiave Run? se sì che valori ha?

[Uruk]

la chiave run c'è
ma sotto : \Software\Microsoft\Windows\CurrentVersion\Run
è quella che intendevi ?

[Smjert]

Nono quella è normale che ci sia.. e io intendevo quella sotto
\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\ e poi Run

Ah già che ci sei quali Chiavi (le "cartelle") ci sono sotto HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?

[Uruk]

NO quella non c'è

[Uruk]

sotto winlogon ci sono altre 4 cartelle

credentials
gpextensions
notify
specialaccounts

dentro queste altre....

scusami ma non avevo notato la tua seconda domanda

[Smjert]

Ti starai rompendo le scatole di tutte queste tentate scansioni.. però è l'unico modo per provare a rimuovere quell'infame...

Allora ho letto che le ultime versioni oltre a fare il checksum del tool, controllano il nome del processo.. ora io ricordo di averti dato GMER modificato per falsare il checksum e rinominato in gmer2.. il problema è (secondo me) che doveva essere rinominato in qualcosa tipo dvbsdjb.exe perchè in gmer2 la parole gmer c'è ancora... quindi facciamo questa prova:

Ti ho caricato qua il FixGrom (tool Prevx) modificato per falsare il checksum e rinominato in modo assurdo... prova farlo girare (da Mod Normale) e incrociamo le dita che funzioni!
Se poi non va e non ti sei rotto proviamo a fare la stessa cosa con il tool Symantec (da Modalità Provvisoria)

[Uruk]

Siii Eureka partito fatto scan se ti può interessare ecco il log

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\com1.aac
\\?\C:\WINDOWS\system32\com1.aac
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!

devo fare la stessa cosa con il tool di symantec come dicevi prima basta che lo rinomino?