PDA

Visualizza versione completa : Variante rootkit-servizi infetti


k501
04-06-2007, 17.42.36
Non ne posso più!
Da un pò di tempo sembra che tutte le patch per la rimozione rootkit non siano in grado di eliminare le ultime varianti uscite, o per lo meno si limitano a "disinfettare" il pc in modesta parte. Provo anche togliendo i dischi infetti e collegandoli come secondari su un altro pc dove regolarmente è installato ed aggiornato Virit, Kaspersky, AVG, PrevX, ma nulla di fatto! In locale è sempre presente un servizio (da linea di comando esegui: "services.msc") che come descrizione punta ad un eseguibile spesso presente in c:\programmi o in c:\windows\system32 o addirittura in c:\windows\system32\drivers. Questo servizio non ha un nome logico, ma spesso è composto da lettere messe a caso, generate dall'eseguibile presente in uno dei percorsi sopra descritti. Nel caso di oggi il servizio si chiama QHUF e l'eseguibile di appartenenza è c:\programmi\CEGGTGOGk.exe, con minuscole e maiuscole rispettate (non è un errore di battitura il mio, e neppure ho lasciato il tasto maiusocle attivato.
Il file è veramente nascosto bene, perchè la mie risorse sono in grado di "vederlo" ma in nessun modo a cancellarlo, neppure con delle utilities apposite. Anche il servizio risulta intoccabile!
A questo punto ogni consiglio o alternativa risulta ben accetta!
Lascio spazio alle vostre idee ed esperienze.

Tecno214
04-06-2007, 18.06.29
Direi di segnalarci tutte le animalie che trovi nel pc a cominciare dal log di hijackthis che provereamo ad analizzare (sempre che il programma funzioni è inteso...).

VEdiamo che viene fuori..

k501
04-06-2007, 18.35.14
il programma funziona, anche Gmer funziona ma non rileva niente (è l'ultima versione che ho trovato in rete)
Ho già fixato tutto con hijackthis, comq appena possibile vi posto un log.

Altra domanda:
ho fatto boot con il cd di windows e sono entrato in console di ripristino. sto cercando di eliminare l'eseguibile da qui con il comando "del", ma mi dà accesso negato...

k501
04-06-2007, 19.00.41
ecco il log:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE
C:\Programmi\IBM\Client Access\cwbckver.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\User\Desktop\patch fix\Analisi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Barra degli strumenti anti-frode Trend Micro - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\PROGRA~1\TRENDM~1\INTERN~2\PccIeBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Barra degli strumenti anti-frode Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\PROGRA~1\TRENDM~1\INTERN~2\PccIeBar.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD499C4-930C-40A0-8691-85B9026D4D89}: NameServer = 85.255.116.107,85.255.112.64
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Comando remoto Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

--
End of file - 5933 bytes

giancarlof
05-06-2007, 06.57.17
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE

confermami di avere qualcosa della epsom forse una stampante stylus ?
-----------------------------------------------------------------

C:\WINDOWS\ALCMTR.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
molti lo fissano io preferisco fare altrimenti:
questo dovrebbe essere della Realtek lo devi soltanto togliere dall'avvio:
esegui/msconfig/ok vai sulle due tab AVVIO E SERVIZI, dopo aver disabilitato visivamente i servizi Microsoft e togli la spunta dove lo trovi.

----------------------------------------------------------------

O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)

Per ora limitati a dare
FIX CHECKED poi vedremo.
-----------------------------------------------------------------

k501
05-06-2007, 09.54.28
ciao Giancarlo! Mattiniero? :)
La voce ho già provato a fixarla ma al riavvio riappare quando lancio hijackthis. ci sono molte probabilità che appartenga all'eseguibile che devo eliminare. Ho provato a riavviare il pc in modalità console di sistema e da li almeno sono riuscito a disabilitare il servizio. Il file però non è cancellabile perchè "accesso negato". Ora non ricordo bene tutti i comandi DOS, in particolare se c'è un modo per assegnare dei diritti di protezione e accesso ai file da riga di comando...
Temo che eliminarlo manualmente sia l'unica soluzione possibile, perchè tutti i software e le patch che ho utilizzato si sono rivelate inutili.

giancarlof
05-06-2007, 10.23.21
ciao Giancarlo! Mattiniero? :)
La voce ho già provato a fixarla ma al riavvio riappare quando lancio hijackthis. ci sono molte probabilità che appartenga all'eseguibile che devo eliminare. Ho provato a riavviare il pc in modalità console di sistema e da li almeno sono riuscito a disabilitare il servizio. Il file però non è cancellabile perchè "accesso negato". Ora non ricordo bene tutti i comandi DOS, in particolare se c'è un modo per assegnare dei diritti di protezione e accesso ai file da riga di comando...
Temo che eliminarlo manualmente sia l'unica soluzione possibile, perchè tutti i software e le patch che ho utilizzato si sono rivelate inutili.

Se riesci a vedere il file da cancellare, fai cosi come indica il link, da quello che scrivi sembra che poi sappia fare il resto eventualmente ci sentiamo, aggiungo una cosa soltanto che se il sistema operativo è Windows XP Home l'operazione oltre a quanto vedi nel link va completata in modalità provvisoria altrimenti non potrai vedere la tab.

http://www.dotnethell.it/tips/SecurityTabXP.aspx

Se la cosa si complica vai cosi:
Usa killbox
Scarica killbox: http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
apri KillBox
inserisci all'interno della stringa bianca il percorso del file da eliminare
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso, segui le istruzioni seguenti.

k501
05-06-2007, 10.41.35
Killbox è uno dei tanti che ho usato, ma non vede il file, talmente risulta nascosto.
Ho dimenticato un particolare importante: il sistema è Windows XP PRo.
ora provo a dare un'occhiata al link

Non è possibile fare la procedura standard di protezione sui file da windows, in quanto questo non è visibile!
Inutile dire che ho già "visualizza files di stema" e "nascosti" già abilitati

giancarlof
05-06-2007, 11.29.30
Quello ha tanto odore di residuo di Linkoptimizer, non so se lo hai avuto proviamo cosi, la directory dalla mia esperienza dovrebbe essere quella:


scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:



Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte SI
Il pc si riavvia da solo, eventualmente riavvialo manualmente


Il programma rilascia un log .

Posta il log di Avenger (C:/avenger.txt) con il risultato dello script.

k501
05-06-2007, 11.53.13
Fatto:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\vpcpbffd

*******************

Script file located at: \??\C:\WINDOWS\witafncp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Inizialmente avevo già provato ad usare Avenger per eliminare l'eseguibile, ma naturalmente senza successo.
Dopo aver cancellato la chiave di registro ho provato di nuovo a fixare con hijackthis quel BHO (no name), ma al riavvio è ancora lì!
Ha tutto il sapore di una bella sfida... :anger:

giancarlof
05-06-2007, 12.09.54
Si tratta di una rimanenza non mi hai confermato di aver avuto Linkpotimizer, vai qui a vedere se c'è:

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

k501
05-06-2007, 13.11.01
Si, c'era l'infezione linkoptimizer. E' stata eliminata con l'apposita patch. Poi ho eliminato manualmente la cartella "linkoptimizer" in "programmi" e l'utente "virtuale" in documents and settings.
La chiave che mi hai chiesto è presente. Passo all'eliminazione o secondo te devo procedere con qualcos'altro prima?

giancarlof
05-06-2007, 13.19.24
Click destro cancella se non va come probabile prendi possesso dalla tab autorizzazioni. Lo script che ti ho fatto era nella localizzazione giusta, non so come mai non lo ha cancellato, spero che tu lo abbia fatto bene.

k501
05-06-2007, 15.17.00
Lo script era corretto; ho fatto semplicemente un copia incolla (vabbè mancava una E in "keys", ma l'ho messa io manualmente) anche perchè se errato Avenger se ne accorge, lo segnala e non procede.

Impossibile ottenere autorizzazioni sulla chiave, accesso negato! :grrr:
Sto provando anche con una buona utiliti che si chiama regassassin (nome esplicito :) ) ma niente...

giancarlof
05-06-2007, 17.25.41
http://www.nod32.it/tools/AGVPFIX.ZIP

k501
05-06-2007, 19.28.30
il tool che mi hai consigliato ricerca ed elimina i file infetti non le chiavi di registro. già provato.
la chiave ncriminata sono riuscito ad eliminarla con un altra utility (purtroppo shareware) e si chiama "registrar registry manager", scaricata nel pomeriggio.
Beh.. se non altro il servizio è giù e non si verifcano crash improvvisi o blue screen causati dall'infezione.
Pare quasi impossibile che con tutti i mezzi che ci sono in rete non sia stato possibile ripulire questo pc. Purtroppo come questo ultimamente me ne capitano sempre più spesso! Siamo di fronte a nuove varianti alle quali le software house ancora non sono riuscite a rilasciare aggiornamenti?
Staremo a vedere...

leofelix
06-06-2007, 02.43.42
non mi fido molto dei prodotti symantec ma hai provato a usare anche questo removal tool oltre gli accorgimenti che hai già adottato http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixLinkopt.exe

?

E da quanto ho capito con
http://info.prevx.com/gromozon.asp

questa fix non hai nemmeno ottenuto nulla, o sbaglio?

giancarlof
06-06-2007, 04.06.26
il tool che mi hai consigliato ricerca ed elimina i file infetti non le chiavi di registro. già provato.
la chiave ncriminata sono riuscito ad eliminarla con un altra utility (purtroppo shareware) e si chiama "registrar registry manager", scaricata nel pomeriggio.
Beh.. se non altro il servizio è giù e non si verifcano crash improvvisi o blue screen causati dall'infezione.
Pare quasi impossibile che con tutti i mezzi che ci sono in rete non sia stato possibile ripulire questo pc. Purtroppo come questo ultimamente me ne capitano sempre più spesso! Siamo di fronte a nuove varianti alle quali le software house ancora non sono riuscite a rilasciare aggiornamenti?
Staremo a vedere...

Non è cosi perchè quello non è il vrus o il rootkit ma la rimanenza del linkoptimizer già eliminato a suo tempo come ti ho già detto, infatti basta che tu legga la stringa di Hijacthis per capirlo. Oltre al fatto che non hai più la sintomatologia che avevi in precedenza. Ti capitano perchè evidentemente frequenti zone pericolose della rete dove le infezioni sono frequentissime e facili da contrarre anche senza cliccare alcunchè.

k501
06-06-2007, 11.25.35
il pc è di un mio cliente, non sono io che navigo ;)
Si... Hai ragione sul fatto che esisteva una "rimanenza" del linkoptimizer... Ma ancora non mi spiego se quell'eseguibile nascosto ne fa parte o ci troviamo di fronte a qualcosa di nuovo, dato che nessuna patch è stata in grado di rimuoverlo.. MAh! :mm:

giancarlof
06-06-2007, 11.37.08
il pc è di un mio cliente, non sono io che navigo ;)
Si... Hai ragione sul fatto che esisteva una "rimanenza" del linkoptimizer... Ma ancora non mi spiego se quell'eseguibile nascosto ne fa parte o ci troviamo di fronte a qualcosa di nuovo, dato che nessuna patch è stata in grado di rimuoverlo.. MAh! :mm:

Non capisco a quale eseguibile ti riferisci, quello del quale parliamo è un moncone rimanenza senza estensione, se mi spieghi meglio e mi scrivi il nome del file estensione compresa, può darsi che tu abbia ragione, al momento non ne vedo file di questa tipologia.

leofelix
06-06-2007, 11.43.26
ho letto che avevi provato con l'avg antispyware 7.5.0.50..
Ho già segnalato la news allo staff di wintrick, è stata rilasciata una nuova versione dell'avg antispyware due giorni fa:
http://free.grisoft.com/softw/70free/setup/avgas-setup-7.5.1.36.exe

ora compatibile anche con Windows Vista 32 e 64 bit e XP PRO 64 bit
oltre che a Windows 2000/XP home e pro 32 -bit.
Nettamente migliorata.. magari non solo al tuo cliente farebbe comodo questa notizie e non solo per la rimozione delle rimanenze di eventuali rootkit:-)
ciao

k501
06-06-2007, 11.55.56
Non capisco a quale eseguibile ti riferisci, quello del quale parliamo è un moncone rimanenza senza estensione, se mi spieghi meglio e mi scrivi il nome del file estensione compresa, può darsi che tu abbia ragione, al momento non ne vedo file di questa tipologia.


Quello che ho riportato in apertura. Si tratta di questo:

c:\programmi\CEGGTGOGk.exe

k501
06-06-2007, 11.56.59
ho letto che avevi provato con l'avg antispyware 7.5.0.50..
Ho già segnalato la news allo staff di wintrick, è stata rilasciata una nuova versione dell'avg antispyware due giorni fa:
http://free.grisoft.com/softw/70free/setup/avgas-setup-7.5.1.36.exe

ora compatibile anche con Windows Vista 32 e 64 bit e XP PRO 64 bit
oltre che a Windows 2000/XP home e pro 32 -bit.
Nettamente migliorata.. magari non solo al tuo cliente farebbe comodo questa notizie e non solo per la rimozione delle rimanenze di eventuali rootkit:-)
ciao


Già fatto "girare" anche questo, cmq grazie per la segnalazione ;)

giancarlof
06-06-2007, 12.17.01
Quello è un file sconosciuto se lo vedi vai sopra con il click destro/proprietà vai sulle tab leggi e riporta.

k501
06-06-2007, 19.24.00
Quello è un file sconosciuto se lo vedi vai sopra con il click destro/proprietà vai sulle tab leggi e riporta.

Non posso! E' visualizzabile solo con alcune utilities, non da Windows! Di conseguenza non posso accedere alle sue proprietà!
Eppure il file esiste; se faccio boot con la console e provo ad eliminarlo mi visualizza che non ho diritti sufficienti (non che non lo trova!)
Proprio simpatico...

giancarlof
07-06-2007, 02.34.06
Fammelo vedere questo fantomatico file.

k501
07-06-2007, 16.50.33
Fammelo vedere questo fantomatico file.

Non possoooo
posso solo dirti il percorso e il nome (lo ripeto):
c:\programmi\CEGGTGOGk.exe
e che è visibile (ma non editabile) da console e con un utility che ricerca files nascosti!!!

giancarlof
07-06-2007, 17.04.37
Alt+stamp fai uno screen e lo metti sul forum.