PDA

Visualizza versione completa : Rootkit TDSServ.sys


Lionsquid
05-02-2009, 21.24.24
Ciao a tutti,

dopo anni di successi è arrivato il primo insuccesso nella rimozione di un maledetto rootkit, (nemmeno tanto recente), il TDSServ.sys...

nonostante abbia usato la collaudata procedura GMER/AVENGER , quest'ultimo non riesce a togliere tutto e al riavvio si ripristina tutto (o quasi)

e mi fa incazzare, perchè con questa procedura sto farabutto l'ho già debellato su altre macchine :mm:

sospetto sia qualche recente variante....

combofix non si avvia, nemmeno rinominato
smitfraud non trova nulla
SDFix non serve
hijackthis non elenca nulla di anormale

con runscanner trovo delle voci strane ma non sono legate al TDS,... le chiavi di registro vengono rimosse, ma probabilmente non tutte e non ho identificato quale chiave è la responsabile del "ripristino" del servizio TDSServ.sys

col bartpe rimuovo senza problemi i file, ma quella chiave..... :mad:

qualcuno ha avuto esperienze simili con sto farabutto di TDSServ??
conoscete qualche altro tools che mi possa permettere di segare definitivamente il processo "padre"??

thx 1000

LoryOne
05-02-2009, 22.04.02
Soluzione della vecchia volpe Lory:
1 - Cerca su Internet di quali e quanti files si compone il virus. (Anche varianti precedenti a quella che ritieni sia la più recente)
2 - Procurati un disco di boot con DOS
3 - Se la tua FAT è NTFS, scaricati da Antivir (per esempio) l'applictivo per ottenere accesso in lettura/scrittura da DOS su NTFS
4 - Digita i comandi DOS per spostarti nella directory (o cartella) che contiene i files infetti e cancellali.
Se sono files di sistema, sostituiscili con quelli non infetti.
5 - Entra in modalità provvisoria ed esegui un pulitore di registro.
OCCHIO alle chiavi che propone di eliminare. Fallo con sale in zucca. ;)

leofelix
05-02-2009, 22.10.23
potresti provare prima col Navilog

http://www.steven.altervista.org/files/tools1.html

info sul trojan:

http://www.nod32.it/threat-center/encyclopedia1.php?id=1889

e anche provare con SystemScan che trovi qui

http://www.suspectfile.com/forum/viewtopic.php?t=466

e dare un'occhiata qui

http://www.suspectfile.com/forum/viewtopic.php?f=4&t=2616

se già non lo hai fatto;)

P.S anche il MalwareBytes'AntiMalware dovrebbe aiutare

LoryOne
05-02-2009, 22.13.54
Hello felix :)
Ormai ti conosco come "prendo nota". Cribbio se ne conosci di AV !!!

leofelix
05-02-2009, 22.17.14
Hello felix :)

Eccellente, Hello Felix da questo momento va nella mia firma su wintricks :jump:

cascavel
06-02-2009, 00.13.41
Ciao a tutti,

dopo anni di successi è arrivato il primo insuccesso nella rimozione di un maledetto rootkit, (nemmeno tanto recente), il TDSServ.sys...

nonostante abbia usato la collaudata procedura GMER/AVENGER , quest'ultimo non riesce a togliere tutto e al riavvio si ripristina tutto (o quasi)

e mi fa incazzare, perchè con questa procedura sto farabutto l'ho già debellato su altre macchine :mm:

sospetto sia qualche recente variante....

combofix non si avvia, nemmeno rinominato
smitfraud non trova nulla
SDFix non serve
hijackthis non elenca nulla di anormale

con runscanner trovo delle voci strane ma non sono legate al TDS,... le chiavi di registro vengono rimosse, ma probabilmente non tutte e non ho identificato quale chiave è la responsabile del "ripristino" del servizio TDSServ.sys

col bartpe rimuovo senza problemi i file, ma quella chiave..... :mad:

qualcuno ha avuto esperienze simili con sto farabutto di TDSServ??
conoscete qualche altro tools che mi possa permettere di segare definitivamente il processo "padre"??

thx 1000
scarica nuovamente combofix sul desktop, rinominalo prima di scaricarlo sul desktop in 123.exe una volta sul desktop non cliccare l'icona: start, esegui, copia ed incolla questo comando in esegui
"%userprofile%\desktop\123.exe" /killall <==copialo ed incollalo

premi OK e lascialo lavorare , anche se sembra che non stia facendo niente, fino a che il pc si riavviera'.

p.s. buona anche l'idea di systemscan, navilog non ha possibilita' di eliminarlo.

Lionsquid
06-02-2009, 00.51.26
ok, preso nota dei vs. suggerimenti..

ho già usato il bartpe, ma anche caricado lo hive dell'utente non trova tutte le chiavi....

sgrufolando sul web ho trovato info abbastanza variegate sul TDSS, systemscan compreso ;-), infine mi sono fatto un bel txt da dare in pasto "tout court" ad avenger

malwarebytes non parte, nè normale , nè rinominato :(

interessante il suggerimento di cascavel, quella istruzione non la conoscevo, proverò anche quella


appuntamento a martedì sera (eh si, sia io che il "cliente" abbiamo altri impegni), vi terrò informati sui risultati ;)

thx 1000 a tutti

Kurtferro
06-02-2009, 01.34.39
prova combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

cascavel
06-02-2009, 01.59.45
prova combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ciao kurt, lo dice nel primo post combofix normalmente non parte neanche rinominato...

leofelix
06-02-2009, 02.46.25
appuntamento a martedì sera (eh si, sia io che il "cliente" abbiamo altri impegni), vi terrò informati sui risultati ;)thx 1000 a tutti

mi chiedo se entro martedì ("cliente" permettendo) ti potrà eventualmente tornare utile l'utilizzo di Avira Rescue CD - megalab.it (R) (http://www.megalab.it/3591//avira-antivir-rescuecd)

Nel caso con tutti gli altri suggerimenti non sia riuscito a debellare questa rootkit e relative tracce da quel sistema, intendo :)

a presto

Lionsquid
06-02-2009, 08.39.54
mi chiedo se entro martedì ("cliente" permettendo) ti potrà eventualmente tornare utile l'utilizzo di Avira Rescue CD - megalab.it (R) (http://www.megalab.it/3591//avira-antivir-rescuecd)

Nel caso con tutti gli altri suggerimenti non sia riuscito a debellare questa rootkit e relative tracce da quel sistema, intendo :)

a presto


(Y) vedremo!

cippico
06-02-2009, 09.07.15
la cosasi fa interessante...attendo anche io incuriosito...

ciaooo a tutti

RNicoletto
06-02-2009, 11.49.55
Visto che si tratta di un rootkit piuttosto ostico mi permette di suggerirti un paio di tool non convenzionali: Rootkit Unhooker (http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar) e RootRepeal (http://rootrepeal.googlepages.com/). :devil:

Forse il loro utilizzo non è immediato ma sono decisamente più tecnologicamente avanzati rispetto ai vari tool anti-rootkit/anti-malware di uso comune e risultano più aggiornati rispetto a GMER.

Lionsquid
06-02-2009, 18.02.44
Visto che si tratta di un rootkit piuttosto ostico mi permette di suggerirti un paio di tool non convenzionali: Rootkit Unhooker (http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar) e RootRepeal (http://rootrepeal.googlepages.com/). :devil:

Forse il loro utilizzo non è immediato ma sono decisamente più tecnologicamente avanzati rispetto ai vari tool anti-rootkit/anti-malware di uso comune e risultano più aggiornati rispetto a GMER.


presi e messi in saccoccia, html compreso ;)

leofelix
12-02-2009, 07.54.32
come è andata a finire se è lecito chiedere?

Lionsquid
12-02-2009, 14.11.27
vado questo pomeriggio, l'incontro di martedì è saltato ;)

tra poco mi aggiorno tutti tools ;)

Lionsquid
12-02-2009, 20.28.04
mission accomplished :jump:

ho voluto provare per prima cosa il suggerimento di cascavel, rinominato combofix col nome wuauclt.exe ;) e lanciato in modalità provvisoria per mezzo del comando opportunamente adattato: "%userprofile%\desktop\wuauclt.exe" /killall

il report mi ha mostrato la rimozione dei 2 servizi "legacy" TDSServ e di un altro file "figlio" dal nome TDSSoukl.sys nascosto nella cartella Drivers di system32 (prima non c'era, quindi sarà stato creato allo spegnimento o all'ultimo avvio)

per puro sfizio ho poi lanciato SDFix, ma ormai era tutto ok, il report quindi era del tutto pulito


sono quasi deluso :D, mi è rimasta la curiosità di provare i tools suggeriti da RNicoletto....

sarà per la prossima volta :D

leofelix
12-02-2009, 21.33.45
notevole il nome scelto:)

Mi dovesse capitare sceglierò Rundll32

Lionsquid
12-02-2009, 21.54.41
la scelta è "quasi" casuale.... è quasi sempre l'ultimo file exe nei processi mostrati dal taskmanager :D

per lo stesso GMER, qualche volta, ho usato un'editor hex per inserire un echo o una variazione del carattere DOS > DIS ;)

sono certo che prima o poi i virus useranno un "MD5 table" per aggirare la rinominazione dei tools ;)

Lionsquid
13-02-2009, 00.46.11
mi sono ricordato un particolare....

il primo giorno ho anche usato il ViritLite, indirizzandolo ad una scansione della sola cartella System32 (e subs), l'ha ignorato completamente, persino le copie che mi ero portato a casa.

L'avira PE invece le ha riconosciute tutte meno uno (estensione .dat e non .sys)

leofelix
13-02-2009, 01.09.07
echo off *ed io credevo tu fossi uno psicologo che si era dato all'informatica per pura curiosità intellettuale e stendessi virus e spyware sul lettino analizzandoli nel profondo*
end rinco batch file :dance:

Lionsquid
13-02-2009, 01.16.31
echo off *ed io credevo tu fossi uno psicologo che si era dato all'informatica per pura curiosità intellettuale e stendessi virus e spyware sul lettino analizzandoli nel profondo*
end rinco batch file :dance:


:D


OT

mah, sono ...ondivago... sia per gli interessi sia per le situazioni che la vita mi mette davanti ;)

c'è stato un tempo in cui ero molto interessato alla sfera "boot devices" con annessi e connessi... .lontano, lontanissimo 1998.. poi mi sono spostato sul networking,... poi sulla sicurezza,... adesso sono molto sottotono, il pc mi ha stancato un bel pò, guardo altrove, ma per necessità non posso mollare del tutto l'assistenza "clienti" ;)

e tra 2 anni, potrei pure essere costretto a tornare al mio 1° lavoro, Ufficiale Macchinista .... lavoro gratificante (L), non solo economicamente ;)

/OT

EDIT: piccoli ortofix :D

leofelix
13-02-2009, 01.28.32
:D
OT

mah, sono ...ondivago... sia per gli interessi sia per le situazioni che la vita mi mette davanti ;)
e tra 2 anni, potrei pure essere costretto a tornare al mio 1° lavoro, Ufficiale Macchinista .... lavoro gratificante (L), non solo economicamente ;)

/OT

EDIT: piccoli ortofix :D

:p

[OT]

Che la nostra protettrice Santa Barbara sia con te allora


[END OT]

(B)

RNicoletto
13-02-2009, 17.00.11
sono quasi deluso :D, mi è rimasta la curiosità di provare i tools suggeriti da RNicoletto....

sarà per la prossima volta :DE NO!! :anger:

Tu adesso:
torni li,
gli disattivi firewall & antivirus,
gli ripristini una precedente immagine del sistema non patchata,
apri IE e navighi su qualche sito equivoco,
ti ri-ciucci il trojan/rootkit in questione,
finalmente testi i tool che ti avevo indicato.Io aspetto qui. :o

Lionsquid
13-02-2009, 19.41.24
E NO!! :anger:

Tu adesso:


.....


Io aspetto qui. :o



portati birra e panini :D, lascia pure l'ombrellone dato che non è ancora stagione :p


nel 2003-2004 l'avrei anche fatto... oggi non ho più tempo e anche poca voglia ;)

Lionsquid
14-02-2009, 21.45.55
certo che siete fortunelli, eh!

questo pomeriggio, mentre mezzo mondo sbaciucchia la l'altra metà (non specifico di cosa, no quote creativo please), mi imbatto nuovamente nel caro TDSSxxx

stavolta ho prima usato RootRepeal e Rootkit UnHooker, il primo mi ha marcato il KLIF.SYS come sospetto (:rolleyes: c'era il KAV 2009 installato), il secondo mi ha evidenziato alcune voci, ne ho rimosse solo 2 per prova e c'è riuscito benissimo... ma non l'ho spinto per una pulizia completa, volevo riprovare il combofix con lo switch di avvio /killall per ottenere un log da studiare ;)

infatti il combofix, stavolta rinominato 123.exe, ha ripulito il TDSSxxx e un paio di altri malware come MyWebSearch...

appena ripulisco il log da eventuali info riservate lo metto a disposizione per chiunque lo desideri ;)

Lionsquid
14-02-2009, 21.55.05
ecco i file, il report e i file rimossi

la data è stata settata al 6/2/09 forzosamente perchè il combofix era del 5/2/09 e pretendeva di scaricare la versione aggiornata... cosa per altro impossibile dato che la connessione adsl era kaputt


buona lettura....

RNicoletto
16-02-2009, 16.12.18
Grazie Leo per il feedback. ;)

Davvero potente questo Combofix, il fatto che venga aggiornato ogni altro giorno però è piuttosto preoccupante; vuol dire che il virus Combo continua ad evolversi ed a far danni. :inkaz:

cascavel
16-02-2009, 17.00.18
Grazie Leo per il feedback. ;)

Davvero potente questo Combofix, il fatto che venga aggiornato ogni altro giorno però è piuttosto preoccupante; vuol dire che il virus Combo continua ad evolversi ed a far danni. :inkaz:
e' proprio questa la sua forza.... oggi come oggi , usato sempre da riga di comando, insieme a findykill che, secondo me, e' un po' meno efficace e' l'unico tool in grado di rimuovere qualsiasi variante di bagle.....

Lionsquid
16-02-2009, 21.32.54
un'elenco completo di tutti gli switch utilizzabili dove lo trovo??

Lionsquid
16-02-2009, 23.52.33
oggi, mentre attendevo chilometrici aggiornamenti del .net, ho cercato info per un malwarebytes portatile... ho trovato questo...

http://www.malwarebytes.org/forums/index.php?showtopic=5608

che peccato!

leofelix
17-02-2009, 01.46.19
in realtà alcuni utenti di wintricks hanno sviluppato due versioni portabili di MalwareBytes, non può essere ovviamente supportata dallo sviluppatore e non credo possano essere efficaci come l'originale, visto che viene anche spesso radicalmente modificato da Marcin (il programmatore).
Li si trovano nelle news software precedenti relative il programma.
Però talvolta funziona un trick non solo rinominando l'eseguibile del file di setup, ma anche tutti gli exe nella directory C:\programmi\malwarebytes.

E io che credevo che finalmente a questo trojan gli avessi ordinato di cazzarti la gomena. :devil:

Che non sia rimasto intaccato anche il settore di avvio dalla rootkit?

qui forse qualcosa che può interessarti

http://forum.wintricks.it/showpost.php?p=1479486&postcount=14

Lionsquid
17-02-2009, 02.23.09
oh no, 2 sistemi fully cleaned ;)

solo che non bisogna cessare di documentarsi, vero?

oggi ho avuto altre gatte da pelare, un .net 3.5 che non si installa correttamente e non posso rimettere autocad 2006 che lo richiede espressamente... nel frattime ho giocherellato con la ubuntu 8.10, ma la stampante mp600 non va.... vedremo in seguito di risolvere il problema al tizio in questione

non ho tempo di sperimentare, faccio troppe cose e sempre con poco tempo a disposizione... non ultimo, non appena si alza la temperatura di 5/6°C di riprendere i miei 45km 2 volte a settimana sulla mia MTB ;)

per cui, mi tengo il setup, pazienza