[VIRUS] Account che si crea da solo

[Sbavi]

Quota:

Inviato da andorra24

qui Ciao, il file in questione e' verde? Vedi se questa procedura puo' aiutarti:
Per eliminare un file verde,cioe' crittografato, si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora e' possibile cancellare il file.
NB: In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

Thanks, eliminati i file sospetti. Tuttavia rimane il servizio (disattivato), sul quale non posso agire in alcun modo.

[Turot]

Ragazzi questo tipo di trojan usa tecniche di RootKit e precisamente una vulnerabilità dei wmf x cui c'è un'apposita pacht da parte di Microsoft ed è uno dei temi + dibattuti sui forum rigardanti la sicurezza in questi ultimi mesi.
Io ci sto finendo di combattere proprio oggi.
La soluzione in italiano la trovate Suspectfile oppure potete usare ViritLite ma andate sul sito x vedere come si fà
Vi saluto e spazziamo sta mondezza.

[cippico]

ottimo link suspectfile.com

grazie e ciaooo

[Sergio Neddi]

Interessante.
Ho casini con qualche PC di qualche cliente, uno dei quali lo posso avviare solo in modalità provvisoria in quanto dice che il processo tale (non sempre lo stesso) è stato terminato e quindi riavvia il PC.
'Sta besta è bastarda, scassa il Norton e non lo riconosce nessun antivirus che ho provato (facendo la scansione dal MultiPE, quindi senza rootkit di mezzo).

[Sergio Neddi]

Risoltoooooo!!!!
Con le istruzioni di VirIT non riuscivo a terminare il task del rootkit in quanto probabilmente usava un handle differente da quello delle istruzioni, ma allora ho provato con il MultiPE. (http://www.wintricks.it/software/multipe.html)
Ho provato ad avviare con la prima opzione ed a lanciare VirIT da lì, però non trovava una dll.
Ho così avviato con la seconda opzine, XPE, e da lì VirIT funziona!
Facendogli fare la scansione ha trovato i file del rootkit (invisibili normalmente anche dal MultiPE) e li ha eliminati!
Ho poi rifinito e ricontrollato a mano dal registro le porcherie, ma anche se le lasciavo sicuramente casini non facevano.
Per i file incancellabili, come dicevo prima, ero riuscito a cancellarli giocando con i diritti di accesso su queli file.
Avevo anche trovato altri file sospetti nel sistema, li avevo rinominati aggiungendo l'estensione .kkk e VirIT li ha trovati, segno che ho visto giusto sulla base della mia esperienza e non me ne era scappato nessuno.
Segnalo anche che sul PC che faceva i riavvii in modalità normale inizialmente non riuscivo ad entrare nell'utente e nemmeno con l'utente administrator, ma pensavo che il cliente (come spesso accade) avesse sbagliato a fornirmi la password e così avevo cambiato la password di Administrator con ERD Commander 2003, o meglio con MultiPE e Locksmith di ERD Commander perché Erd Commander originale non mi vedeva il disco che è SATA.
Ebbene, tolto il rootkit hanno ripreso a funzionare le password!
E si è pure risolto il problema dell'antivirus.
Notare che su entrambi i PC che ho qui risultava la stessa variante di virus, ma faceva effetti differenti: su uno andava in errore Norton, sull'altro, invece, all'avvio diceva che erano terminati dei servizi indispensabili e pertanto il PC veniva riavviato nel giro di 1 minuto.
Potevi solo riavviarlo in modalità provvisoria ma in nessun caso accettava le password.
Per quanto riguard il PC con Windows 98 del mio collega è bastata la segata a mano che avevo fatto l'altroieri senza conoscere il virus per metterlo ko (ma non ci credevo).
Insomma, una rogna così non l'avevo mai vista.

[Giorgius]

Dagli ultimi Test di programmi Trial effettuati per la rilevazione - rimozione di nuovi Malware e nuovi RootKit, "Spyware Doctor" di PcTools (vedi Link Thread "Removal Tools AntiVirus - Update" ) sembra funzionare egregiamente quando l'infezione non ha ancora intaccato il 100% degli eseguibili di Sistema.

----------------------------------

X WinXp Professional (Home?)

La procedura con la versione registrata di "Spyware Doctor", implica l'avviamento di WinXP in Modalità Provvisoria, accedere come utente Administrator, procedere successivamente con la pulizia totale dei files temporanei tramite l'utility "ATF-Cleaner" (vedi Link su Thread "Removal Tools AntiVirus - Update"), installare "Spyware Doctor", avviare l'applicazione abilitando la scansione approfondita; eliminare successivamente i codici maligni rilevati dal programma, poi uscire dalla modalità Administrator e effettuare il Login con la modalità che corrisponde al vostro normale utilizzo di Windows. Effettuare una nuova pulizia dei files temporanei con ""ATF-Cleaner", procedere successivamente ad una nuova scansione completa con "Spyware Doctor". Al termine della scansione-rimozione, cliccare all'interno del programma su "Impostazioni di avvio", impostare l'opzione "Esegui all'avvio di Windows -> Esegui scansione completa", effettuare di seguito il riavvio del Sistema Operativo; avviare normalmente WinXP e aspettare che "Spyware Doctor" termini questa ultima scansione-rimozione.

Se la procedura sarà stata efficace, disabilitate l'opzione "Esegui all'avvio di Windows", altrimenti riavviate il sistema e fate scansionare nuovamente.

[ N.B. ]: Il Database di Spyware Doctor deve essere aggiornato con l'ultima release disponibile nel Sito di PcTools prima di effettuare la procedura sopraindicata.

[Giorgius]

Il Forum di Suspectfile ha rilasciato oggi una versione modificata di "GMER" per rilevare gli ultimi rootkit che tentano di "sfuggire" ai primi sistemi manuali di rimozione.

GMER modificato
http://www.suspectfile.com/upload/files/analisi.zip

Forum Thread
http://www.suspectfile.com/forum/viewtopic.php?t=258

[Ludwig]

Quota:

Inviato da sbavi

Thanks, eliminati i file sospetti. Tuttavia rimane il servizio (disattivato), sul quale non posso agire in alcun modo.

nemmeno col comando dos:
SC DELETE NOMESERVIZIODACANCELLARE

[Davide71]

Una domanda, ma i file "verdi" che tipo di file sono?


byezzz

[Ludwig]

Verde = cifrato
Blu = compresso

[Davide71]

thx!!


byezzz