Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 04-06-2007, 16.42.36   #1
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Variante rootkit-servizi infetti

Non ne posso più!
Da un pò di tempo sembra che tutte le patch per la rimozione rootkit non siano in grado di eliminare le ultime varianti uscite, o per lo meno si limitano a "disinfettare" il pc in modesta parte. Provo anche togliendo i dischi infetti e collegandoli come secondari su un altro pc dove regolarmente è installato ed aggiornato Virit, Kaspersky, AVG, PrevX, ma nulla di fatto! In locale è sempre presente un servizio (da linea di comando esegui: "services.msc") che come descrizione punta ad un eseguibile spesso presente in c:\programmi o in c:\windows\system32 o addirittura in c:\windows\system32\drivers. Questo servizio non ha un nome logico, ma spesso è composto da lettere messe a caso, generate dall'eseguibile presente in uno dei percorsi sopra descritti. Nel caso di oggi il servizio si chiama QHUF e l'eseguibile di appartenenza è c:\programmi\CEGGTGOGk.exe, con minuscole e maiuscole rispettate (non è un errore di battitura il mio, e neppure ho lasciato il tasto maiusocle attivato.
Il file è veramente nascosto bene, perchè la mie risorse sono in grado di "vederlo" ma in nessun modo a cancellarlo, neppure con delle utilities apposite. Anche il servizio risulta intoccabile!
A questo punto ogni consiglio o alternativa risulta ben accetta!
Lascio spazio alle vostre idee ed esperienze.
k501 non è collegato   Rispondi citando
Vecchio 04-06-2007, 17.06.29   #2
Tecno214
Hero Member
 
L'avatar di Tecno214
 
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
Tecno214 promette bene
Direi di segnalarci tutte le animalie che trovi nel pc a cominciare dal log di hijackthis che provereamo ad analizzare (sempre che il programma funzioni è inteso...).

VEdiamo che viene fuori..
Tecno214 non è collegato   Rispondi citando
Vecchio 04-06-2007, 17.35.14   #3
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
il programma funziona, anche Gmer funziona ma non rileva niente (è l'ultima versione che ho trovato in rete)
Ho già fixato tutto con hijackthis, comq appena possibile vi posto un log.

Altra domanda:
ho fatto boot con il cd di windows e sono entrato in console di ripristino. sto cercando di eliminare l'eseguibile da qui con il comando "del", ma mi dà accesso negato...
k501 non è collegato   Rispondi citando
Vecchio 04-06-2007, 18.00.41   #4
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
ecco il log:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE
C:\Programmi\IBM\Client Access\cwbckver.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\User\Desktop\patch fix\Analisi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Barra degli strumenti anti-frode Trend Micro - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\PROGRA~1\TRENDM~1\INTERN~2\PccIeBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Barra degli strumenti anti-frode Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\PROGRA~1\TRENDM~1\INTERN~2\PccIeBar.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD499C4-930C-40A0-8691-85B9026D4D89}: NameServer = 85.255.116.107,85.255.112.64
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Comando remoto Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

--
End of file - 5933 bytes
k501 non è collegato   Rispondi citando
Vecchio 05-06-2007, 05.57.17   #5
giancarlof
Forum supporter
 
L'avatar di giancarlof
 
Registrato: 08-06-2002
Messaggi: 1.539
giancarlof promette bene
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE

confermami di avere qualcosa della epsom forse una stampante stylus ?
-----------------------------------------------------------------

C:\WINDOWS\ALCMTR.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
molti lo fissano io preferisco fare altrimenti:
questo dovrebbe essere della Realtek lo devi soltanto togliere dall'avvio:
esegui/msconfig/ok vai sulle due tab AVVIO E SERVIZI, dopo aver disabilitato visivamente i servizi Microsoft e togli la spunta dove lo trovi.

----------------------------------------------------------------

O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)

Per ora limitati a dare
FIX CHECKED poi vedremo.
-----------------------------------------------------------------
___________________________________

giancarlo blog
giancarlof non è collegato   Rispondi citando
Vecchio 05-06-2007, 08.54.28   #6
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
ciao Giancarlo! Mattiniero?
La voce ho già provato a fixarla ma al riavvio riappare quando lancio hijackthis. ci sono molte probabilità che appartenga all'eseguibile che devo eliminare. Ho provato a riavviare il pc in modalità console di sistema e da li almeno sono riuscito a disabilitare il servizio. Il file però non è cancellabile perchè "accesso negato". Ora non ricordo bene tutti i comandi DOS, in particolare se c'è un modo per assegnare dei diritti di protezione e accesso ai file da riga di comando...
Temo che eliminarlo manualmente sia l'unica soluzione possibile, perchè tutti i software e le patch che ho utilizzato si sono rivelate inutili.
k501 non è collegato   Rispondi citando
Vecchio 05-06-2007, 09.23.21   #7
giancarlof
Forum supporter
 
L'avatar di giancarlof
 
Registrato: 08-06-2002
Messaggi: 1.539
giancarlof promette bene
Quota:
Inviato da k501
ciao Giancarlo! Mattiniero?
La voce ho già provato a fixarla ma al riavvio riappare quando lancio hijackthis. ci sono molte probabilità che appartenga all'eseguibile che devo eliminare. Ho provato a riavviare il pc in modalità console di sistema e da li almeno sono riuscito a disabilitare il servizio. Il file però non è cancellabile perchè "accesso negato". Ora non ricordo bene tutti i comandi DOS, in particolare se c'è un modo per assegnare dei diritti di protezione e accesso ai file da riga di comando...
Temo che eliminarlo manualmente sia l'unica soluzione possibile, perchè tutti i software e le patch che ho utilizzato si sono rivelate inutili.
Se riesci a vedere il file da cancellare, fai cosi come indica il link, da quello che scrivi sembra che poi sappia fare il resto eventualmente ci sentiamo, aggiungo una cosa soltanto che se il sistema operativo è Windows XP Home l'operazione oltre a quanto vedi nel link va completata in modalità provvisoria altrimenti non potrai vedere la tab.

http://www.dotnethell.it/tips/SecurityTabXP.aspx

Se la cosa si complica vai cosi:
Usa killbox
Scarica killbox: http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
apri KillBox
inserisci all'interno della stringa bianca il percorso del file da eliminare
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso, segui le istruzioni seguenti.
___________________________________

giancarlo blog
giancarlof non è collegato   Rispondi citando
Vecchio 05-06-2007, 09.41.35   #8
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Killbox è uno dei tanti che ho usato, ma non vede il file, talmente risulta nascosto.
Ho dimenticato un particolare importante: il sistema è Windows XP PRo.
ora provo a dare un'occhiata al link

Non è possibile fare la procedura standard di protezione sui file da windows, in quanto questo non è visibile!
Inutile dire che ho già "visualizza files di stema" e "nascosti" già abilitati
k501 non è collegato   Rispondi citando
Vecchio 05-06-2007, 10.29.30   #9
giancarlof
Forum supporter
 
L'avatar di giancarlof
 
Registrato: 08-06-2002
Messaggi: 1.539
giancarlof promette bene
Quello ha tanto odore di residuo di Linkoptimizer, non so se lo hai avuto proviamo cosi, la directory dalla mia esperienza dovrebbe essere quella:


scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:



Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte SI
Il pc si riavvia da solo, eventualmente riavvialo manualmente


Il programma rilascia un log .

Posta il log di Avenger (C:/avenger.txt) con il risultato dello script.
___________________________________

giancarlo blog

Ultima modifica di giancarlof : 05-06-2007 alle ore 16.12.56
giancarlof non è collegato   Rispondi citando
Vecchio 05-06-2007, 10.53.13   #10
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Fatto:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\vpcpbffd

*******************

Script file located at: \??\C:\WINDOWS\witafncp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Inizialmente avevo già provato ad usare Avenger per eliminare l'eseguibile, ma naturalmente senza successo.
Dopo aver cancellato la chiave di registro ho provato di nuovo a fixare con hijackthis quel BHO (no name), ma al riavvio è ancora lì!
Ha tutto il sapore di una bella sfida... :anger:
k501 non è collegato   Rispondi citando
Vecchio 05-06-2007, 11.09.54   #11
giancarlof
Forum supporter
 
L'avatar di giancarlof
 
Registrato: 08-06-2002
Messaggi: 1.539
giancarlof promette bene
Si tratta di una rimanenza non mi hai confermato di aver avuto Linkpotimizer, vai qui a vedere se c'è:

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}
___________________________________

giancarlo blog
giancarlof non è collegato   Rispondi citando
Vecchio 05-06-2007, 12.11.01   #12
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Si, c'era l'infezione linkoptimizer. E' stata eliminata con l'apposita patch. Poi ho eliminato manualmente la cartella "linkoptimizer" in "programmi" e l'utente "virtuale" in documents and settings.
La chiave che mi hai chiesto è presente. Passo all'eliminazione o secondo te devo procedere con qualcos'altro prima?
k501 non è collegato   Rispondi citando
Vecchio 05-06-2007, 12.19.24   #13
giancarlof
Forum supporter
 
L'avatar di giancarlof
 
Registrato: 08-06-2002
Messaggi: 1.539
giancarlof promette bene
Click destro cancella se non va come probabile prendi possesso dalla tab autorizzazioni. Lo script che ti ho fatto era nella localizzazione giusta, non so come mai non lo ha cancellato, spero che tu lo abbia fatto bene.
___________________________________

giancarlo blog
giancarlof non è collegato   Rispondi citando
Vecchio 05-06-2007, 14.17.00   #14
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Lo script era corretto; ho fatto semplicemente un copia incolla (vabbè mancava una E in "keys", ma l'ho messa io manualmente) anche perchè se errato Avenger se ne accorge, lo segnala e non procede.

Impossibile ottenere autorizzazioni sulla chiave, accesso negato!
Sto provando anche con una buona utiliti che si chiama regassassin (nome esplicito ) ma niente...
k501 non è collegato   Rispondi citando
Vecchio 05-06-2007, 16.25.41   #15
giancarlof
Forum supporter
 
L'avatar di giancarlof
 
Registrato: 08-06-2002
Messaggi: 1.539
giancarlof promette bene
http://www.nod32.it/tools/AGVPFIX.ZIP
___________________________________

giancarlo blog
giancarlof non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Reinstallare servizi in windows XP pro loki13 Windows 7/Vista/XP/ 2003 13 09-02-2009 10.28.03
Nuovi servizi per Windows Live Robbi Archivio News Web 0 27-06-2007 08.42.38
Servizi on Site lucser Hardware e Overclock 1 06-04-2007 17.55.26
Gazzetta Ufficiale: Legge contro la pirateria informatica Giorgius Internet e Reti locali 80 21-05-2004 22.41.10
Servizi Win XP Alhazred Windows 7/Vista/XP/ 2003 9 13-09-2003 21.57.38

Orario GMT +2. Ora sono le: 01.28.11.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.