Olimpo Informatico

[vitox79]

ciao a tutti
premetto che sono arrivato su questo forum per puro caso.
qualche tempo fa il pc della mia ragazza è stato infestato dallo stesso virus.
ho scoperto utilizzando anche le informazioni di questo forum come eliminarlo definitivamente ma se ho capito bene ci vuole l'XP prof.
comunque se si entra in modalità provvisoria come admin e si visualizza il contenuto della cartella programmi o comunque la cartella che conteneva quella di linkoptimizer si dovrebbe visualizzare un file ch.exe o qualcosa del genere. il file è invisibile ed è considerato un file di sistema, quindi per poterlo visualizzare bisogna settare le solite proprietà di visualizzazione. in modalità normale il file non si chiama ch.exe ma assume un nome di 8 lettere casuali .exe.
comunque in modalità provvisoria si clicca col destro e nel pannello condivisione si riassegna il possesso del file all'utente admin, a quel punto si sbloccano tutti i permessi, lettura, scrittura, ecc ecc. finalmente è possibile eliminare il file.

Il virus genera la solita copia nel "system volume information" e quindi sarà necessario prima di scansire il sistema sbloccare la cartella "system volume information". Pre farlo basta condividerla in rete! Se tentando di condividere la cartella compare un errore, basta riprovare una seconda volta.

p.s. ricordatevi di annullare la condivisione subito dopo aver effettuato la scansione e tenete durante l'operazione il computer scollegato dal web.

p.p.s mi è capitata una cosa un po' strana, se cliccavo sulla cartella di win o tentavo un task manager mi dava il solito messaggio d'errore di win. dopo aver tentato varie scansioni avast e scandisk il problema sembra essere scomparso. Ho il dubbio però che scansioni e scandisk non siano servite a niente e il problema sia scomparso da solo! Forse un problema hardware?

[holifay]

grazie per la tua segnalazione e benvenuto nei nostri forum

Una curiosità: ma cosa vi fa pensare che il problema sia dovuto a linkoptimizer? Linkoptimizer si vede dal log di hikjackthis e tra l´altro si può disinstallare abbastanza agevolmente dal pannello di controllo


Comunque il problema di excelsis non è tanto di liberarsi del trojan, ma che è diventato la mia cavia preferita per cercare di catturare quel file! Quando però si stuferà della caccia e vorrà eliminarlo, non sarà un problema


O almeno lo spero


Ciao!

[vitox79]

è vero che linkoptimizer si disistalla facilmente ma il file che rimane in memoria è in qualche modo collegato. in particolare sul computer della mia ragazza ricompariva ad intervalli regolari la segnalazione avast di rilevamento del virus agent-gen(trj) legato al file jcml1.exe che però poteva anche essere jcml2 jcml3 ecc ecc. l'unica cosa che mi possa far pensare che questo possa essere stato collegato al linkoptimizer è il fatto che sia nei computer infetti dei due amici sia in quello della mia ragazza si presentano le stesse caratteristiche. comunque sono stato un po' distratto e il maledetto file l'ho cancellato senza inviarvelo! peccato.

inoltre ho letto ad alcuni ha anche creato una nuova utenza, anche a me ha fatto lo stesso scherzo! ma per eliminarla non basta cancellarla impunemente da documents e settings ma bisogna accedere dal pannello di controllo agli strumenti di amministrazione...
nel mio caso l'utenza nuova si chiamava chd.

io ipotizzo (sono un totale ignorante) che il virus funzioni in questo modo:
si apre un web cattivo
viene installato il malware che...
crea una nuova utenza
crea il file ch.exe che viene rinominato ad ogni avvio (tra l'altro essendo stato creato dalla nuova utenza non puo essere cancellato)
installa link-optimizer
si copia ne system volume information

a questo punto il vostro computer è affetto dall'agent che produce i seguenti sintomi...
vi apre pop-up che vi richiedono l'istallazione di downloader e altre cazzate simili
vi aprono (letteralmente) il computer nel web dato che l'effetto più devastante degli "agent" è proprio questo.
ovviamente per l'effetto "cavallo di troia" se non si interviene velocemente il vostro computer sarà ben presto pieno di virus!

p.s. prometto che prima o poi mi imparo assembler e C!

[holifay]

Ah, grazie ancora: non sapevo ancora che linkoptimizer creasse anche un utente fittizio.

@Alexis: puoi verificare (a parte le altre cose che ancora devi fare) se trovi qualche riferimento a linkoptimizer sul PC. Fai una ricerca di linkoptimizer o link optimizer.

Poi verifica dal Pannello di controllo > Utenti e Password quali e quanto profili utente sono registrati sul PC.


Sempre se hai tempo (se ti sei stufato dimmelo che cancelliamo i virus e basta), fai per favore anche questo:
scarica GMER.EXE. Avvialo, vai sul Tab Rootkit , clicchi su Scan . Al termine della scansione, se trova qualcosa, posta il contenuto (premi Copia e poi lo incolli qui)

Una curiosità: il PC ti manifesta qncora dei problemi?

[holifay]

Una domanda excelsis, hai ancora questo file? C:>Windows>xcrkn1.dll

Rileggendo i tuoi post mi sono accorta di averlo dimenticato.
Cercalo con i file nascosti /sistema visibili.

Se ce l´hai riesci a mandarmelo? Poi cancellalo al reboot, anche con HijackThis: premi Open the misc tools section /Delete a file on reboot.

Ciao

[excelsis]

@ HOLIFAY

Adoro partecipare al progresso della scienza. Anche la cavia, in fondo, partecipa.
Ecco il mio report dai tuoi ultimi suggerimenti:
? C\Win\System32\gvaa.dll sembra sia un trojan/downloader, sarai a conoscenza del risultato di suspectfile
? Pertanto l?ho rinominato e lasciato lì dov?è
? scansione degli ADS con HijackThis impossibile perché funziona solo su partizioni NTFS. Io ho FAT 32
? Meditavo di cambiare la formattazione in NTFS. Credo che sia una procedura semplice e senza perdita di dati. Se mi dici come si fa, faccio.
? C\Win\System32\NUL.ETZ ancora invisibile a Windows in SAFE MODE
? C\Programmi\lpt6.exe sempre intrattabile in SAFE MODE

DARKSPY: Sono nostri. Li abbiamo. Li possediamo. Li sento agitarsi, implorare, urlare. Ma niente da fare: saremo spietati. Sono riuscito a prenderli entrambi: lpt6.exe + nul.etz e sono su mytempdir nella cartella compressa Temp Ricezione Files.
Chiave d?accesso: http://www.mytempdir.com/778987

Grazie per la tua infinita pazienza. Sembra che sia stata premiata, forse?

[Dink the Boss]

purtroppo ho preso lo stesso virus...solo ke il nome questa volta del file nella cartella temp è prpj1.exe ...e come già detto si crea a determinate ore del giorno....

siete riusciti a risolvere?

Ditemi che devo fare per aiutarvi, ed essere aiutato

Grazie

[excelsis]

@ HOLIFAY


Il file C:>Windows>xcrkn1.dll è stato cancellato da Avast HE/scansione al reboot perchè riconosciuto infetto dal nostro Trj
? Ti ricordo che alla prima infezione sono riuscito a spostarlo nel cestino di Avast
? Nelle successive infezioni, invece, l?HD risultava pieno. Cosicché ho dovuto cancellare il file infetto

Grazie ed a presto

[holifay]

[holifay]

A proposito, devo rendere onore al merito a guia e vitox79 che per primi mi hanno parlato di linkoptimizer: questo rootkit è in effetti una variante del linkoptimizer, solo che è più malefica di quella che conoscevo io prima di incontrare il log di excelsis

Grazie ragazzi

[zagor]

Ciao a tutti,
ho lo stesso problema di tempesta solare. Da più di una settimana Avast antivirus rileva "win32:agent.gen [trj] e lo elimina puntualmente.
Il giorno dopo, oppure il giorno stesso, quando uso Internet Explorer, il problema si ripresenta. Eccone le caratteristiche.

- Il virus si attiva SEMPRE con l'uso di Internet Explorer, indifferentemente dal sito visitato.
- il file infetto è SEMPRE un file con estensione *.tmp con il nome file costituito da un numero, es. 7.tmp, 2.tmp, ecc.
- il firewall, zoneAlarm, non segnala alcun tentativo di comunicazione l'esterno sospetto.

La mia idea è che il "segno" identificato da Avast, sia solo una parte del virus, probabilmente malfunzionante.
Questo perché un file con estensione *.tmp non è eseguibile e di per sè non può svolgere alcuna operazione, se non utilizzato da un programma virale più completo.
Il virus vero e proprio evidentemente non viene rilevato dall'antivirus ed è in grado di continuare a creare il file temporaneo.

Ora non so se oltre all'allarme di Avast, vi sia una seria minaccia. Fatto sta che comunque non riesco a eliminarlo dal sistema.
Ho usato anche Panda Activescan, Stinger, Norton, Adaware, Spybot, ma nulla.
Ieri ho scaricato "Solo antivirus", che ha rilevato un trojan in un programma di video editing "patchato", per così dire... e l'ha cancellato.
Il fatto che però non abbia trovato nulla nella cartella di windows, mi fa sospettare che il problema non fosse realmente quello.

Qualcuno ha una soluzione precisa?
Vi terrò informati.
Zagor

[guia]

[Disperante]

Ciao,
ho letto con interesse la vostra caccia al ladro, e io sono in una situazione simile. Ho riscontrato con Avast un trojan agent come quello da voi descritto, solo che invece di essere lpt6.exe è lpt6.msi.

Ho provato ad usare VirIt come da voi consigliato, ma lui non agisce in nessuna maniera. Ho l'alert all'avvio in cui mi segnala l'esecuzione automatica di questo files, ma ne in modalità provvisoria ne in altro il programma rileva il file infetto. Ho anche controllato con la funziona rootkit di gmer mi rileva la stringa C:\windows\system32\lpt6.msi.
Dalle funzioni di amministratore ho cancellato gli account utente creati e non si sono più riformati.
Ovviamente il file è inattaccabile ne da dos, ne da altre modalità.

Mi consigliate come operare?

Grazie...

[holifay]

[Disperante]

Grazie dell'aiuto,

purtroppo ho seguito la procedura che mi hai segnalato ma senza alcun cambiamento. Non ho ne la presenza di eseguibili a nomi strani in data ultimi due o tre giorni, ne la presenza di cartelle di user strani dopo che li ho rimossi dagli strumenti di amministrazione. Non ho nemmeno nessuna voce link optimizer.
La prima passata di VirIt ieri mi aveva trovato il file a00054194.exe nella cartella system volume information\_restore, ma non aveva agito su nulla. Ma ora la cartella è inaccessibile. E se provo a fare un rar della cartella risulta vuota. Ho solo gmer che nella voce rootkit mi da quella stringa nella directory system32 sul file lpt6.msr.
Se dico a Gmer di cancellarlo mi da errore 0xc0000121.
Non so che dire...

[holifay]

[excelsis]

@ Holifay

Eccoti il report che segue le tue istruzioni:
? Ho ritentato la cattura di C:\Windows\System32\NUL.ETZ con DarkSpy, ma trovo sempre il solito file vuoto
VirIt:
? Com?era da attendersi, VirIt Lite Monitor-Intrusion Detection rileva all?avvio di Win XP: Il registro dei programmi in esecuzione automatica è stato modificato. Il seguente programma è in esecuzione automatica \\?\C:\Windows\System32\NUL.ETZ
? Ed effettivamente nella lista programmi in esec. aut. trovo: Key: 17 Valore: AppInit_DLLs Dato: \\?\C:\WINDOWS\SYSTEM32\NUL.ETZ
? Nella schermata di avviso ho premuto il tasto che invia il file al team di VirIt, ma non ho capito che cosa succede perché non vedo nulla di allegato al messaggio email
? Come faccio ad eliminare NUL.ETZ? Non credo che la semplice cancellazione risolva la cosa. Immagino che la chiave di registro resti sporca?
? VirIt mi ha sorpreso partendo da solo, non ho saputo fermarlo ed ha compiuto la scansione in Modo Normale. Eccoti il risultato:
VirIT eXplorer Lite Log

SCANSIONE DELLA MEMORIA
OK
SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
06/07/2006 - 20:23:19

[SCANSIONE DEL REGISTRO]
{0B682CC1-FB40-4006-A5DD-99EDD3C9095D} Infetto da Trojan.Win32.Dialer.K
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\VIRUSgvaa.dll Infetto da Trojan.Win32.Agent.AAX (avevo rinominato gvaa.dll)
* * * RIMOSSO * * *
C:\Programmi\lpt6.exe Infetto da Trojan.Win32.Agent.ABG
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 23458.
Files Totali: 23458.
Chiavi Registro rimosse: 1.
Virus Rimossi: 2.
? Una successiva scansione in SAFE MODE con Avast e SpySweeper disattivati riporta:
07/07/2006 - 00:51:20

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
[E:]

Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 28592.
Files Totali: 28592.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

? Resta da rimuovere la DIR creata a mia insaputa: C:\Doc and Settings\Jdh. Cancello semplicemente, magari con DarkSpy o HiJackThis? Ho letto tra i nostri posts che non basta: si deve procedere da Pannello di Controllo/Strumenti di amministrazione, ma non vi ho trovato nulla di utile. Forse perché io uso WinXP HE e non la versione Prof?

La cosa assolutamente sorprendente è che Avast ha rilevato la presenza di un?altra decina d?infezioni da Win32:Dialer-654 [Trj]. Ecco il log:

07/07/2006 00:25
Controllo di tutti i drives locali
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\1.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Sposta nel Cestino: Errore 0xC000007F {Un'operazione è fallita perché il disco era pieno.}, Cancellato
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\A516_638_7_ax.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\WINDOWS\Downloaded Program Files\1.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\1.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\WINDOWS\Downloaded Program Files\A504_633_7_ax.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\WINDOWS\Downloaded Program Files\A516_638_7_ax.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\WINDOWS\Downloaded Program Files\A513_637_7_ax.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\WINDOWS\Downloaded Program Files\A495_629_7_ax.exe\[UPX] e infetto da Win32:Dialer-654 [Trj], Cancellato
File C:\hiberfil.sys Errore 0xC0000022 {Accesso negato}

Numero di cartelle cercate: 1709
Numero files controllati: 39536
Numero files infetti: 8

E ne sono molto stupito: dal momento dell?infezione da trojan horse - Win32:Agent-gen [Trj], ho connesso in rete il PC infettato soltanto pochi minuti.

Una successiva scansione in SAFE MODE con Ewido trova il sistema pulito.

Questo è tutto: attendo le tue istruzioni per eliminare/catturare C:\Windows\System32\NUL.ETZ e la DIR C:\Doc and Settings\Jdh. Dovrò pulire anche il Registry?

Grazie ed a presto

[holifay]

Ciao excelsis, ti davo per disperso

Il problema di questi trojan è proprio questo, che scaricano altri malware da Internet appena ti colleghi, certe varianti come questa che fa uso di tecniche di rootkit per nascondersi riescono anche a bypassare un firewall software.

Allora, vediamo di risolvere il rebus.

Spero che riusciremo. Non ho la certezza perchè purtroppo ci sentiamo ad intervalli "spot" e nel frattempo la situazione del PC potrebbe cambiare. Purtroppo avendo scaricato altri virus potrebbe essere necessario ripetere tutta la procedura con tutti i log (parte2)


Vabbè, vi proviamo lo stesso

Scarica The Avenger sul Desktop.
- Estrai l´eseguibile sul desktop.
- copia il contenuto di questa finestra negli appunti (CTRL+C)

[excelsis]

@ HOLIFAY


Hai ragione, mia cara. Talvolta questa mia piccola lotta mi logora e devo ritemprarmi occupandomi di qualcos?altro.
E la tua infinita disponibilità si accolla tutto il peso della situazione.
Bene, adesso sono stato diligente:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\arglcbfo

*******************

Script file located at: \??\C:\WINDOWS\system32\kupcifrr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\hiberfil.sys replaced with dummy successfully.
File C:\Windows\System32\NUL.ETZ replaced with dummy successfully.
File C:\hiberfil.sys deleted successfully.
File C:\Windows\System32\NUL.ETZ deleted successfully.
Folder c:\documents and settings\VirusJdh deleted successfully.
Folder c:\windows\temp deleted successfully.
Folder c:\windows\Downloaded Program Files deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.
*******************
Finished! Terminate.

Al riavvio VirIt denuncia che:
Risulta in esecuzione automatica non più NUL.ETZ, ma C:\GPADBHOH.BAT
File Sospetti LITE - Key: 0 Valore: arubtynk Dato: C:\GPADBHOH.BAT
Immagino che sia una procedura di Avenger. Infatti, provo un altro riavvio e l?avviso scompare.


Scansione con VirIt in modalità normale:

07/07/2006 - 17:25:55

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Avenger\NUL.ETZ Infetto da Trojan.Win32.RootKit.D
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 23370.
Files Totali: 23370.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.


Scansione con GMER/scheda Rootkit/ show all attivato. Avviso finale:
GMER has found system modification caused by Rootkit activity
Molte righe rosse che individuano chiaramente le azioni del Rootkit. Sono stato molto tentato di ciccare destro ed utilizzare le correzioni disponibili, ma non mi azzardo senza la tua autorizzazione.
Ho depositato il log, molto lungo, su mytempdir. Chiave d?accesso: http://www.mytempdir.com/790113

Attendo istruzioni. Grazie

[excelsis]

Dimenticavo: con Darkspy non trovo alcun eseguibile orfano nella dir C\Programmi.
Ne deduco che non c'è nessun file invisibile a Win, no?