Inviato October 20, 2006 service32.exe, un file che viene installato sotto la directory di Windows insieme alla dll syst32.dll (o syshost.dll). Ma, se si prova a cancellarlo, l'accesso è negato. Se vogliamo terminare il processo via Task Manager, il file non si trova. …un altro rootkit. <_< gli utenti vengono infettati quando ricevono e visitano un link via e-mail (spam) Scarica GMER http://www.gmer.net/gmer110.zip Nel caso il sito risultasse OFFLINE, allego a questo messaggio la versione 1.0.1.2 Decomprimi il programma Avvialo,portati sul tag "Rootkit" Clicca su "Scan" Se individua il processo sevice32.exe come ***Hidden*** Cliccaci sopra con il tasto destro e seleziona KILL Process Poi, da START\ESEGUI digita regedit Portati alla voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ e cancella la chiave: 1 = C:\WINDOWS\service32.exe Portati alla voce: HKEY_LOCAL_MACHINE\SOFTWARE\ e cancella la chiave: 9F65E3H10M (questa chiave è variabile.... ad esempio: 9P78Q3B10L) Riavvia il PC Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione) e elimina i seguenti files (potresti non averli tutti) Dalla cartella di WINDOWS: service32.exe syst32.dll syshost.dll 623958248.exe Dalla cartella dei file temporanei /sia di Windows che del browser) elimina tutti i files, in particolar modo: it_0130.exe ( i numeri possono variare) Possono esserci anche questi file, che vanno eliminati. C:\WINDOWS\mdm32.dll C:\WINDOWS\winsmgr32.dll C:\WINDOWS\iexplorer32.dll C:\WINDOWS\spoolvs32.dll Al termine allega un log di Hijack aggiornato nell'apposita sezione specificando il problema ------- ______________________________________________________ AGGIORNAMENTO: (5 Novembre) I programmatori hanno cambiato la struttura dei file eseguibili, compressi ora con TeLock e hanno ampliato i nominativi delle dll, che ora risultano essere: C:\WINDOWS\iexplorer32.dll C:\WINDOWS\mdm32.dll C:\WINDOWS\scrss32.dll C:\WINDOWS\spoolvs32.dll C:\WINDOWS\syshost.dll C:\WINDOWS\syst32.dll C:\WINDOWS\winsmgr32.dll ______________________________________________________ Per sicurezza, date anche una passata anche con questi due tool (potrebbe non essere necessario, ma non si sa mai ) http://www.prevx.com/gromozon.asp http://securityresponse.symantec.com/avcenter/FixLinkopt.exe Postate entrambi i log creati insieme a quello di Hijack nell'apposita sezione dei log Grazie al Blog di Marco Giuliani Grazie a GmG per l'aggiunta degli altri files e altre info gmer.zip Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato October 24, 2006 Nuovo nome per la dll C:\WINDOWS\scrss32.dll rilevata da antivir come TR/Click.Small.KJ.31 Gli autori del virus hanno aggiornato tutti i file service32.exe ed ora nessun antivirus li rileva, prima antivir aveva un riconoscimento generico (TR.Clicker.Small.FU.Gen). Grazie a GmG per questa Informazione Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 Per evitare di essere infettati potete seguire queste semplici istruzioni. Aprite Internet Explorer (Firefox ed Opera sono immuni) Andate nel Menu Strumenti -> Opzioni Internet Selezionate Protezione -> Siti Con Restrizioni Premete il pulsante Siti.. Inserite il sito 195.225.176.34 Premete OK EDIT 14 NOV 2006 Il sito è cambiato in 81.29.241.180 EDIT 14 DIC 2006 Nuovo sito 81.29.241.232 EDIT 14 GEN 2007 Nuovo sito 81.29.241.231 Nuovo sito 81.29.241.233 Nuovo sito 81.29.241.190 EDIT 07 FEB 2007 Nuovo sito 81.29.241.234 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 14, 2006 Nuove versioni ora il TR/Click.Small.KJ ha nome iexplorre32.dll installa un secondo rootkit di nome winsyst32.exe il dilaer rimane col nome it_0xxx.exe dove xxx è un numero lsas32.dll non installa il secondo rootkit dal nome winsyst32.exe Il dialer ha nome best_0xxx.exe dove xxx è un numero Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 23, 2006 Il file winsyst32.exe installa un rootkit (Rustock) in C:\WINDOWS\system32:lzx32.sys idetificato come Avira -> TR/Rootkit.Gen Kaspersky -> Trojan-Clicker.Win32.Costrat.r Microsoft -> Win32/Rustock.gen!B Prevx1 -> Covert.Code Per eliminarlo eseguite GMER Dopo la scansione identificherà un servizio di nome pe386 Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [sYSTEM] pe386 <-- ROOTKIT !!! Selezionate il servizio, tasto destro del mouse e selezionate delete Comparirà una finestra di errore, non preoccupatevi è normale. Riavviate. Scaricate ADS Revealer 1.0 Eseguite una scansione che rileverà il file C:\WINDOWS\system32:lzx32.sys Selezionate clean per eliminare il rootkit. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 24, 2006 Ora la dll si chiama C:\WINDOWS\sys32exploer.dll Inoltre installa un altro virus fun.exe che viene copiato in c:\windows\[numero].exe (E.S. c:\windows\9129837.exe) Avira Antivir -> TR/PSW.Small.bs.SYS Avast -> Win32:Small-BMW BitDefender -> Generic.Malware.SBdldg.F08BA4F3 EDIT: Il file fun.exe è un'altro rootkit Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato December 7, 2006 Nuovo nome per la dll C:\WINDOWS\ctfmon32.dll Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato December 26, 2006 Service32.exe ha cambiato nome in winsys.exe Nuova dll con nome omsnlog.dll Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato January 11, 2007 Nuovo nome per la dll C:\WINDOWS\svhost.dll Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato January 11, 2007 [mode OT - on] GmG... ti rigrazio per il continuo aggiornamento di questo topic [mode OT - off] Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato January 22, 2007 Ho sottomano in queste ore una "nuova" variante del Rootkit.DialCall. Scriverò informazioni non appena avrò approfondito ulteriormente le analisi. É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Fate attenzione dunque, qualunque form di login verrà rubata e inviata ad un server remoto. Raccomando al momento il blocco immediato dell'IP 81.29.241.170, dove risiede il server che sta collezionando le informazioni rubate. FONTE Edit by Steve75 AGGIORNAMENTO É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Il rootkit viene caricato attraverso il file 9129837.exe (PWS.Generic), che estrae sempre nella directory di Windows il driver hide_evr2.sys. Fortunatamente questa tipologia di infezione è già riconosciuta da molti software antivirus, poiché si tratta sostanzialmente di una vecchia conoscenza modificata. Fonte Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato January 27, 2007 Ancora aggiornamenti dal sito di Marco Giuliani per le varianti del Rootkit.DialCall Il dropper winsys.exe crea ancora svhost.dll mentre winsyst32.exe ritorna a installare nel sistema il rootkit Rustock. Cambia il nome del file ADS e il nome del servizio. huy32 = C:\WINDOWS\System32:huy32.sys, dalle dimensioni di circa 69KB. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato February 7, 2007 Hanno cambiato ancora nome il file ora si chiama winhp32.exe la dll msnhp32.dll il file winhp32.exe è riconosciuto solamente da AntiVir -> TR/Crypt.XPACK.Gen BitDefender -> BehavesLike:Win32.ExplorerHijack CAT-QuickHeal -> (Suspicious) - DNAScan Fortinet -> suspicious Panda -> Suspicious file VirusBuster -> Trojan.DR.Small.Gen.4 Nuovo sito 81.29.241.234 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 22, 2007 il file scaricato si chiama ancora winhp32.exe ma si copia in c:\windows\systpro32.exe la dll ora si chiama systempro32.dll systpro32.exe è riconosciuto da AntiVir -> TR/Crypt.XPACK.Gen BitDefender -> BehavesLike:Win32.ExplorerHijack eSafe -> suspicious Trojan/Worm Fortinet -> suspicious Sophos -> Troj/Clckr-KY systempro32.dll è riconosciuto da AhnLab-V3 -> Win-Trojan/Downloader.5120.CM AntiVir -> TR/Crypt.XPACK.Gen AVG -> Clicker.EWC BitDefender -> Trojan.Agent.AKQ DrWeb -> Trojan.Click.1996 eTrust-Vet -> Win32/Doklin!generic Fortinet -> suspicious McAfee -> AdClicker-EV.dll Sophos -> Troj/Clckr-KY Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 19, 2007 il file scaricato ora si chiama csrss32.exe ma si copia in c:\windows\winlogon32.exe la dll ora si chiama winlogon32.dll Nuovo sito 81.29.241.236 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato May 30, 2007 ancora nuove varianti in circolazione e cambio nomi per i file del clicker e del Rustock... Nel primo caso i due file sono CSRS.EXE e CSRS.DLL , mentre il secondo adesso è identificato con il nome xpdt.sys Maggiori Info QUI e QUI Condividi questo messaggio Link di questo messaggio Condividi su altri siti