Accedi per seguire   
Seguaci 0
Kuma

Eliminare Service32.exe (syst32.dll O Syshost.dll)

16 messaggi in questa discussione

service32.exe, un file che viene installato sotto la directory di Windows insieme alla dll syst32.dll (o syshost.dll). Ma, se si prova a cancellarlo, l'accesso è negato. Se vogliamo terminare il processo via Task Manager, il file non si trova. …un altro rootkit. <_<

gli utenti vengono infettati quando ricevono e visitano un link via e-mail (spam)

Scarica GMER

http://www.gmer.net/gmer110.zip

Nel caso il sito risultasse OFFLINE, allego a questo messaggio la versione 1.0.1.2

Decomprimi il programma

Avvialo,portati sul tag "Rootkit"

Clicca su "Scan"

Se individua il processo sevice32.exe come ***Hidden***

Cliccaci sopra con il tasto destro e seleziona KILL Process

Poi, da START\ESEGUI digita regedit

Portati alla voce:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

e cancella la chiave: 1 = C:\WINDOWS\service32.exe

Portati alla voce:

HKEY_LOCAL_MACHINE\SOFTWARE\

e cancella la chiave: 9F65E3H10M

(questa chiave è variabile.... ad esempio: 9P78Q3B10L)

Riavvia il PC

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

e elimina i seguenti files (potresti non averli tutti)

Dalla cartella di WINDOWS:

service32.exe

syst32.dll

syshost.dll

623958248.exe

Dalla cartella dei file temporanei /sia di Windows che del browser)

elimina tutti i files, in particolar modo: it_0130.exe ( i numeri possono variare)

Possono esserci anche questi file, che vanno eliminati.

C:\WINDOWS\mdm32.dll

C:\WINDOWS\winsmgr32.dll

C:\WINDOWS\iexplorer32.dll

C:\WINDOWS\spoolvs32.dll

Al termine allega un log di Hijack aggiornato nell'apposita sezione specificando il problema

-------

______________________________________________________

AGGIORNAMENTO: (5 Novembre)

I programmatori hanno cambiato la struttura dei file eseguibili, compressi ora con TeLock e hanno ampliato i nominativi delle dll, che ora risultano essere:

C:\WINDOWS\iexplorer32.dll

C:\WINDOWS\mdm32.dll

C:\WINDOWS\scrss32.dll

C:\WINDOWS\spoolvs32.dll

C:\WINDOWS\syshost.dll

C:\WINDOWS\syst32.dll

C:\WINDOWS\winsmgr32.dll

______________________________________________________

Per sicurezza, date anche una passata anche con questi due tool

(potrebbe non essere necessario, ma non si sa mai :) )

http://www.prevx.com/gromozon.asp

http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Postate entrambi i log creati insieme a quello di Hijack nell'apposita sezione dei log

Grazie al Blog di Marco Giuliani

Grazie a GmG per l'aggiunta degli altri files e altre info

gmer.zip

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nuovo nome per la dll

C:\WINDOWS\scrss32.dll

rilevata da antivir come TR/Click.Small.KJ.31

Gli autori del virus hanno aggiornato tutti i file service32.exe ed ora nessun antivirus li rileva, prima antivir aveva un riconoscimento generico (TR.Clicker.Small.FU.Gen).

Grazie a GmG per questa Informazione :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per evitare di essere infettati potete seguire queste semplici istruzioni.

Aprite Internet Explorer (Firefox ed Opera sono immuni)

Andate nel Menu Strumenti -> Opzioni Internet

Selezionate Protezione -> Siti Con Restrizioni

Premete il pulsante Siti..

capture2ki9.png

Inserite il sito 195.225.176.34

Premete OK

EDIT 14 NOV 2006

Il sito è cambiato in 81.29.241.180

EDIT 14 DIC 2006

Nuovo sito 81.29.241.232

EDIT 14 GEN 2007

Nuovo sito 81.29.241.231

Nuovo sito 81.29.241.233

Nuovo sito 81.29.241.190

EDIT 07 FEB 2007

Nuovo sito 81.29.241.234

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nuove versioni ora il TR/Click.Small.KJ ha nome

iexplorre32.dll

installa un secondo rootkit di nome winsyst32.exe

il dilaer rimane col nome it_0xxx.exe dove xxx è un numero

lsas32.dll

non installa il secondo rootkit dal nome winsyst32.exe

Il dialer ha nome best_0xxx.exe dove xxx è un numero

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Il file winsyst32.exe installa un rootkit (Rustock) in C:\WINDOWS\system32:lzx32.sys idetificato come

Avira -> TR/Rootkit.Gen

Kaspersky -> Trojan-Clicker.Win32.Costrat.r

Microsoft -> Win32/Rustock.gen!B

Prevx1 -> Covert.Code

Per eliminarlo eseguite GMER

Dopo la scansione identificherà un servizio di nome pe386

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [sYSTEM] pe386 <-- ROOTKIT !!!

Selezionate il servizio, tasto destro del mouse e selezionate delete

Comparirà una finestra di errore, non preoccupatevi è normale.

sgphoto20061123110012bi0.png

Riavviate.

Scaricate ADS Revealer 1.0

Eseguite una scansione che rileverà il file C:\WINDOWS\system32:lzx32.sys

sgphoto20061123110621av8.png

Selezionate clean per eliminare il rootkit.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ora la dll si chiama C:\WINDOWS\sys32exploer.dll

Inoltre installa un altro virus fun.exe che viene copiato in c:\windows\[numero].exe (E.S. c:\windows\9129837.exe)

Avira Antivir -> TR/PSW.Small.bs.SYS

Avast -> Win32:Small-BMW

BitDefender -> Generic.Malware.SBdldg.F08BA4F3

EDIT:

Il file fun.exe è un'altro rootkit

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nuovo nome per la dll C:\WINDOWS\ctfmon32.dll

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Service32.exe ha cambiato nome in winsys.exe

Nuova dll con nome omsnlog.dll

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nuovo nome per la dll C:\WINDOWS\svhost.dll

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

[mode OT - on]

GmG... ti rigrazio per il continuo aggiornamento di questo topic :P

[mode OT - off]

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho sottomano in queste ore una "nuova" variante del Rootkit.DialCall. Scriverò informazioni non appena avrò approfondito ulteriormente le analisi.

É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Fate attenzione dunque, qualunque form di login verrà rubata e inviata ad un server remoto.

Raccomando al momento il blocco immediato dell'IP 81.29.241.170, dove risiede il server che sta collezionando le informazioni rubate.

FONTE

Edit by Steve75

AGGIORNAMENTO

É cambiato il rootkit, al momento il nuovo rootkit ruba informazioni private dal pc infetto. Il rootkit viene caricato attraverso il file 9129837.exe (PWS.Generic), che estrae sempre nella directory di Windows il driver hide_evr2.sys. Fortunatamente questa tipologia di infezione è già riconosciuta da molti software antivirus, poiché si tratta sostanzialmente di una vecchia conoscenza modificata.

Fonte

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ancora aggiornamenti dal sito di Marco Giuliani per le varianti del Rootkit.DialCall

Il dropper winsys.exe crea ancora svhost.dll mentre winsyst32.exe ritorna a installare nel sistema il rootkit Rustock.

Cambia il nome del file ADS e il nome del servizio.

huy32 = C:\WINDOWS\System32:huy32.sys, dalle dimensioni di circa 69KB.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Hanno cambiato ancora nome il file ora si chiama winhp32.exe la dll msnhp32.dll

il file winhp32.exe è riconosciuto solamente da

AntiVir -> TR/Crypt.XPACK.Gen

BitDefender -> BehavesLike:Win32.ExplorerHijack

CAT-QuickHeal -> (Suspicious) - DNAScan

Fortinet -> suspicious

Panda -> Suspicious file

VirusBuster -> Trojan.DR.Small.Gen.4

Nuovo sito 81.29.241.234

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il file scaricato si chiama ancora winhp32.exe ma si copia in c:\windows\systpro32.exe la dll ora si chiama systempro32.dll

systpro32.exe è riconosciuto da

AntiVir -> TR/Crypt.XPACK.Gen

BitDefender -> BehavesLike:Win32.ExplorerHijack

eSafe -> suspicious Trojan/Worm

Fortinet -> suspicious

Sophos -> Troj/Clckr-KY

systempro32.dll è riconosciuto da

AhnLab-V3 -> Win-Trojan/Downloader.5120.CM

AntiVir -> TR/Crypt.XPACK.Gen

AVG -> Clicker.EWC

BitDefender -> Trojan.Agent.AKQ

DrWeb -> Trojan.Click.1996

eTrust-Vet -> Win32/Doklin!generic

Fortinet -> suspicious

McAfee -> AdClicker-EV.dll

Sophos -> Troj/Clckr-KY

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il file scaricato ora si chiama csrss32.exe ma si copia in c:\windows\winlogon32.exe la dll ora si chiama winlogon32.dll

Nuovo sito 81.29.241.236

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ancora nuove varianti in circolazione e cambio nomi per i file del clicker e del Rustock...

Nel primo caso i due file sono CSRS.EXE e CSRS.DLL , mentre il secondo adesso è identificato con il nome xpdt.sys

Maggiori Info QUI e QUI

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Accedi per seguire   
Seguaci 0