Hacktool.Rootkit

[Maron]

Salve.
Da due giorni sto lottando con "Hacktool.Rootkit" e, per far fronte alla mia quasi totale incompetenza in materia, ho cercato quante più informazioni possibili in internet. Passando per le pagine della Symantec e diversi resoconti ed opinioni di vari utenti, dopo aver scaricato e/o aggiornato antivirus, trojan remover, removal tool, ho trovato questo che mi pare un ottimo forum.
Nell'inoltrare la mia richiesta di aiuto (diciamolo, al limite della disperazione), colgo dunque occasione per lasciare un primo messaggio di saluto.
In merito al mio problema, nel dettaglio ho provato ad applicare la procedura manuale suggerita dal Symantec Security Center; ho usato lo specifico Removal per il W32.Mytob.AR@mm; ho usato Norton Antivirus, CWShredder, Stinger, SpyBot SD, RegSeeker e Rootkit Revealer. Il problema persiste.
Ho scaricato anche HijackThis, ma non sono in grado di interpretare il Log. Mi pare tra l'altro di aver capito che questa sia l'ultima possibilità prima dell'opzione "Formattare".
Dunque rinnovo il mio saluto, anticipo i miei ringraziamenti e rimango in fiduciosa attesa di un'anima pia.

[andorra24]

Posta il log di hijackthis sul forum.

[GiacoXp]

mi sembra strano che cn tutti quei tool non ci sia ancora stata ... una soluzione .. ti si è arpionato bene nel sistema ...

cmq tanto x vedre
hijackthis >>> Test verifica -->http://hijackthis.de/index.php?langselect=italian

ma x sicurezza postalo qui

[m0rph3us]

non ho capito se state parlando di worms o di rootkit xche in quest'ultimo caso e normale che le scansioni non li rilevino.
vi propongo una scansione che pretende non solo di rilevarli ma anche di eliminarli...
http://www.f-secure.com/blacklight/

[MrOZ]

ciao, potresti cercare sul tuo pc il file che il NAV ti dice infetto da quel rootkit, zipparlo in un file compresso protetto da password e spedirmelo a inviaqui@email.it specificando la password da te usata?

Ciao e grazie.

[lord2]

Quote:

Originariamente inviato da Maron

Salve.
Da due giorni sto lottando con "Hacktool.Rootkit" e, per far fronte alla mia quasi totale incompetenza in materia, ho cercato quante più informazioni possibili in internet. Passando per le pagine della Symantec e diversi resoconti ed opinioni di vari utenti, dopo aver scaricato e/o aggiornato antivirus, trojan remover, removal tool, ho trovato questo che mi pare un ottimo forum.
Nell'inoltrare la mia richiesta di aiuto (diciamolo, al limite della disperazione), colgo dunque occasione per lasciare un primo messaggio di saluto.
In merito al mio problema, nel dettaglio ho provato ad applicare la procedura manuale suggerita dal Symantec Security Center; ho usato lo specifico Removal per il W32.Mytob.AR@mm; ho usato Norton Antivirus, CWShredder, Stinger, SpyBot SD, RegSeeker e Rootkit Revealer. Il problema persiste.
Ho scaricato anche HijackThis, ma non sono in grado di interpretare il Log. Mi pare tra l'altro di aver capito che questa sia l'ultima possibilità prima dell'opzione "Formattare".
Dunque rinnovo il mio saluto, anticipo i miei ringraziamenti e rimango in fiduciosa attesa di un'anima pia.

ciao per eliminare un file infetto da Rootkit non basta un normale antivirus
ma bensì un programmino che ho trovato mesi fa pesa 92 kb e si chiama
(RootkitRevealer) non mi ricordo purtroppo dove l ho scovato se vuoi te lo mando.ciao

ps.ho dovuto modificare il post per disattenzione non ho battuto alcune doppie colgo l occasione di chiedere ai gestori di questo fantastico forum di cercare una soluzione a questo fastidioso problema antieducativo.Lo so non sarà facile ma come per il motore di google che una volta partita la ricerca se i termini non sono esatti li corregge in corsa potrebbe essere un occasione di miglioramento e si sà la qualità paga sempre,sarebbe ottimo nel momento in cui si inoltra una risposta trovare la frase corretta d tutti gli errori ortografici.saluti

[m0rph3us]

io c'e l'ho rootkitrelever ma non li elimina si limita a rileverli.
l'unico che in rete pretende pure di eliminarli e quello che ho postato ma personalmente non gli credo.
dal punto di vista della prevenzione cmq si puo usare process guard che ne impedisce l'installazione.
poi c'e un programma di ms che si chiama ghost e qualcosa che pero e ancora in fase di sviluppo ma anche questo quando uscira si limitera solo a rilevarli.
insomma stiamo molto indietro contro questi esserini.

[lord2]

molti sottovalutano i rootkit
I rootkit non servono per violare un sistema, vengono utilizzati solo quando è stato già compromesso e nella gran parte dei casi possono essere installati solo dall'utente root.
Generalmente un rootkit comprende:
- Un network sniffer, per registrare login e password utilizzate sulla o dalla macchina violata, in modo da estendere il raggio d'azione dell'intrusore e la qualità e quantità di informazioni in suo possesso;
- Un keystroke logger, che registra quanto digitato dall'utente direttamente in console;
- Dei log wipers, script che cancellano automaticamente le tracce dell'intrusione dai log di sistema;
- Versioni modificate (trojans) di comandi di sistema comunemente utilizzati che possono rivelare l'esistenza del rootkit: ls, netstat, ifconfig, ps, killall, find, top.
- Una backdoor che accetta connessioni remote sia appoggiandosi ad una porta locale (nascosta dal netstat modificato) che modificando le versioni sul sistema di server telnet, ssh o analoghi.

Esistono diversi tipi di rootkit con diverse peculiarità, in genere, quelli per Linux, si possono inquadrare in due grandi famiglie:
- Quelli che lavorano in user space, sostituendo comandi ed eseguendo processi estranei;
- Quelli che lavorano in kernel space, presentandosi come moduli del kernel stesso. Una evoluzione di questi ultimi sono i rootkit che scrivono direttamente in memoria tramite /dev/kmem e funzionano anche su kernel non modulari

come ultimo prova questo programma sembra in grado di risolvere purtroppo devi acquistarlo dopo aver fatto lo scann:
http://primehostreviews.com/remove-rootkit.htm

[lord2]

nel caso fossi infettato dal roortkit più bastardo.
Monitorare la banda utilizzata da ogni singolo server (MRTG è lo strumento ideale) e indagare quando si notano picchi di traffico anomali: non di rado una macchina compromessa viene utilizzata come repository di warez.
- Verificare su www.incidents.org se il proprio IP risulta nel database degli attackers: se lo è o siamo hacker maldestri o qualcuno sta usando la nostra macchina per lanciare attacchi altrove.

www.incidents.org

[Maron]

Salute, vi ringrazio della disponibilità.
Sono appena rientrato (non ne potevo più di stare dvanti al PC) e domani vedrò di seguire i vostri consigli. Per intanto, ecco il LOG (mi auguro di aver copiato ciò che serve):

Logfile of HijackThis v1.99.1
Scan saved at 16.59.08, on 31/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Launch Manager\QtDTAcer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Leonardo Marini\Documenti\ProgrScar\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altocorno.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.virgilio.it/free
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\bmbho.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtDTAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

[Maron]

Aggiungo che, appena in grado, invierò anche il file maledetto (msdirect.sys) a Mr.OZ nelle modalità richieste.
Grazie di nuovo,

[lord2]

molto pericoloso questo:

Hosts: 64.91.255.87 www.dcsresearch.com

eliminalo immediatamente

[MrOZ]

Non so se ti sarà utile, xò un altro prog in vers trial x scovare i rootkit è F-secure Blacklight

[andorra24]

Da fixare:
C:\WINDOWS\System32\xpjava.exe
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\bmbho.dll (file missing)
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

[Maron]

Allora, torno dal lavoro e mi rimetto in testa l'elmetto: la guerra pare essere ancora lunga.
In pausa pranzo ho controllato il forum ed ho fatto un primo tentativo.
In dettaglio:
esegui msconfig per riavviare in safe mode, riavvio;
HiJackThis: ho selezionando le voci indicate nel forum, ma non mi presentava "C:\WINDOWS\System32\xpjava.exe" nell'elenco di voci da "to fix", ho comunque eseguito l'operazione per le voci possibili e fatto una seconda scansione, la quale mi ha però ripresentato "F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe", di nuovo selezionato e "to fix";
poi il removal della Symantec che mi ha individuato ed eliminato il W32.MyTob.AR@mm;
una controllata al registro con regedit, dove ho trovato le due chiavi che il sito della symantec individua come create dal virus:
HKLM\CurrentControlSet\Service\msdirectx, eliminata senza problemi
HKLM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX, che invece non si è fatta eliminare;
un passaggio senza risultati con SpyBotSD e con CWShredder;
il Norton, che mi ha rilevato due file infetti e li ha messi in quarantena dove io li ho eliminati manualmente;
ho provato a dare un'occhiata anche con RegSeeker, ma mi individua quasi 800 voci tra rosse e verdi, ed in tutta onestà non ho capito come si possano interpretare tali segnalazioni (né ho capito se esista o meno una sorta di guida interna al programma).
In ultimo ho riavviato in modalità normale ed ecco che dopo una manciata di secondi è ricomparso il mio buon amico "Hacktool.Rootkit" o "msdirectx.sys" che dir si voglia.
In tutto questo ho provato senza successo a comprimere con password il "msdirectx" di cui sopra per inviarlo a Mr.Oz - ritenterò.
Ora che sto inviando questa risposta, vedrò di considerare anche gli altri suggerimenti nei messaggi di ieri del forum, sempre pronto a ricevere altre dritte.
Nonostante tutto sono ancora speranzoso. Nondimeno, mi preparo ad una seconda - e più ordinata - copia degli archivi e ad un estremo sistema per chiudere la questione.
Per ora grazie di nuovo ed ai prossimi aggiornamenti,

[Maron]

Aggiungo inoltre, ringraziando Lord2, che ho già scaricato Rootkit revealer, il quale però, come già sottolineato, mi pareva solo un rilevatore.
E' dunque possibile eliminare il maledetto partendo da tale programma?

[MrOZ]

Se non riesci a mandarmi il file, contattami in pvt spiegandomi qual è il prob.

Quel rootkit è un residuo del worm mytob che lo ha inserito nel sistema:

Executes the file C:\winsystem.exe which drops the file msdirectx.sys, currently detected as Hacktool.Rootkit. The rootkit will be started as a service (msdirectx), in an attempt to hide both the rootkit itself and to hide the running W32.Mytob.AR@mm process.

The rootkit may add the following registry keys (with subkeys containing service information):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx

[m0rph3us]

se vuoi fare una bella pulizia scaricati sysclean.
sono due i file che devi scaricare sysclean e il pattern con le definizioni aggiornate.
poi estraili nella stessa cartella entra in provvisoria e lancia sysclean.com.
facci sapere.

[Maron]

Veloce replica nella pausa pranzo: proverò seguire le indicazioni di MrOz e di Morpheus (ed un grazie più diretto ad Andorra24 per le correzioni con Hijack This).
A presto risentirci con gli aggiornamenti del caso.
Saluto,

Nec frangar nec flectar.

[Maron]

Salute.
Devo ringraziare tutti coloro che gentilmente hanno dato supporto: pare infatti che il virus sia scomparso.
Avrei voluto fare una sintesi conclusiva per eventuali altri sventurati che incappassero nell'Hacktool.Rootkit, ma tendo ad essere cervellotico nelle spiegazioni di cose di cui capisco ben poco (anche nelle altre, a dire il vero). Mi limito ad esporre dunque solo un paio di cose.
Dopo le operazioni eseguite - e riportate in messaggio più sopra - il virus perdurava. Datosi che non ero riuscito ad individuare ed eliminare
C\Windows\System32\xpjava.exe
come invece indicatomi da andorra24, ho pensato che fosse quella la causa.
Ad ogni scansione con HJ, infatti, si ripresentava
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
Ho dunque scaricato Killbox, appena una 30ina di kb, ho indicato il percorso del file (C\Windows\System32\xpjava.exe), richiesto l'eliminazione (con ogni altra finestra chiusa come sottolineato) ed atteso il riavvio automatico del PC.
Alla scansione con HJ il problema è sembrato risolto.
Ho eseguito regedit, cercato ed individuato le sottochiavi indicate nel sito della Symantec e riportate in questa discussione da MrOz (per alcune si è reso necessario modificare le autorizzazioni, poiché risultava impossibile eliminarle), aggiungendo anche altre chiavi con il "msdirectx" incriminato.
Poi un controllo con il NAV, e con Rootkit revelear che mi hanno rilevato un solo file infetto (forse l'ultimo rimasto) che ho eliminato.
Al controllo successivo, infatti, nessuna rilevazione.
Dal successivo riavvio nessuna traccia dell'HackTool.Rootkit.
Dunque grazie a tutti, davvero.
A presto rileggerci, in situazioni, magari, meno "pressanti".
Saluto,