|
|
|
|
Strumenti |
31-07-2005, 17:48 | #1 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Hacktool.Rootkit
Salve.
Da due giorni sto lottando con "Hacktool.Rootkit" e, per far fronte alla mia quasi totale incompetenza in materia, ho cercato quante più informazioni possibili in internet. Passando per le pagine della Symantec e diversi resoconti ed opinioni di vari utenti, dopo aver scaricato e/o aggiornato antivirus, trojan remover, removal tool, ho trovato questo che mi pare un ottimo forum. Nell'inoltrare la mia richiesta di aiuto (diciamolo, al limite della disperazione), colgo dunque occasione per lasciare un primo messaggio di saluto. In merito al mio problema, nel dettaglio ho provato ad applicare la procedura manuale suggerita dal Symantec Security Center; ho usato lo specifico Removal per il W32.Mytob.AR@mm; ho usato Norton Antivirus, CWShredder, Stinger, SpyBot SD, RegSeeker e Rootkit Revealer. Il problema persiste. Ho scaricato anche HijackThis, ma non sono in grado di interpretare il Log. Mi pare tra l'altro di aver capito che questa sia l'ultima possibilità prima dell'opzione "Formattare". Dunque rinnovo il mio saluto, anticipo i miei ringraziamenti e rimango in fiduciosa attesa di un'anima pia. |
31-07-2005, 18:00 | #2 |
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Posta il log di hijackthis sul forum.
|
31-07-2005, 18:41 | #3 |
Senior Member
Iscritto dal: Sep 2004
Città: Brescia
Messaggi: 6574
|
mi sembra strano che cn tutti quei tool non ci sia ancora stata ... una soluzione .. ti si è arpionato bene nel sistema ...
cmq tanto x vedre hijackthis >>> Test verifica -->http://hijackthis.de/index.php?langselect=italian ma x sicurezza postalo qui
__________________
|
31-07-2005, 18:51 | #4 |
Senior Member
Iscritto dal: May 2005
Città: roma
Messaggi: 1122
|
non ho capito se state parlando di worms o di rootkit xche in quest'ultimo caso e normale che le scansioni non li rilevino.
vi propongo una scansione che pretende non solo di rilevarli ma anche di eliminarli... http://www.f-secure.com/blacklight/ |
31-07-2005, 18:53 | #5 |
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4425
|
ciao, potresti cercare sul tuo pc il file che il NAV ti dice infetto da quel rootkit, zipparlo in un file compresso protetto da password e spedirmelo a inviaqui@email.it specificando la password da te usata?
Ciao e grazie. |
31-07-2005, 21:22 | #6 | |
Senior Member
Iscritto dal: May 2002
Messaggi: 3122
|
Quote:
ciao per eliminare un file infetto da Rootkit non basta un normale antivirus ma bensì un programmino che ho trovato mesi fa pesa 92 kb e si chiama (RootkitRevealer) non mi ricordo purtroppo dove l ho scovato se vuoi te lo mando.ciao ps.ho dovuto modificare il post per disattenzione non ho battuto alcune doppie colgo l occasione di chiedere ai gestori di questo fantastico forum di cercare una soluzione a questo fastidioso problema antieducativo.Lo so non sarà facile ma come per il motore di google che una volta partita la ricerca se i termini non sono esatti li corregge in corsa potrebbe essere un occasione di miglioramento e si sà la qualità paga sempre,sarebbe ottimo nel momento in cui si inoltra una risposta trovare la frase corretta d tutti gli errori ortografici.saluti Ultima modifica di lord2 : 31-07-2005 alle 21:29. |
|
31-07-2005, 21:28 | #7 |
Senior Member
Iscritto dal: May 2005
Città: roma
Messaggi: 1122
|
io c'e l'ho rootkitrelever ma non li elimina si limita a rileverli.
l'unico che in rete pretende pure di eliminarli e quello che ho postato ma personalmente non gli credo. dal punto di vista della prevenzione cmq si puo usare process guard che ne impedisce l'installazione. poi c'e un programma di ms che si chiama ghost e qualcosa che pero e ancora in fase di sviluppo ma anche questo quando uscira si limitera solo a rilevarli. insomma stiamo molto indietro contro questi esserini. |
31-07-2005, 23:24 | #8 |
Senior Member
Iscritto dal: May 2002
Messaggi: 3122
|
molti sottovalutano i rootkit
I rootkit non servono per violare un sistema, vengono utilizzati solo quando è stato già compromesso e nella gran parte dei casi possono essere installati solo dall'utente root. Generalmente un rootkit comprende: - Un network sniffer, per registrare login e password utilizzate sulla o dalla macchina violata, in modo da estendere il raggio d'azione dell'intrusore e la qualità e quantità di informazioni in suo possesso; - Un keystroke logger, che registra quanto digitato dall'utente direttamente in console; - Dei log wipers, script che cancellano automaticamente le tracce dell'intrusione dai log di sistema; - Versioni modificate (trojans) di comandi di sistema comunemente utilizzati che possono rivelare l'esistenza del rootkit: ls, netstat, ifconfig, ps, killall, find, top. - Una backdoor che accetta connessioni remote sia appoggiandosi ad una porta locale (nascosta dal netstat modificato) che modificando le versioni sul sistema di server telnet, ssh o analoghi. Esistono diversi tipi di rootkit con diverse peculiarità, in genere, quelli per Linux, si possono inquadrare in due grandi famiglie: - Quelli che lavorano in user space, sostituendo comandi ed eseguendo processi estranei; - Quelli che lavorano in kernel space, presentandosi come moduli del kernel stesso. Una evoluzione di questi ultimi sono i rootkit che scrivono direttamente in memoria tramite /dev/kmem e funzionano anche su kernel non modulari come ultimo prova questo programma sembra in grado di risolvere purtroppo devi acquistarlo dopo aver fatto lo scann: http://primehostreviews.com/remove-rootkit.htm |
31-07-2005, 23:34 | #9 |
Senior Member
Iscritto dal: May 2002
Messaggi: 3122
|
nel caso fossi infettato dal roortkit più bastardo.
Monitorare la banda utilizzata da ogni singolo server (MRTG è lo strumento ideale) e indagare quando si notano picchi di traffico anomali: non di rado una macchina compromessa viene utilizzata come repository di warez. - Verificare su www.incidents.org se il proprio IP risulta nel database degli attackers: se lo è o siamo hacker maldestri o qualcuno sta usando la nostra macchina per lanciare attacchi altrove. www.incidents.org |
31-07-2005, 23:45 | #10 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Salute, vi ringrazio della disponibilità.
Sono appena rientrato (non ne potevo più di stare dvanti al PC) e domani vedrò di seguire i vostri consigli. Per intanto, ecco il LOG (mi auguro di aver copiato ciò che serve): Logfile of HijackThis v1.99.1 Scan saved at 16.59.08, on 31/07/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\xpjava.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programmi\Launch Manager\QtDTAcer.EXE C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\dslagent.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\WINDOWS\System32\taskmgr.exe C:\Documents and Settings\Leonardo Marini\Documenti\ProgrScar\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altocorno.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.virgilio.it/free R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\bmbho.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtDTAcer.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe |
01-08-2005, 00:01 | #11 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Aggiungo che, appena in grado, invierò anche il file maledetto (msdirect.sys) a Mr.OZ nelle modalità richieste.
Grazie di nuovo, |
01-08-2005, 00:58 | #12 |
Senior Member
Iscritto dal: May 2002
Messaggi: 3122
|
|
01-08-2005, 04:13 | #13 |
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4425
|
Non so se ti sarà utile, xò un altro prog in vers trial x scovare i rootkit è F-secure Blacklight
|
01-08-2005, 06:36 | #14 |
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Da fixare:
C:\WINDOWS\System32\xpjava.exe F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\bmbho.dll (file missing) O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm |
01-08-2005, 18:45 | #15 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Allora, torno dal lavoro e mi rimetto in testa l'elmetto: la guerra pare essere ancora lunga.
In pausa pranzo ho controllato il forum ed ho fatto un primo tentativo. In dettaglio: esegui msconfig per riavviare in safe mode, riavvio; HiJackThis: ho selezionando le voci indicate nel forum, ma non mi presentava "C:\WINDOWS\System32\xpjava.exe" nell'elenco di voci da "to fix", ho comunque eseguito l'operazione per le voci possibili e fatto una seconda scansione, la quale mi ha però ripresentato "F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe", di nuovo selezionato e "to fix"; poi il removal della Symantec che mi ha individuato ed eliminato il W32.MyTob.AR@mm; una controllata al registro con regedit, dove ho trovato le due chiavi che il sito della symantec individua come create dal virus: HKLM\CurrentControlSet\Service\msdirectx, eliminata senza problemi HKLM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX, che invece non si è fatta eliminare; un passaggio senza risultati con SpyBotSD e con CWShredder; il Norton, che mi ha rilevato due file infetti e li ha messi in quarantena dove io li ho eliminati manualmente; ho provato a dare un'occhiata anche con RegSeeker, ma mi individua quasi 800 voci tra rosse e verdi, ed in tutta onestà non ho capito come si possano interpretare tali segnalazioni (né ho capito se esista o meno una sorta di guida interna al programma). In ultimo ho riavviato in modalità normale ed ecco che dopo una manciata di secondi è ricomparso il mio buon amico "Hacktool.Rootkit" o "msdirectx.sys" che dir si voglia. In tutto questo ho provato senza successo a comprimere con password il "msdirectx" di cui sopra per inviarlo a Mr.Oz - ritenterò. Ora che sto inviando questa risposta, vedrò di considerare anche gli altri suggerimenti nei messaggi di ieri del forum, sempre pronto a ricevere altre dritte. Nonostante tutto sono ancora speranzoso. Nondimeno, mi preparo ad una seconda - e più ordinata - copia degli archivi e ad un estremo sistema per chiudere la questione. Per ora grazie di nuovo ed ai prossimi aggiornamenti, |
01-08-2005, 18:51 | #16 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Aggiungo inoltre, ringraziando Lord2, che ho già scaricato Rootkit revealer, il quale però, come già sottolineato, mi pareva solo un rilevatore.
E' dunque possibile eliminare il maledetto partendo da tale programma? |
01-08-2005, 20:35 | #17 |
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4425
|
Se non riesci a mandarmi il file, contattami in pvt spiegandomi qual è il prob.
Quel rootkit è un residuo del worm mytob che lo ha inserito nel sistema: Executes the file C:\winsystem.exe which drops the file msdirectx.sys, currently detected as Hacktool.Rootkit. The rootkit will be started as a service (msdirectx), in an attempt to hide both the rootkit itself and to hide the running W32.Mytob.AR@mm process. The rootkit may add the following registry keys (with subkeys containing service information): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx |
02-08-2005, 01:28 | #18 |
Senior Member
Iscritto dal: May 2005
Città: roma
Messaggi: 1122
|
se vuoi fare una bella pulizia scaricati sysclean.
sono due i file che devi scaricare sysclean e il pattern con le definizioni aggiornate. poi estraili nella stessa cartella entra in provvisoria e lancia sysclean.com. facci sapere. |
02-08-2005, 12:02 | #19 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Veloce replica nella pausa pranzo: proverò seguire le indicazioni di MrOz e di Morpheus (ed un grazie più diretto ad Andorra24 per le correzioni con Hijack This).
A presto risentirci con gli aggiornamenti del caso. Saluto, Nec frangar nec flectar. |
06-08-2005, 15:01 | #20 |
Junior Member
Iscritto dal: Jul 2005
Messaggi: 12
|
Salute.
Devo ringraziare tutti coloro che gentilmente hanno dato supporto: pare infatti che il virus sia scomparso. Avrei voluto fare una sintesi conclusiva per eventuali altri sventurati che incappassero nell'Hacktool.Rootkit, ma tendo ad essere cervellotico nelle spiegazioni di cose di cui capisco ben poco (anche nelle altre, a dire il vero). Mi limito ad esporre dunque solo un paio di cose. Dopo le operazioni eseguite - e riportate in messaggio più sopra - il virus perdurava. Datosi che non ero riuscito ad individuare ed eliminare C\Windows\System32\xpjava.exe come invece indicatomi da andorra24, ho pensato che fosse quella la causa. Ad ogni scansione con HJ, infatti, si ripresentava F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe Ho dunque scaricato Killbox, appena una 30ina di kb, ho indicato il percorso del file (C\Windows\System32\xpjava.exe), richiesto l'eliminazione (con ogni altra finestra chiusa come sottolineato) ed atteso il riavvio automatico del PC. Alla scansione con HJ il problema è sembrato risolto. Ho eseguito regedit, cercato ed individuato le sottochiavi indicate nel sito della Symantec e riportate in questa discussione da MrOz (per alcune si è reso necessario modificare le autorizzazioni, poiché risultava impossibile eliminarle), aggiungendo anche altre chiavi con il "msdirectx" incriminato. Poi un controllo con il NAV, e con Rootkit revelear che mi hanno rilevato un solo file infetto (forse l'ultimo rimasto) che ho eliminato. Al controllo successivo, infatti, nessuna rilevazione. Dal successivo riavvio nessuna traccia dell'HackTool.Rootkit. Dunque grazie a tutti, davvero. A presto rileggerci, in situazioni, magari, meno "pressanti". Saluto, |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:52.