Cleaner gratuito per Win32/Agent.VP

[pmonti]

Salve a tutti,

dal momento che ho letto in altri thread che alcuni utenti hanno avuto problemi a rimuovere questo trojan, vi segnalo che ho scritto e rilasciato un cleaner dedicato. Il cleaner rimuove

1) il file infetto
2) la chiave di registro creata/usata dal trojan
3) l'account protetto con password creato/usato dal trojan
4) l'albero di directory creato dal trojan

Il cleaner (è un cleaner "puro", non uno scanner) richiede almeno Windows 2000 o S.O. superiori (ad es. Windows XP/2003) e puo' eliminare il trojan sia su filesystem NTFS (con o senza Encryption File System presente) che FAT32.

Il cleaner puo' essere prelevato qui

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

ciao,
Paolo.

[eraser]

Ciao Paolo,

ti ho scritto un'e-mail Ben fatto

[lucas84]

Sicuramente da provare,grazie,non per essere scettico ma dubito della completa efficacia,non per qualcosa, ma perchè le entrate del malware sono tutte random(servizi,files,chiavi di avvio,account utente, ecc ecc)

Grazie ancora

[pmonti]

Quote:

Originariamente inviato da lucas84

Sicuramente da provare,grazie,non per essere scettico ma dubito della completa efficacia,non per qualcosa, ma perchè le entrate del malware sono tutte random(servizi,files,chiavi di avvio,account utente, ecc ecc)

Grazie ancora

Non preocuparti riguardo a questo problema: il cleaner è stato scritto per gestire questa caratteristica. E' sufficiente selezionare il file infetto, al resto provvede il cleaner.

ciao,
Paolo.

[pmonti]

Quote:

Originariamente inviato da eraser

Ciao Paolo,

ti ho scritto un'e-mail Ben fatto

Grazie, Marco: e-mail letta e replica inviata

a presto,
Paolo.

[lucas84]

Quindi non è un tool automatico
Si seleziona il file,appare la finestra, si clicca su ok ed esce la schermata con le operazioni effettuate(found/not found)
Rimozione account
Rimozione file selezionato
Rimozione chiavi
etc...

Si ho appena visto,di solito sono una 10 di files da eliminare,magari in una prossima release aggiungere l'opzione di + files da eliminare contemporaneamente senza riselezionarli di nuovo.

Grazie ancora per il tool

[pmonti]

Quote:

Originariamente inviato da lucas84

Quindi non è un tool automatico

Considera che, come scrivevo all'inizio del thread, non si tratta di uno scanner Non è possibile controllare il file del servizio sotto NTFS + EFS, dato che il file è cifrato attraverso un account protetto. Avrei potuto usare una procedura piu' euristica, diciamo cosi', ma piu' soggetta ad errori, quindi tutto sommato ho preferito lasciare all'utente una possibilita' di intervento diretta.

Quote:

Originariamente inviato da lucas84

Si seleziona il file,appare la finestra, si clicca su ok ed esce la schermata con le operazioni effettuate(found/not found)

Esatto.

Quote:

Originariamente inviato da lucas84

Si ho appena visto,di solito sono una 10 di files da eliminare,magari in una prossima release aggiungere l'opzione di + files da eliminare contemporaneamente senza riselezionarli di nuovo.

Sotto Windows 2000 / XP, in una sottodirectory scelta a caso sotto "File Comuni" (in genere, "System" o "Microsoft Shared") Agent.VP crea soltanto il file eseguibile del servizio, che modifica ad ogni nuovo startup del sistema. Tutti gli altri file, che possono essere svariate decine e sono diversi da sistema a sistema, sono creati in un albero di directory sotto "Document and Settings": il cleaner li elimina tutti.

ciao,
Paolo.

[lucas84]

Da quello che ho visto io crea i file crittografati(verdi)con nome random in
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
Come dicevi tu

Poi il servizio con nome random che riporta ai percorsi sopra citati,account utente aggiunto(cartella in documenti and setting\account aggiunto)
Files con nome riservati(com,lpt,nul,prn etc) di solito in Windows o Windows\System32 di solito questi file vengono caricati all'avvio con questa chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = \\?\C:\WINDOWS\system32\lpt6.lpl

Invisibile ad occhio nudo(gmer lo visualizza),nei sistemi ntfs usa gli ads sempre con quella chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = C:\WINDOWS\system32:autoftt.exe

Oppure ddl con nomi causali iniettate in:
Library C:\WINDOWS\aehpc1.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1384] 0x03850000 <-- ROOTKIT !!!
Library C:\WINDOWS\aehpc1.dll (*** hidden *** ) @ C:\Programmi\Internet Explorer\IEXPLORE.EXE [3144] 0x02AB0000 <-- ROOTKIT !!!

Ultimamente la rimozione degli ads è complicata dato che il file è bloccato da un altro programma(quale non lo so)so solo che sto linkoptimizer è un dannato

Grazie per l'attenzione

[pmonti]

Quote:

Originariamente inviato da lucas84

Da quello che ho visto io crea i file crittografati(verdi)con nome random in
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
Come dicevi tu
[SNIP]

Hmmm... Sei del tutto certo che sia l'eseguibile di Agent.VP a creare quelle chiavi nascoste e gli ADS? Ho controllato i sistemi infetti sia con vari Rootkit scanners che con ADS revealers, e non risulta nulla del genere.

Marco mi scriveva che l'istallazione di Agent.VP viene effettuata anche da un trojan downloader che installa i rootkit da te descritti. Quindi il processo di infezione del sistema di cui parli è causato da vari elementi (mentre il cleaner è dedicato al solo trojan Agent.VP, non a LinkOptimizer).

Non ho usato GMER, comunque. In ogni caso, grazie mille per l'utilissima segnalazione, faro' qualche altro test anche con questo programma

ciao,
Paolo.

[lucas84]

sinceramente sicuro al 100% no.
Nod non riconosce gli ads di cui ti parlo
forse non ti è capitata questa variante.
Guarda negli ultimi giorni ne ho visti molti di log infetti da sto dannato
http://www.suspectfile.com/forum/viewforum.php?f=4
per caso,hai avuto sotto mano il file google.com?
NOD32
Found probably unknown NewHeur_PE (probable variant)
pare che sia lui uno dei responsabili di tutto questo

Ciao

[eraser]

eh, se Dio vuole rilascio un pdf con analisi completa domani, ci sto lavorando da un paio di giorni.

é che lavoro meglio di notte

[Bettinz]

Quote:

Originariamente inviato da lucas84

sinceramente sicuro al 100% no.
Nod non riconosce gli ads di cui ti parlo

magari non riconoscesse solo quelli

[lucas84]

Pure io lavoro la notte

[pmonti]

Quote:

Originariamente inviato da lucas84

sinceramente sicuro al 100% no.
Nod non riconosce gli ads di cui ti parlo
forse non ti è capitata questa variante.
Guarda negli ultimi giorni ne ho visti molti di log infetti da sto dannato
http://www.suspectfile.com/forum/viewforum.php?f=4
per caso,hai avuto sotto mano il file google.com?

Me l'ha appena girato via e-mail un amico :-) Purtroppo, credo che ne esistano diverse varianti

Questa sera faccio qualche altro test su Agent.VP, cosi' stabiliamo quale elemento è il responsabile dei rootkit: ti/vi tengo informati sugli sviluppi.

ciao,
Paolo.

[lucas84]

Buon lavoro
gli ads ti servono?

Ciao

[pmonti]

Quote:

Originariamente inviato da lucas84

Pure io lavoro la notte

Allora siamo in tre

ciao,
Paolo.

[pmonti]

Quote:

Originariamente inviato da lucas84

Buon lavoro
gli ads ti servono?

Ciao

Manda pure, grazie (paolo dot monti at nod32 dot it). Per favore, metti tutto dentro un file ZIP protetto con la password "infected".

ciao,
Paolo.

[eraser]

Paolo se ti servono info o scambi di idee sai dove trovarmi

Marco

[amvinfe]

ciao a tutti,
concordo con lucas84, credo impossibile creare un fix unico atto a rimuovere le tante varianti che il trojan installa.
Lo stesso Kaspersky 6 è inerme se il trojan è già residente, nonostante gli avessimo inviato un .exe (http://www.suspectfile.com/forum/viewtopic.php?t=240) e la Kaspersky Lab. avesse rilasciato le impronte virali, non è stato in grado di riconoscere il file ****1.exe (*=lettere random) presente in C:\Windows\Temp così come non è stato in grado di riconoscere il file ***.exe (lettere random) presente in C:\Programmi\File comuni\System\ (HKLM\SYSTEM\CurrentControlSet\Services\).

NB
Il riconoscimento del file ****1.exe ha avuto esito positivo su una macchina non infetta

Non credo vi sia, al momento almeno, un antivirus capace di riconoscere tutte le variabili che il trojan installa sulla macchina.
E credo infine che gli sforzi vadano indirizzati anche a favore di quelle persone poco esperte di computer, senza nulla togliere chiaramente al lavoro che P. Monti svolge da diverso tempo, bisogna infatti ringraziare anche lui se esistono tools gratuiti atti alla rimozione dei più "importanti" malware in senso generale.

Marco.

[lucas84]

Per piacere, vedi se sono arrivati, non vorrei aver sbagliato indirizzo