Problema particolare:file non cancellabile+nuovo profilo+servizio di sistema

[Pistolpete]

Mi sono accorto stamattina (a causa del continuo crash di tutti i programmi) di avere un problema particolare.
C'è un profilo di nome "vKUnZpq" che si è creato dal nulla.
Inoltre ho un file di nome Dircc.exe in C:\Programmi\File comuni\Microsoft Shared\ che non è accessibile/rinominabile/cancellabile.
Ho fatto una scansione con TrendMicro on-line e mi ha trovato due virus:
java_bytever.a
bkdr_ciadoor.am
ho selezionato la pulizia dei suddetti, però evidentemente qualcosa non è andato a buon fine perchè poco dopo, non fidandomi della scansione on-line, ho installato Kaspersky 6 ed ha rilevato dei virus nella cartella della cache della java virtual machine, che ha provveduto ad aliminare.
Fin qui tutto bene.
A quel punto ho provato ad eliminare il file dircc.exe. Niente da fare non c'è stato verso. Inoltre, ogni volta che cancello la cartella "vKUnZpq" in Documents and Settings (ripeto è un vero e proprio profilo) si ricrea immediatamente, non appena chiudo la finestra.
Ho provato ad utilizzare Bart PE Builder per cancellare questi due file senza caricare windows (quindi tramite live-cd) ma non c'è stato verso.
Ad una ulteriore scansione con Kasperksy non risulta niente di infetto, però i file ci sono e "agiscono".
Una cosa che mi ha sorpreso è stata il trovare un nuovo servizio di sistema di nome "./KUnZpq" che fa riferimento appunto al file dircc.exe.
Quindi le due cose sono collegate. Il servizio è automatico (ma non ci sono indicazioni sul suo "stato" e nel task manager non c'è nessuna traccia di quell'eseguibile).
Come posso eliminare quel file? Se dovessi riuscirci probabilmente la cartella "KUnZpq" non si ricrerebbe più.

Posto il log di hijackthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\Razer\Copperhead\razerhid.exe
F:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programmi\Razer\Copperhead\razerhid.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O15 - Trusted Zone: *.unipr.it
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe


Log di cosa si carica all'avvio:

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\Razer\Copperhead\razerhid.exe
F:\Download\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

cFosSpeed = C:\Programmi\cFosSpeed\cFosSpeed.exe
Copperhead = C:\Programmi\Razer\Copperhead\razerhid.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\scrnsave.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\FlashGet\jccatch.dll - {A5366673-E8CA-11D3-9CD9-0090271D075B}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx
CODEBASE = http://fpdownload.macromedia.com/get...nt/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------



Non vedo nulla che si possa ricollegare a quell'eseguibile. C'è qualcosa che nel task manager non è visibile?
Stavo pensando di provare ad utilizzare una live-cd di una distro linux che supporti la modifica/cancellazione di file in partizioni ntfs.
Qualche parere?

[andorra24]

Il file dircc.exe. prova ad eliminarlo con killbox:
http://www.bleepingcomputer.com/files/killbox.php

oppure con unlocker:
http://ccollomb.free.fr/unlocker/

Prima di eliminare quel file gentilmente vedi se puoi mandarlo zippato all'indirizzo presente nella mia firma.

[Pistolpete]

Quote:

Originariamente inviato da andorra24

Il file dircc.exe. prova ad eliminarlo con killbox:
http://www.bleepingcomputer.com/files/killbox.php

oppure con unlocker:
http://ccollomb.free.fr/unlocker/

Prima di eliminare quel file gentilmente vedi se puoi mandarlo zippato all'indirizzo presente nella mia firma.

Ho provato i due programmi ma non riesco a cancellarlo.
Non posso copiarlo/comprimerlo/modificarlo.
Ogni genere di accesso mi è negato, di conseguenza non posso fare l'upload nel sito che mi hai indicato.
Sto scaricando una distro linux che consenta di lavorare su partizioni ntfs per poterlo eliminare.

Sono però andato a curiosare nelle proprietà del file e ho scopero, in base al suo certificato, che è legato al mio account, "Marco", è quindi probabilmente questo file è legato al servizio di sistema che gestisce i profili in uso.
Ho trovato questo->nome utente:vkunzpq(vkunzpq@MARCO-C73C7F591) nei dettagli del certificato di crittografia
Qualche idea?

[andorra24]

Prova a scansionare quel file su www.virustotal.com per vedere come viene visto dagli antivirus.

[Pistolpete]

Ho provato ma nessun antivirus lo vede come virus.
Che si fa?

[kmarraff]

Hai provato prima a terminare il servizio tramite gli strumenti di amministrazione?
Provato in mod. provvisoria a cambiare le autorizzazioni, il controllo, proprietario?
Anche in mod. provvisoria parte come servizio di sistema?
Non sei riuscito con la distro linux?

[Pistolpete]

Quote:

Originariamente inviato da kmarraff

Hai provato prima a terminare il servizio tramite gli strumenti di amministrazione?
Provato in mod. provvisoria a cambiare le autorizzazioni, il controllo, proprietario?
Anche in mod. provvisoria parte come servizio di sistema?
Non sei riuscito con la distro linux?

Dunque con la distro linux non sono riuscito per il semplice motivo che quando la lancio al boot mi da "boot failure". Adesso la sto riscaricando e proverò con un altro cd.
Intanto ieri notte ho provato ad andare in
risorse del computer->proprietà->avanzate->profili utente->impostazioni
e ho scoperto che non solo c'era il profilo "Marco" (il mio, amministratore) e "vkunzpq" (quello che si crea da solo) ma inoltre ho trovato anche "amministratore", anche lui comparso dal nulla (ma se devo essere sincero il primo giorno che ho notato vkunzpq c'era anche lui, evidentemente distratto non l'ho notato).
Ho provato ad eliminarli con l'apposito tasto, sia uno che l'altro, lasciando solo il mio.
Al riavvio del sistema le cartelle rispettive, in c:\documents and settings\, non sono state ricreate, quindi è già un passo avanti.
Evidentemente il file dircc.exe non è più in funzione...
Adesso riprovo con la distro linux, speriamo funzioni.
Qualcuno di voi sa se ce n'è un'altra che permette di lavorare sui file ntfs? Devo semplicemente elimarlo.
Grazie.

ps: in modalità provvisoria avevo provato ma senza successo, cosa intendi per "cambiare le autorizzazioni, il controllo, proprietario"?

[kmarraff]

Da quel che ho capito hai la versione Home di xp se possedevi la versione professional potevi modificare i privilegi amministrativi del file e provare in quel modo ad eliminarlo!!!

[Pistolpete]

Quote:

Originariamente inviato da kmarraff

Da quel che ho capito hai la versione Home di xp se possedevi la versione professional potevi modificare i privilegi amministrativi del file e provare in quel modo ad eliminarlo!!!

No no ho la versione pro! Fammi sapere cosa devo fare!
Ah se c'è qualcuno che sa usare insert mi faccia un fischio!
Sono riuscito a farla partire questa live cd ma non riesco ad usarla...sono piuttosto ignorante in ambito linux perciò se riuscite a darmi una mano ve ne sono grato!

[Pistolpete]

Quote:

Originariamente inviato da Pistolpete

No no ho la versione pro! Fammi sapere cosa devo fare!
Ah se c'è qualcuno che sa usare insert mi faccia un fischio!
Sono riuscito a farla partire questa live cd ma non riesco ad usarla...sono piuttosto ignorante in ambito linux perciò se riuscite a darmi una mano ve ne sono grato!

Nessuno sa più dirmi qualcosa? Con la distro linux sto avendo qualche problema...
Intanto ho cercato il profilo "vkunzpq" all'interno del registro di sistema e l'ho trovato qui
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
quindi probabilmente il file dircc.exe, legato a questo profilo, non è cancellabile in quanto gestito dal processo winlogon.exe?

[paso74]

Avevo un problema simile che ho risolto seguendo questa guida:
http://www.viritpro.info/articoli/rootkit_d-e.htm

per cambiare i privilegi al file dai questo comando:
cacls gb.exe /g paolo:F

sostituisci gb.exe con il nome del file e paolo con il nome del tuo utente. Io a suo tempo cancellai un file (verde) in questo modo, ma non saprei darti altre indicazioni se non ti funziona.