PC ZOMBIE INVIASPAM - HELP - SOS

[matteog]

Ciao a tutti..
mi trovo a combattere da 12 ore contro una infezione che non riesco a controllare.Pc in una rete lan con router + firewall software di tipo windows.

Sintomi: Richieste di pacchetti DNS porta 53 e invio Pacchetti porta 25
fino a saturare tutta la banda ADSL (4 Mb/s)

Azioni intraprese:

1a - C'erano dei file .exe poco attendibili nella cartella di windows e nella Document and Settings che ho cancellato

1b - Cancellazione di tutte le cache/temp con apposito programma

1c - Aggiornamento Patch di windows (Purtroppo mancavano tutte dal SP4 in poi)

2 - Scansioni Antivirus:
- MCaffe Viruscan 7.1 aggiornato
- Windows defender aggiornato
- Spybot Search & Destroy aggiornato
- Rootkit Releaver 1.7 (chiuso perchè troppo lungo 30 minuti)
- HijackThis e fix di tutto ciò che non è normale
- Controllo file hosts (OK)

3 - Chiusura programmi e servizi attivi
Con il programma ProcExplorer (Sysinternals) ho chiuso uno alla volta tutti i programmi fino a services.exe, dopo di che il pc smette di inviare pacchetti ma ovviamente si riavvia.

4 - Sostituzione file services.exe e schost.exe
Avvio del pc con Burt Pe e sostituzione dei file in ogni cartella di C:\

Considerazioni sul funzionamento del virus\trojan\malware:
Ho analizzato il funzionamento del pc sui pacchetti che passano nel firewall, sul pc con uno sniffer (Ethereal) e con il programma netstat -a -n 2.
Dunque l'infezione riceve dei pacchetti sulla porta 80 con la lista degli indirizzi email, poi richede di risolvere gli indirizzi dei server di posta sulla porta 53 e infine invia mail sulla porta 25.
Ho bloccato il traffico sul firewall sulle porte 25 e 53 per quel pc e ho risolto per gli altri utenti della rete!
Se controllo con lo sniffer dopo che ho bloccato il traffico le query dns sono di questo tipo:

query DNS gmail.com
query DNS gmail.com
query DNS gmail.com
query DNS gmail.com
query DNS gmail.com.<nomo dominio interno>
query DNS gmail.com.<nomo dominio interno>
query DNS gmail.com.<nomo dominio interno>
query DNS gmail.com.<nomo dominio interno>
query DNS aol.com
query DNS aol.com
query DNS aol.com
query DNS aol.com
query DNS aol.com.<nomo dominio interno>
query DNS aol.com.<nomo dominio interno>
query DNS aol.com.<nomo dominio interno>
query DNS aol.com.<nomo dominio interno>
query DNS microsoft.com
....
query DNS yahoo.com
...

e così via (esegue 4 query per ogni server e poi ricomincia)

Il pc presentava una anomalia infatti il motore dell'antivirus (il servizio) era stato rimosso.

Grazie a tutti della attenzione.

Saluti
Matteo

[bReAkDoWn]

Quindi il problema rimane capire dove si annida il virus per poi rimuoverlo.
Io partirei con gmer: (www.gmer.net) e farei due scansioni: rootkit e autostart, copiando i risultati (gmer ha direttamente il pulsante copy) e incollandoli in un messaggio qua sul forum. Mentre fai la scansione rootkit non utilizzare il pc e chiudi tutte le applicazioni che puoi.

[wizard1993]

Quote:

Originariamente inviato da bReAkDoWn

Quindi il problema rimane capire dove si annida il virus per poi rimuoverlo.
Io partirei con gmer: (www.gmer.net) e farei due scansioni: rootkit e autostart, copiando i risultati (gmer ha direttamente il pulsante copy) e incollandoli in un messaggio qua sul forum. Mentre fai la scansione rootkit non utilizzare il pc e chiudi tutte le applicazioni che puoi.

a quto punto io formatterei

[matteog]

Ciao, grazie del consiglio, non avevo mai usato gmer

posto il log del rootkit.. dice di averne trovato uno!!!!

GMER 1.0.12.11889 - http://www.gmer.net
Rootkit scan 2006-11-08 14:51:28
Windows 5.0.2195 Service Pack 4


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadDriver
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwMapViewOfSection
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetSystemInformation
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwUnloadDriver

INT 0x06 \??\C:\WINNT\System32\drivers\Haspnt.sys BECEA16D
INT 0x0E \??\C:\WINNT\System32\drivers\Haspnt.sys BECE9FC2

---- Kernel code sections - GMER 1.0.12 ----

.text tcpip.sys!IPTransmit + 43D7 BED4ED0C 6 Bytes CALL BEDBD0DE
.text tcpip.sys!IPGetAddrType + 765 BED5368D 6 Bytes CALL BEDBD0DE
.text tcpip.sys!IPGetAddrType + 227A BED551A2 6 Bytes CALL BEDBD0DE
.text wanarp.sys EB7FCDFE 7 Bytes CALL BEDBD0E8
.text ntdll.dll!NtClose 784681F8 5 Bytes JMP 72033A2A
.text ntdll.dll!NtCreateProcess 78468308 5 Bytes JMP 72033BB5
.text ntdll.dll!NtCreateSection 78468328 5 Bytes JMP 72033A48

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [BEC5FEA0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [BEC5FEA0] vsdatant.sys

---- Services - GMER 1.0.12 ----

Service C:\WINNT\system32\lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Enum
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Security
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Enum
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINNT\system32\lzx32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x74 0x20 0x17 0x2B ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1

---- Files - GMER 1.0.12 ----

File C:\WINNT\system32\lzx32.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.12 ----

[matteog]

Questa invece è la scansione Autostart

GMER 1.0.12.11889 - http://www.gmer.net
Autostart scan 2006-11-08 14:52:12
Windows 5.0.2195 Service Pack 4


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINNT\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif@DLLName = wzcdlg.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
bdss /*BitDefender Scan Server*/@ = "C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service
C-DillaSrv /*C-DillaSrv*/@ = C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
McAfeeFramework /*McAfee Framework Service*/@ = C:\ePOAgent\FrameworkService.exe /ServiceStart
McShield /*Network Associates McShield*/@ = "C:\Programmi\Network Associates\VirusScan\Mcshield.exe"
McTaskManager /*Network Associates Task Manager*/@ = "C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe"
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"
RemoteRegistry /*Servizio Registro di sistema remoto*/@ = %SystemRoot%\system32\regsvc.exe
Schedule /*Utilit di pianificazione*/@ = %SystemRoot%\system32\MSTask.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
vsmon /*TrueVector Internet Monitor*/@ = C:\WINNT\system32\ZONELABS\vsmon.exe -service
WinDefend /*Windows Defender Service*/@ = "C:\Programmi\Windows Defender\MsMpEng.exe"
WinMgmt /*Strumentazione gestione Windows*/@ = %SystemRoot%\System32\WBEM\WinMgmt.exe
WinVNC4 /*VNC Server Version 4*/@ = "C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service
XCOMM /*BitDefender Communicator*/@ = "C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Synchronization Managermobsync.exe /logon = mobsync.exe /logon
@EM_EXECC:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE = C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
@McAfeeUpdaterUI"C:\ePOAgent\UpdaterUI.exe" /StartedFromRunKey = "C:\ePOAgent\UpdaterUI.exe" /StartedFromRunKey
@ShStatEXE"C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE = "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
@Windows Defender"C:\Programmi\Windows Defender\MSASCui.exe" -hide = "C:\Programmi\Windows Defender\MSASCui.exe" -hide
@BDNewsAgent"C:\Programmi\Softwin\BitDefender8\bdnagent.exe" = "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@SpybotSD TeaTimer = C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

HKLM\Software\Classes\.scr@ = C:\WINNT\NOTEPAD.EXE "%1"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} = C:\PROGRA~1\WINDOW~4\MpShHook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{41E300E0-78B6-11ce-849B-444553540000} /*Estensione CPL PlusPack*/plustab.dll = plustab.dll
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{8BEBB290-52D0-11D0-B7F4-00C04FD706EC} /*Anteprima*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll
@{EAB841A0-9550-11CF-8C16-00805F1408F3} /*Programma di estrazione pagine HTML in anteprima*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll
@{1AEB1360-5AFC-11D0-B806-00C04FD706EC} /*Programma di estrazione filtri grafici di Office in anteprima*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll
@{9DBD2C50-62AD-11D0-B806-00C04FD706EC} /*Summary Info Thumbnail handler (DOCFILES)*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll
@{500202A0-731E-11D0-B829-00C04FD706EC} /*LNK file thumbnail interface delegator*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll
@{fe1290f0-cfbd-11cf-a330-00aa00c16e65} /*Directory Namespace*/dsfolder.dll = dsfolder.dll
@{9E51E0D0-6E0F-11d2-9601-00C04FA31A86} /*Shell properties for a DS object*/dsfolder.dll = dsfolder.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL = C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINNT\system32\twextdl.dll = C:\WINNT\system32\twextdl.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/%systemroot%\system32\twextdl.dll = %systemroot%\system32\twextdl.dll
@{D653647D-D607-4DF6-A5B8-48D2BA195F7B} /*BitDefender Antivirus v8*/C:\Programmi\Softwin\BitDefender8\bdshelxt.dll = C:\Programmi\Softwin\BitDefender8\bdshelxt.dll
@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} /*UnlockerShellExtension*/C:\Programmi\Unlocker\UnlockerCOM.dll = C:\Programmi\Unlocker\UnlockerCOM.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
BitDefender Antivirus v8@{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Programmi\Softwin\BitDefender8\bdshelxt.dll
VirusScan@{cda2863e-2497-4c49-9b89-06840e070a87} = C:\Programmi\Network Associates\VirusScan\shext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
VirusScan@{cda2863e-2497-4c49-9b89-06840e070a87} = C:\Programmi\Network Associates\VirusScan\shext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
BitDefender Antivirus v8@{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Programmi\Softwin\BitDefender8\bdshelxt.dll
UnlockerShellExtension@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} = C:\Programmi\Unlocker\UnlockerCOM.dll
VirusScan@{cda2863e-2497-4c49-9b89-06840e070a87} = C:\Programmi\Network Associates\VirusScan\shext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINNT\system32\blank.htm = C:\WINNT\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
its@CLSID = C:\WINNT\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINNT\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
vnd.ms.radio@CLSID = C:\WINNT\System32\msdxm.ocx

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters@Domain = *********

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8875DBDF-0B7E-4F06-BBE7-3338CE905A0A} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress***
@NameServer***
@DefaultGateway***
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001@LibraryPath = %SystemRoot%\System32\rnr20.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000002@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000003@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000006@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000007@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000008@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000009@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000010@PackedCatalogItem = %SystemRoot%\system32\msafd.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011@PackedCatalogItem = %SystemRoot%\system32\msafd.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Microsoft Office.lnk

---- EOF - GMER 1.0.12 ----

[matteog]

Ciao,
ho cercato nel registro di sistema
pe386
lzx32.sys
\??\C:\WINNT

Ma non trova niente..
Gmer mi da l'opzione da mouse per cancellare il servizio pe386..
è l'operazione giusta da fare?

Grazie ancora

[bReAkDoWn]

Quote:

Originariamente inviato da matteog

Ciao,
ho cercato nel registro di sistema
pe386
lzx32.sys
\??\C:\WINNT

Ma non trova niente..
Gmer mi da l'opzione da mouse per cancellare il servizio pe386..
è l'operazione giusta da fare?

Grazie ancora

Il bello, cioè il brutto , dei rootkit è proprio quello: una volta installatisi riescono a rendersi invisibili all'utente e anche a molti antivirus intercettando e controllando le parti del sistema operativo che visualizzano le directory, il registro, ecc. Quel file lzx32.sys e tutti i suoi riferimenti nel registro sono presenti sul tuo sistema ma lui li maschera.
Infatti tu adesso non vedi nè il file nè il servizo pe386. Ma se tu, visto che sei già molto organizzato, fai un boot da bartpe, prendi il file, che con il boot da cd vedrai sicuramente, e lo rinomini o lo cancelli, al prossimo boot da hd vedrai sia il file che il servizio. A quel punto è probabile che l'antivirus lo veda (se l'avevi solo rinominato) e lo cancelli, altrimenti fallo tu.
Fammi sapere come procede.

[matteog]

Grazie
ho fatto come mi hai detto..
BurtPe e magia..... il file era li.. bello che mi aspettava e l'ho cancellato con immenso piacere!!!

Poi riavviando il sistema non sono riuscito a trovare il servizio che agiva su quel file.. comunque sto guardando il firewall e non fa più richieste..

Cosa dici? Bisogna rimuovere il servizio pe386
ho cercato nel sistema e nel registro ma niente.

Comunque tra tutti i programmi provati gmer è stato il migliore!!!!

Grazie ancora bReAkDoWn

Ciao Matteo

[bReAkDoWn]

Quote:

Originariamente inviato da matteog

Grazie
ho fatto come mi hai detto..
BurtPe e magia..... il file era li.. bello che mi aspettava e l'ho cancellato con immenso piacere!!!

Poi riavviando il sistema non sono riuscito a trovare il servizio che agiva su quel file.. comunque sto guardando il firewall e non fa più richieste..

Cosa dici? Bisogna rimuovere il servizio pe386
ho cercato nel sistema e nel registro ma niente.

Comunque tra tutti i programmi provati gmer è stato il migliore!!!!

Grazie ancora bReAkDoWn

Ciao Matteo

Bene! Tolto il file il rootkit è morto perchè anche se le informazioni per lanciarlo fossero rimaste nel registro, non essendoci più il file non c'è più niente da eseguire.
Però, per curiosità, le tracce dovremmo trovarle ugualmente. Con regedit, dentro HLKM\SYSTEM\CurrentControlSet\Services\ non c'è proprio la chiave pe386? E neppure negli altri controlset? E invece, eseguendo services.msc ancora non c'è traccia di questo servizio?

[matteog]

Non ho trovato niente di niente..
però forse ho eliminato il servizio con il programma gmer dopo la prima scansione.. quella che mi ha portato a postare i log dei rootkit e dell'autostart.

Infatti nella sezione dei Services di gmer era presente il servizio pe386 e con il tasto destro del mouse ho cliccato su elimina .. e mi ha dato un errore del tipo impossibile cancellare un file.. ma forse qualcosa aveva comunque cancellato..

Però il file lzx32.sys si caricava ancora in memoria..
solo dopo la cancellazione (con BurtPe) ha smesso di lavorare..

Potrebbe essere????

Salutoni.
Matteo

[matteog]

Le scansioni con gmer versione 1.0.12 su diversi pc windows 2000 Sp4 ha portato alla schermata blu con titolo:
BAD POOL CALLER

vi risulta???


Grazie e ciao

Matteo

[bReAkDoWn]

Quote:

Originariamente inviato da matteog

Non ho trovato niente di niente..
però forse ho eliminato il servizio con il programma gmer dopo la prima scansione.. quella che mi ha portato a postare i log dei rootkit e dell'autostart.

Infatti nella sezione dei Services di gmer era presente il servizio pe386 e con il tasto destro del mouse ho cliccato su elimina .. e mi ha dato un errore del tipo impossibile cancellare un file.. ma forse qualcosa aveva comunque cancellato..

Però il file lzx32.sys si caricava ancora in memoria..
solo dopo la cancellazione (con BurtPe) ha smesso di lavorare..

Potrebbe essere????

Salutoni.
Matteo

Certamente! Niente di strano allora. Gmer ha eliminato le chiavi di registro del servizio, mentre non è riuscito ad eliminare il file che poi hai eliminato tramite boot da cd. Per quanto riguarda i crash sono plausibili, gmer viene aggiornato spesso, è un programma ancora in crescita.
Ciao!