dialer boccarossa, nessuna speranza di toglierlo

[caviccun]

La perplessità del titolo è dovuta al fatto che (a parte tutti gli antivirus usati + antidialer, ad-aware ed altri ) anche procedendo "manualmente" con i vari "autoruns", "Hijack" ecc non si riesce ad "ammazzarlo", questo perchè secondo me le procedure usate dal maledetto-bravo-bastardo che lo ha scritto sono così avanzate per cui ci vorrà del tempo prima che si scoprino i rimedi. Un pò di cose , banali peraltro, le ho scoperte ma sono men che meno dei palliativi e cioè che l'eseguibile lo installa su C:\Windows\Temp , che ha come icona una stramaledetta bella bocca rossa, che l'.exe ha sempre nomi random, su msconfig bisogna togliere la spunta e che se si vuole cancellarlo da Temp bisogna "ammazzarlo" dal task ed allora si può cancellarlo. Ho trovato alcuni consigli in rete perchè pare che questo dialer sia conosciuto ed è pure conosciuto che fa cadere la connessione e che bisogna riavviare se si vuole ancora navigare. Settare in "solo lettura" rasphone non è servito a nulla e antivirus di "nome" come di "nome" anche certi antidialer o antitrojan non hanno sortito nessun beneficio. Posto solo nella speranza che qualcuno sia riuscito a trovare il rimedio.Grazie

[c.m.g]

ti è mai passato di mente che fosse un rootkit?
spesso alcuni rootkit utilizzano anche tecnologie dialer.
prova qualche tool di rimozione di rootkit e continua questa discussione dell'apposita sezione:

http://www.hwupgrade.it/forum/forumdisplay.php?f=125

saluti

c.m.g

[sixers]

io que l dialer lo avuto col nome gzbia.exe e avg firewall mi avvisava sempre...io l'ho tolto semplicemente bloccando il processo e cancellandolo dalla cartella temp e con ccleaner sullle configurazioni di avvio....e se ne andato

[caviccun]

Quote:

Originariamente inviato da c.m.g

ti è mai passato di mente che fosse un rootkit?
spesso alcuni rootkit utilizzano anche tecnologie dialer.
prova qualche tool di rimozione di rootkit e continua questa discussione dell'apposita sezione:

http://www.hwupgrade.it/forum/forumdisplay.php?f=125

saluti

c.m.g

<ti è mai passato di mente che fosse un rootkit?>

certo che mi è passato nella mente anzi ti dirò di più ho anche pensato che potrebbe essere uno script, il problema è che con tutti gli strumenti definiti "buoni" non mi hanno trovato un c.. e se ti dico tutti fidati che ho provato quasi tutti gli strumenti conosciuti compresi quelli manuali. Il condizionale è d'obbligo perchè non possiamo mai escludere nulla.Per quanto riguarda la sezione onestamente pensavo fosse questa ma ovviamente terrò conto di quanto mi hai sottolineato.Grazie.

[ThE_RaV[3]N]

Ora ti metto per punti chiari cosa devi fare per riuscire a rimuoverlo....se dovesse ripresentarsi prova dalla provvisoria.

Io lo avevo rimosso a un mio cliente solo così:

1) Elimina il file Service32.exe in c:\winXX
2) Eliminala chiave di registro HKLM\software\microsoft\CurrentVersion\Policies\Explorer\Run\1Service32.exe
3) Cerca ed elimina il file con nome it_<numero>.exe ( è il dialer)
4) Cerca ed elimina il file winsyst32.exe

[caviccun]

Quote:

Originariamente inviato da ThE_RaV[3]N

Ora ti metto per punti chiari cosa devi fare per riuscire a rimuoverlo....se dovesse ripresentarsi prova dalla provvisoria.

Io lo avevo rimosso a un mio cliente solo così:

1) Elimina il file Service32.exe in c:\winXX
2) Eliminala chiave di registro HKLM\software\microsoft\CurrentVersion\Policies\Explorer\Run\1Service32.exe
3) Cerca ed elimina il file con nome it_<numero>.exe ( è il dialer)
4) Cerca ed elimina il file winsyst32.exe

Io ringrazio sempre chi tenta di aiutarmi però a volte ho trovato cose diverse da quelle indicate per esempio nella mia versione di windows XP Pro dopo HKLM\software\microsoft non c'è CurrentVersion ma il problema non è questo il fatto è che non ha importanza toglierlo (che in effetti ne ha) ma ha importanza chi e/o come viene rigenerato. Io ho sempre tolto i dialer, a volte anche manualmente senza l'ausilio di programmi anche perchè un dialer con l'ADSL non ha effetto, il problema attuale (e auguro non succeda a nessuno di vedere quella bella boccuccia rossa) è che dopo averlo ammazzato ritorna e quello che ha più rilevanza putroppo è che fa cadere la connessione e non c'è verso di ripristinarla se non riavviando il pc. Questo secondo me è opera di uno script o di un rootkit ma vattelapesca trovarlo. Tutti gli strumenti per rilevare l'entrata si sono rivelati inutili, ne cito alcuni: ewido, nod32, avg 7.5 (acquistato), Kaspersky, ad-aware, spyBoot ecc. Ora, anche se lo tolgo e mi ritorna perchè non viene rilevato che deve fare uno? è ovvio che chi ha scritto il malware è un bastardo-genio.Se qualcuno ha consigli concreti gli sono debitore.Grazie.

[juninho85]

forse di riferiva a "current user"
posta nell'altra sezione

[ThE_RaV[3]N]

Quote:

Originariamente inviato da caviccun

Io ringrazio sempre chi tenta di aiutarmi però a volte ho trovato cose diverse da quelle indicate per esempio nella mia versione di windows XP Pro dopo HKLM\software\microsoft non c'è CurrentVersion ma il problema non è questo il fatto è che non ha importanza toglierlo (che in effetti ne ha) ma ha importanza chi e/o come viene rigenerato. Io ho sempre tolto i dialer, a volte anche manualmente senza l'ausilio di programmi anche perchè un dialer con l'ADSL non ha effetto, il problema attuale (e auguro non succeda a nessuno di vedere quella bella boccuccia rossa) è che dopo averlo ammazzato ritorna e quello che ha più rilevanza putroppo è che fa cadere la connessione e non c'è verso di ripristinarla se non riavviando il pc. Questo secondo me è opera di uno script o di un rootkit ma vattelapesca trovarlo. Tutti gli strumenti per rilevare l'entrata si sono rivelati inutili, ne cito alcuni: ewido, nod32, avg 7.5 (acquistato), Kaspersky, ad-aware, spyBoot ecc. Ora, anche se lo tolgo e mi ritorna perchè non viene rilevato che deve fare uno? è ovvio che chi ha scritto il malware è un bastardo-genio.Se qualcuno ha consigli concreti gli sono debitore.Grazie.

Se si parte dal presupposto di chiedere aiuto penso che abbia senso soprattutto ascoltare chi cerca di aiutarti . Con questo senza offesa ma un consiglio concreto(diciamo metodo risolutivo per essere pignoli) te l'ho dato pure io, e se non mi sbaglio te l'ho dato anche molto mirato nel dettaglio.
Questa è una procedura sulla rimozione del trojan perchè purtroppo quello è il trojan jackspot, se non erro, e non un dialer come sei convinto tu....Allora se segui la procedura magari potremmo sapere se effettivamente è jackspot oppure se mi sono sbagliato io ma se nemmeno la provi perchè pensi di aver già provato tutti i metodi possibili allora penso che ti toccherà tenertelo o procedere con un ripristino...
Per quanto riguarda il suo funzionamento è semplice capire come si auto-rigenera, e cioè sfruttando il registro di windows e se vuoi fare la prova del nove basta che tu segua il mio consiglio, e se riesci a rimuoverlo così e poi dovesse ricrearsi basta che tu ripeta la procedura e poi installi il tea-timer di spybot o prevx per proteggere il registro per vedere se si ricrea ancora lo stesso.

Con questo non aggiungo altro se non cheper buona norma prima si pulisce il PC, ci si segna come funzionava la fattispecie codice maligno incriminata e poi si studia come proteggersi.....Questa è la predisposizione mentale che consiglio per approcciarsi a problemi di questo genere.....

P:S> per tutte le belle cose, visto il mio errore di percorso nel regedit cerca nel registro questo valore 1Service32.exe e rimuovilo....

Ciauz Ciauz

[caviccun]

Quote:

Originariamente inviato da ThE_RaV[3]N

Se si parte dal presupposto di chiedere aiuto penso che abbia senso soprattutto ascoltare chi cerca di aiutarti . Con questo senza offesa ma un consiglio concreto(diciamo metodo risolutivo per essere pignoli) te l'ho dato pure io, e se non mi sbaglio te l'ho dato anche molto mirato nel dettaglio.
Questa è una procedura sulla rimozione del trojan perchè purtroppo quello è il trojan jackspot, se non erro, e non un dialer come sei convinto tu....Allora se segui la procedura magari potremmo sapere se effettivamente è jackspot oppure se mi sono sbagliato io ma se nemmeno la provi perchè pensi di aver già provato tutti i metodi possibili allora penso che ti toccherà tenertelo o procedere con un ripristino...
Per quanto riguarda il suo funzionamento è semplice capire come si auto-rigenera, e cioè sfruttando il registro di windows e se vuoi fare la prova del nove basta che tu segua il mio consiglio, e se riesci a rimuoverlo così e poi dovesse ricrearsi basta che tu ripeta la procedura e poi installi il tea-timer di spybot o prevx per proteggere il registro per vedere se si ricrea ancora lo stesso.

Con questo non aggiungo altro se non cheper buona norma prima si pulisce il PC, ci si segna come funzionava la fattispecie codice maligno incriminata e poi si studia come proteggersi.....Questa è la predisposizione mentale che consiglio per approcciarsi a problemi di questo genere.....

P:S> per tutte le belle cose, visto il mio errore di percorso nel regedit cerca nel registro questo valore 1Service32.exe e rimuovilo....

Ciauz Ciauz

Certo che ascolto chi cerca di aiutarmi, ci mancherebbe.Sono un modesto esperto ma di sicurezza sono una frana anche se fin'ora mi sono sempre destreggiato bene sia con antivirus, firewall e vari programmi che conosciamo (hijackthis, autoruns ecc) ma questo mi fa veramente impazzire di rabbia. Secondo me è un trojan che genera un dialer e mi piacerebbe discutere i punti di vista salvo le certezze di chi di sicurezza ne saprà più di me. Se non fosse così (o quasi) allora chi lo ha scritto e messo in rete è uno stupido perchè un trojan non dovrebbe farmi cadere la connessione. Vedo più redditizia una backdoor, un rootkit o uno script ma se mi fa cadere la connessione come fa ad inviarmi quelle belle cosine? perchè è quello il problema, una volta entrato mi fa cadere la connessione perchè ha esaurito (o esaudito) lo scopo per cui è stato creato cioè rimandarmi a qualche bel 899..... Dal nome "jackspot" mi farebbe pensare ad un regalino preso quando si va in "certi" siti magari quelli dei casinò ma io non vado ne in "certi" siti nè in quelli dei casinò vari, anzi per meglio dire, quando ho visitato qualche pornazzo l'ho fatto con Ubuntu. 1Service32.exe non c'era. Per quanto concerne la procedura da te esposta non trovo i percorsi citati, arrivo fino a "microsoft" e non c'è nè CurrentVersion nè CurrentUser. Se non ci credi ti faccio entrare nel mio pc con UltraVnc.

[GmG]

La chiave di registro esatta è
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

il file oltre a service32.exe può essere
winsys.exe
winhp32.exe
systpro32.exe

[ThE_RaV[3]N]

Quote:

Originariamente inviato da caviccun

Certo che ascolto chi cerca di aiutarmi, ci mancherebbe.Sono un modesto esperto ma di sicurezza sono una frana anche se fin'ora mi sono sempre destreggiato bene sia con antivirus, firewall e vari programmi che conosciamo (hijackthis, autoruns ecc) ma questo mi fa veramente impazzire di rabbia. Secondo me è un trojan che genera un dialer e mi piacerebbe discutere i punti di vista salvo le certezze di chi di sicurezza ne saprà più di me. Se non fosse così (o quasi) allora chi lo ha scritto e messo in rete è uno stupido perchè un trojan non dovrebbe farmi cadere la connessione. Vedo più redditizia una backdoor, un rootkit o uno script ma se mi fa cadere la connessione come fa ad inviarmi quelle belle cosine? perchè è quello il problema, una volta entrato mi fa cadere la connessione perchè ha esaurito (o esaudito) lo scopo per cui è stato creato cioè rimandarmi a qualche bel 899..... Dal nome "jackspot" mi farebbe pensare ad un regalino preso quando si va in "certi" siti magari quelli dei casinò ma io non vado ne in "certi" siti nè in quelli dei casinò vari, anzi per meglio dire, quando ho visitato qualche pornazzo l'ho fatto con Ubuntu. 1Service32.exe non c'era. Per quanto concerne la procedura da te esposta non trovo i percorsi citati, arrivo fino a "microsoft" e non c'è nè CurrentVersion nè CurrentUser. Se non ci credi ti faccio entrare nel mio pc con UltraVnc.

[caviccun]

Quote:

Originariamente inviato da GmG

La chiave di registro esatta è
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

il file oltre a service32.exe può essere
winsys.exe
winhp32.exe
systpro32.exe

Mi dispiace ma dopo policies non ho <Explorer\Run\>. Un'altra cosa, nel momento che sto scrivendo sto subendo attacchi, vorrei che vedeste sembra un film di fantascienza, probabilmente nessuno di voi ha o ha avuto attacchi di questo genere come sto avendo io. Il problema non sta nel trovarlo e cancellarlo, il problema sta, e non solo, nel trovarlo/cancellarlo e rientrare, non sò se mi sono spiegato, insomma trancio tutto e quello rientra. Sicuramente sta boccaccia (il malware) di m..... ha diverse modalità di attacchi ed ecco spiegati i vostri consigli sicuramente giusti ma non nel mio caso. Adesso provo outpost che sembrerebbe adatto allo scopo, se funziona relazionerò.

[caviccun]

Funzionaaaaaaaaaaaaa!!!! grande outpost blocca tutta la porcheria, uno spettacolo, sto subendo un attacco dietro l'altro e me li blocca, non speravo più ci fosse qualcosa di utile. Poi magari con qualche altro malware non funzionerà ma intanto con sto bast..... FUNZIONA eccome!!!!! Non ho pensato di salvare in immagine tutti gli attacchi, vedreste una sfliza di porte ed indirizzi IP diversi uno dall'altro e questa sarebbe la prova di come blocca tutta la "rumenta" che vorrebbe entrare. Per ora voglio prendermi la soddisfazione di piegare il braccio mettendo la mano in una certa maniera (l'avete capita in quale?) e dirgli; TOOOOHHHH!!!!!!!! Quando blocca le intrusioni fa anche un pò impressione perchè avendo i box accesi outpost emette anche un segnale acustico con eco che sa di qualcosa di brutto appunto.

[juninho85]

riesci a dirmi l'IP bloccato e magari anche a passarmi il nome del file che tenta di uscire?

[caviccun]

Quote:

Originariamente inviato da juninho85

riesci a dirmi l'IP bloccato e magari anche a passarmi il nome del file che tenta di uscire?

Leggi bene quello che ho scritto ho detto che gli attacchi sono moltissimi uno dietro l'altro con IP sempre diversi poi avviene una pausa e riprendono anche qualche ora dopo. La cosa tuttavia ha se così lo si può definire un certo fascino malefico cioè vedere outpost che blocca le intrusioni e ti fa vedere in una scheda i vari dati dell'attacco, IP ecc. Di nomi non me ne fa vedere però non ricordo in quale occasione mi è stato segnalato che in C:\Windows\System32 c'era Srvxteme.exe. Il nome secondo me era ambiguo (che cacchio poteva essere un Srvxteme?) e comunque l'ho cancellato, ho pensato che se anche fosse stato un file di qualche applicazione al limite l'avrei reinstallata, ho riavviato e non ho avuto segnalazione di errore di nessun tipo e tutti i programmi funzionano per cui questo mi fa pensare sicuramente qualcosa di buono non doveve essere, anzi adesso che ne sto parlando vado a vedere se è ritornato. Ciao.

[juninho85]

ho capito...!postami però qualche numero IP,voglio vedere se si tratta dei soliti noti

[caviccun]

Oh lo sai che non torna più? però voglio dire una cosa che misono sempre dimenticato di chiarire e magari non c'entra niente. Dunque, presto il router ad un ufficio dove avevo eseguito un lavoro perchè il loro non funzionava più. Aspettando che arrivasse il nuovo ho collegato il mio vecchio modem adsl. Prima di allora, cioè quando usavo il router il malware descritto non mi è mai comparso, come ho installato il modem sono stato bersagliato da quello che ho descritto. Ora, dopo che all'ufficio è arrivato il nuovo router e messo in opera la rete mi sono ripreso il mio ed ovviamente l'ho subito collegato al posto del modem. Beh non mi sta arrivando più nulla, conicidenza o effetto ovvio? d'accordo che il router ha dei filtri (U.S.Robotics) DHCP abilitato ed altro ma può essere che dipenda anche e non solo da questo? a voi la risposta.

[juninho85]

molto,molto probabile
per me hai qualche porta critica aperta

[caviccun]

Quote:

Originariamente inviato da juninho85

molto,molto probabile
per me hai qualche porta critica aperta

Sì è quello che ho pensato anch'io. Antivirus e firewall infatti dormono e non mi hanno rilevato più niente da quando ho reistallato il router.Ovvio che se il toccasana è un router tutti lo monterebbero tuttavia in alcuni casi come il mio lo str..... si attacca al tram, opppssss.... all'autobus (da noi i tram non ci sono +)

[juninho85]

Quote:

Originariamente inviato da caviccun

Sì è quello che ho pensato anch'io. Antivirus e firewall infatti dormono e non mi hanno rilevato più niente da quando ho reistallato il router.Ovvio che se il toccasana è un router tutti lo monterebbero tuttavia in alcuni casi come il mio lo str..... si attacca al tram, opppssss.... all'autobus (da noi i tram non ci sono +)

hai detto bene,il router in molti casi sà essre un toccasana,c'avessi una connessione dsl lo utilizzerei pure io