*** Removal Tool LinkOptimizer / Gromozon ***

[eraser]

Mi scuso se sono stato assente da questo thread per lungo tempo. Sinceramente ho problemi a seguire tutte le cose che dovrei seguire, e qualcuna mi si perde per strada

Al momento, come penso oramai tutti se ne saranno accorti, il rootkit gromozon é stato aggiornato dal team che ne é alle spalle.

I siti bloccati al momento sono:

www.prevx.com
www.pcalsicuro.com
www.hwupgrade.it
www.suspectfile.com
www.symantec.com (ultimissima versione)

E i tool bloccati al momento risultano essere:

Prevx removal tool
Prevx
Gmer
The Avenger
Symantec LinkOptimizer removal tool (ultimissima versione)

L'unico tool che non é mai stato bloccato é il software antivirus VirIT, che peró non individua l'ultimissima versione del rootkit.

Da parte nostra abbiamo individuato come il rootkit blocca il nostro tool e abbiamo provveduto a modificare il codice. Rilasceremo il tool nei prossimi giorni.

Marco

[sangueimpazzito]

Nel frattempo si può procedere con le procedure manuali che si trovano nei vari siti? Ne consigli qualcuna in particolare?
Grazie della disponibilità.

[juninho85]

Quote:

Originariamente inviato da eraser

Mi scuso se sono stato assente da questo thread per lungo tempo. Sinceramente ho problemi a seguire tutte le cose che dovrei seguire, e qualcuna mi si perde per strada

Al momento, come penso oramai tutti se ne saranno accorti, il rootkit gromozon é stato aggiornato dal team che ne é alle spalle.

I siti bloccati al momento sono:

www.prevx.com
www.pcalsicuro.com
www.hwupgrade.it
www.suspectfile.com
www.symantec.com (ultimissima versione)

E i tool bloccati al momento risultano essere:

Prevx removal tool
Prevx
Gmer
The Avenger
Symantec LinkOptimizer removal tool (ultimissima versione)

L'unico tool che non é mai stato bloccato é il software antivirus VirIT, che peró non individua l'ultimissima versione del rootkit.

Da parte nostra abbiamo individuato come il rootkit blocca il nostro tool e abbiamo provveduto a modificare il codice. Rilasceremo il tool nei prossimi giorni.

Marco

confermi che viene bloccato anche Hijackthis

ma...stesio che ci fa?

[Rat-Man81]

Ecco perche' non riuscivo a lanciare il tool sul pc della mia ragazza e non riuscivo a visitare i siti di prevx e hwupgrade.

A quando l'uscita del tool?

Io che ho risolto con il vecchio tool sono ancora a rischio di infezione?

Ciao ciao...

[juninho85]

Quote:

Originariamente inviato da Rat-Man81

Ecco perche' non riuscivo a lanciare il tool sul pc della mia ragazza e non riuscivo a visitare i siti di prevx e hwupgrade.

A quando l'uscita del tool?

Io che ho risolto con il vecchio tool sono ancora a rischio di infezione?

Ciao ciao...

siamo tutti a rischio,in teoria

[sangueimpazzito]

Visti gli ultimi aggiornamenti, adesso come adesso, per sapere se non siamo stati infettati da una delle varianti di Gromozon, come si deve fare?

[bReAkDoWn]

Quote:

Originariamente inviato da sangueimpazzito

Visti gli ultimi aggiornamenti, adesso come adesso, per sapere se non siamo stati infettati da una delle varianti di Gromozon, come si deve fare?

Ho scritto qualcosa in merito alcuni post più in alto in questo thread. Alcuni punti da verificare per stabilire se l'infezione sia attiva o meno.

[juninho85]

Quote:

Originariamente inviato da sangueimpazzito

Visti gli ultimi aggiornamenti, adesso come adesso, per sapere se non siamo stati infettati da una delle varianti di Gromozon, come si deve fare?

utilizzare il computer normalmente,se poi dovessi notare dei malfunzionamenti confronti con i sintomi tipici di questa infezione

[sangueimpazzito]

Ottimo, io sono a posto... un mio amico invece si è preso il Grozom; l'infezione è avvenuta l'altro ieri (06/10), quindi la versione del Trojan.Win32.Rootkit presumo sia la J o la K.
1] C'è un modo per identificarla con precisione?
2] Nel attesa che esca il tool di eraser, c'è un altro modo per procedere alla rimozione di Grozom? Ho provato la procedura dei produttori di VirIT (faccio riferimento alla revisione del 7 ottobre, QUESTA) ma non mi da i risultati sperati (se vi interessa, mi si blocca al punto 8 della fase 2).
Colgo l'occasione per ringraziare tutti.

[Special]

io sono bloccato, non sò dove battere la testa....
Mi son beccato l'ultimissima versione

[bReAkDoWn]

Quote:

Originariamente inviato da Special

io sono bloccato, non sò dove battere la testa....
Mi son beccato l'ultimissima versione

Quindi tool come gmer o rootkitrevealer non ti funzionano? Hai provato? Nel tal caso postando i log possiamo darti dei suggerimenti specifici.
Edit: mi sono espresso malissimo Intendevo dire nel caso funzionassero possiamo ecc.ecc.

[sangueimpazzito]

Ma come si fa a sapere la versione del rootkit che si è installata sulla macchina?

[Special]

Quote:

Originariamente inviato da bReAkDoWn

Quindi tool come gmer o rootkitrevealer non ti funzionano? Hai provato? Nel tal caso postando i log possiamo darti dei suggerimenti specifici.
Edit: mi sono espresso malissimo Intendevo dire nel caso funzionassero possiamo ecc.ecc.

Avg Anti-Rootkit lo rileva ma non riesce ad eliminarlo.
blbeta di F-Secure non parte - Non riesce a prendere i privilegi (SeDebugPrivilege)
FixLinkopt di symantec non parte il file di "istallazione"
IceSword non parte
Sophos rileva diversi file, mi dice che li elimina ma poi non riesce a farlo.
SpywareBlaster è inutile
SUPERAntispyware non parte il file di istallazione
gmer non parte il file di istallazione
VirIT si istalla, parte, ma non rileva nulla.
rootkitrevealer non parte il file di istallazione.

[Kukuzza]

Quanto detto da Special succede anche, alcuni programmi sono gli stessi altri no, ma gli effetti sono identici.
Qualcosa sono riuscito ad eliminare ma rimangono buona parte dei sintomi, soprattutto la navigazione è impossibile ora, non riesco ad accedere a buona parte dei siti tra i preferiti.
Visto il tempo ormai speso per pulire e senza successo mi sa che provvedo a scollegare tutti i dischi, dopodichè passerò alla formattazione dell'unità C:, una volta terminata l'installazione del SO, antivirus e antispyware vary collegherò 1 disco alla volta eseguendo tutte le scansioni necessarie.

P.S: Per la formattazione, va bene la classica dal CD di avvio o è meglio una a basso livello?

[Rat-Man81]

Quote:

Originariamente inviato da Special

Avg Anti-Rootkit lo rileva ma non riesce ad eliminarlo.
blbeta di F-Secure non parte - Non riesce a prendere i privilegi (SeDebugPrivilege)
FixLinkopt di symantec non parte il file di "istallazione"
IceSword non parte
Sophos rileva diversi file, mi dice che li elimina ma poi non riesce a farlo.
SpywareBlaster è inutile
SUPERAntispyware non parte il file di istallazione
gmer non parte il file di istallazione
VirIT si istalla, parte, ma non rileva nulla.
rootkitrevealer non parte il file di istallazione.

Che spettacolo praticamente siamo in mezzo alla ...... ...

Io sono riuscito a rimuovere la vecchia versione grazie al tool prevx1.
Ma e' il pc della mia ragazza che e' infettato dalla nuova e non riesco proprio a toglierlo!!

Speriamo in qualcosa di efficace nei prossimi giorni...

[bReAkDoWn]

Bisogna trovare il modo di far andare di nuovo i tool antirootkit come rootkitrevealer e gmer.. Così una volta individuati i file il rootkit è facilmente disattivabile.
Vedremo cosa si può fare..

[schumy2006]

Io ho notato che c'e' un processo di nome svchost.exe che stabilisce una connessione netbios quando sono collegato...
La funzione di segnalazione eventi di Prevx1 mi informa ogni 4-5 secondi in questo modo: Svchost.exe - Netbios out

Mi succede solo sul pc dove e' presente l'account fittizio .\ydhdufcngl
che ho trovato in STRUMENTI DI AMMINISTRAZIONE -> SERVIZI.
Io ho disabilitato l'avvio e disattivato l'account in questione...

Mentre installavo il service pack 2 Virit mi avvertiva che il file (non ricordo bene "svchost.exe -K netsvcs" era sospetto, ma io credevo fosse un falso positivo e non l'ho inviato inserendolo nella lista dei file buoni.

Al termine dell'installazione l'ho eliminato da quella lista (file buoni...) di Virit, ho riavviato e' fatto una scansione sia con virit che con nod32 (profonda), ma non ho trovato nulla... eppure questo connessioni netbios che vengono stabilite mi sembrano strane....

[Special]

http://support.microsoft.com/kb/314056
A regola non ci dovrebbero essere problemi, a meno che non sia "camuffato" da questo processo...

[sampei.nihira]

Quote:

Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l’utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l’utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l’infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di “Ingegneria Sociale”. Il browser chiede di scaricare un "file generico" che apparentemene sembra essere innoquo ma in realtà è il malware stesso.

Ho trovato su internet questa descrizione che ho modificato solo nel nome del file scaricato,l'ho messo come "file generico."

E' possibile sapere da coloro che hanno preso l'infezione come stavano messi ad aggiornamenti del S.O e possibilmente il browser internet usato per navigare ?

Grazie.

[schumy2006]

Quote:

Originariamente inviato da schumy2006

Io ho notato che c'e' un processo di nome svchost.exe che stabilisce una connessione netbios quando sono collegato...
La funzione di segnalazione eventi di Prevx1 mi informa ogni 4-5 secondi in questo modo: Svchost.exe - Netbios out

Mi succede solo sul pc dove e' presente l'account fittizio .\ydhdufcngl
che ho trovato in STRUMENTI DI AMMINISTRAZIONE -> SERVIZI.
Io ho disabilitato l'avvio e disattivato l'account in questione...

Mentre installavo il service pack 2 Virit mi avvertiva che il file (non ricordo bene "svchost.exe -K netsvcs" era sospetto, ma io credevo fosse un falso positivo e non l'ho inviato inserendolo nella lista dei file buoni.

Al termine dell'installazione l'ho eliminato da quella lista (file buoni...) di Virit, ho riavviato e' fatto una scansione sia con virit che con nod32 (profonda), ma non ho trovato nulla... eppure questo connessioni netbios che vengono stabilite mi sembrano strane....

Volevo precisare che prevx1 event mi informa in questo modo:
appena mi collego:

SVCHOST.EXE Create Server Listener
(e dopo qualche secondo: )
SVCHOST.EXE NetBIOS OUT
SVCHOST.EXE HTTP Out
SVCHOST.EXE Create File
SVCHOST.exe Del File

e va avanti con questi avvisi....

Ho Prevx1 installato su 2 PC, ma solo su 1 PC mi segnala questi comportamenti da parte di SVCHOST... Questo PC era stato infettato da Gromozon che poi ho rimosso col tool Prevx... Successivamente ho installato il Service pack 2 per Win XP PRO, ...prima non c'era neanche l'SP1...

Cmq come mai queste segnalazioni su SVCHOST sono presenti solo su un PC ?
Sull'altro PC queste segnalazioni di Prevx1 riguardanti SVCHOST.EXE non ci sono (ha sempre avuto il service pack 2... e non e' mai stato infettato da Gromozon)...